Governance, Risk & Compliance (GRC)

ISO/IEC 27001: ako pripravíme vašu organizáciu na certifikáciu

Posted by author-avatar
0

Keď sa ma klienti pýtajú na ISO/IEC 27001, väčšinou majú dve očakávania:

„Chceme certifikát.“
„Potrebujeme to kvôli zákazníkovi, tendru alebo regulácii.“

Lenže realita je taká, že ISO 27001 nie je o certifikáte.
Je to o tom, či máte alebo nemáte kontrolu nad bezpečnosťou vo firme.

Za viac ako 20 rokov praxe som videl desiatky organizácií, ktoré mali „ISO na papieri“, ale v realite:

  • nemali prehľad o aktívach

  • nevedeli, kto má k čomu prístup

  • nemali proces na riešenie incidentov

  • a často ani netušili, kde majú citlivé dáta

A presne tu začína rozdiel medzi tým, „urobiť ISO“ a nastaviť bezpečnosť, ktorá funguje.

Čo vlastne ISO 27001 znamená v praxi

ISO/IEC 27001 je systém riadenia informačnej bezpečnosti (ISMS).
Nejde o jeden dokument ani o jeden nástroj.

Je to kombinácia:

  • procesov

  • zodpovedností

  • technických opatrení

  • riadenia rizík

Norma stojí na jednoduchom princípe:

Identifikuj riziká → riad ich → kontroluj ich → zlepšuj sa

Znie to jednoducho.
V praxi to väčšina firiem robí nesprávne.

EVENT INFO

“Fringilla In Dui” @Vestibulum Viverra
Via Suspendisse 24 – Metro: Praesent Vehicula
8 – 12 April / h 12 – 18

 

Najčastejšia chyba, ktorú vidím

wd-blog-2
wd-blog-3
wd-blog-5
wd-blog-6
wd-blog-8
wd-blog-9

Firmy si myslia, že ISO 27001 znamená dokumentáciu.

Začnú:

  • písať politiky

  • kopírovať šablóny

  • kupovať „ISO balíčky“

Výsledok je množstvo dokumentácie bez reálneho dopadu.

Pri prvom incidente sa ukáže, že systém v skutočnosti nefunguje.

Ako vyzerá zvládanie bezpečnostných incidentov v praxi a čo robiť, keď už k nim dôjde, rozoberám podrobnejšie v článku Incident response: čo robiť, keď už je neskoro.

 

Ako k tomu pristupujem ja

ISO 27001 implementujem ako architektúru riadenia bezpečnosti, nie ako papierový projekt.

Postup je vždy rovnaký – a funguje.

1. Realita pred auditom (Gap analýza)

Začíname tým, že si povieme pravdu.

Pozeráme sa na:

  • infraštruktúru

  • procesy

  • prístupy

  • dodávateľov

  • existujúce politiky

Nie „čo je napísané“, ale čo reálne funguje.

Veľmi často zistíme:

  • zdieľané účty bez kontroly

  • chýbajúci logging

  • neexistujúce riadenie prístupov

  • shadow IT

Toto je moment, kde sa láme celý projekt.

2. Riadenie rizík (kľúč ISO 27001)

ISO 27001 bez riadenia rizík nedáva zmysel.

Používam prístupy z:

  • ISO 27005

  • ISO 31000

  • COBIT

Každé aktívum hodnotíme z pohľadu dopadu a pravdepodobnosti.

Kľúčové je, aby boli riziká pochopiteľné pre manažment, nie len pre auditora.

Ako vyzerá riadenie kybernetických rizík v praxi a nie len na úrovni dokumentácie, rozoberám podrobnejšie v článku Riadenie kybernetických rizík efektívne: prečo potrebujete nástroje ako Asign.

3. Návrh bezpečnostnej architektúry

Tu sa láme rozdiel medzi juniorom a seniorom.

Neimplementujeme všetky kontroly.
Implementujeme tie, ktoré dávajú zmysel.

Príklady z praxe:

  • segmentácia siete namiesto „flat network“

  • PAM riešenie namiesto zdieľaných účtov

  • SIEM a logging pre auditovateľnosť

  • MFA ako základ, nie doplnok

Každé opatrenie musí znižovať reálne riziko a byť dlhodobo udržateľné.

4. Dokumentácia (až teraz)

Dokumentácia prichádza až po implementácii.

Nie opačne.

Vytvárame:

  • bezpečnostné politiky

  • smernice

  • procesy

  • evidencie

Platí jednoduché pravidlo:

čo je napísané, musí byť vykonateľné v praxi.

5. Príprava na audit

Audit (napr. TÜV) nie je strašiak.
Ak je systém nastavený správne, je to potvrdenie reality.

Pripravujeme klienta na:

  • interný audit

  • management review

  • externý audit

Simulujeme otázky a kontrolujeme dôkazy.

Slovenská realita (z praxe)

Bez konkrétnych názvov, ale typické situácie:

Organizácia mala ISO certifikát, ale:

  • všetci admini používali jeden účet

  • logy sa neuchovávali

  • incident response neexistoval

Iná firma mala výbornú dokumentáciu, ale:

  • risk assessment bol len formálny

A často sa stretávam s prístupom:
„ISO robíme, lebo to chce zákazník“

Bez reálneho pochopenia bezpečnosti.

ISO 27001 vs. NIS2 vs. DORA

ISO 27001 dnes nie je izolovaná norma.

Je základom pre:

  • NIS2

  • DORA

  • regulácie vo finančnom sektore

Ak máte dobre nastavené ISO:

  • výrazne si zjednodušíte compliance

Ak nie:

  • budete riešiť každú reguláciu zvlášť

Čo tým klientom vždy hovorím

ISO 27001 nie je projekt.
Je to systém.

A systém musí:

  • fungovať aj bez konzultanta

  • byť pochopený ľuďmi

  • byť dlhodobo udržateľný

Ako vám vieme pomôcť

Našou úlohou nie je „spraviť ISO“.

Našou úlohou je nastaviť bezpečnosť tak, aby fungovala v praxi.

Pomáhame s:

  • analýzou stavu

  • riadením rizík

  • návrhom architektúry

  • implementáciou opatrení

  • prípravou na certifikáciu

Certifikáciu následne realizuje nezávislá autorita (napr. TÜV).

Záver

Certifikát ISO 27001 je dnes štandard.
Skutočná hodnota je však inde.

V tom, že:

  • viete, čo chránite

  • viete, kde máte riziká

  • viete reagovať

A to je rozdiel medzi firmou, ktorá má ISO, a firmou, ktorá má bezpečnosť pod kontrolou.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *