Ψηφιακή Προστασία και ISO/IEC 27001

Ο ρόλος του ISO/IEC 27001 στην προστασία των δεδομένων & την ασφάλεια των πληροφοριών σήμερα

Το συνεχώς μεταβαλλόμενο τεχνολογικά περιβάλλον εισάγει νέες ανάγκες και παράλληλους κινδύνους, επιτάσσοντας την υιοθέτηση ενός πλαισίου ασφάλειας που θα καλύπτει την επίκαιρη περιοχή της κυβερνοασφάλειας.

Αυτή περικλείει τις διασφαλίσεις και τα μέτρα που κρίνονται απαραίτητα για την προστασία των συστημάτων, των πληροφοριών και των χρηστών τους, συμπεριλαμβάνοντας την ετοιμότητα διαχείρισης περιστατικών ασφαλείας και του αντίκτυπου που μπορούν να προκαλέσουν.

Η έκθεση “Threat Landscape” 2020 του Ευρωπαϊκού Οργανισμού για την κυβερνοασφάλεια (ENISA - European Union Agency for Cybersecurity),  παρουσιάζει την αύξηση περιστατικών ασφαλείας με την λίστα των 15 μεγαλύτερων απειλών και προειδοποιεί ότι χρειάζονται συντονισμένες ενέργειες από τους οργανισμούς για να επιτευχθεί ένα ασφαλέστερο ψηφιακό περιβάλλον, ως αποτέλεσμα και της αποδυνάμωσης των μέτρων ασφάλειας στον κυβερνοχώρο λόγω αλλαγών στα πρότυπα εργασίας και στις υποδομές, από την πανδημία COVID-19. Χαρακτηριστική πρόσφατη περίπτωση (Σεπτέμβριος 2020) ήταν μια επίθεση σε νοσοκομείο του Ντίσελντορφ που είχε ως συνέπεια να χάσει τη ζωή της μια ασθενής, καθώς τέθηκε εκτός λειτουργίας το πρόγραμμα διαχείρισης εισαγωγών.

Τι είναι το ISO/IEC 27001 - Η υιοθέτηση του ως εργαλείο διαχείρισης της ασφάλειας, στην Ευρωπαϊκή και Ελληνική ψηφιακή πραγματικότητα

Η ανάγκη για ψηφιακή προστασία στην νέα εποχή οδήγησε την Ευρωπαϊκή Επιτροπή στην υιοθέτηση μιας  νέας στρατηγικής για την ασφάλεια στον κυβερνοχώρο.

Η εφαρμογή του προτύπου ISO/IEC 27001:2013 μπορεί να προσδώσει προστιθέμενη αξία προστατεύοντας τις επενδύσεις και τους πόρους μιας εταιρίας, εμπνέοντας εμπιστοσύνη και διασφαλίζοντας τη φήμη σε μετόχους και πελάτες.

Στις 16 Δεκεμβρίου 2020 παρουσιάστηκε η νέα αυτή στρατηγική της ΕΕ, καλύπτοντας την ασφάλεια κρίσιμων και βασικών υπηρεσιών, όπως νοσοκομεία, ενεργειακά δίκτυα, μεριμνώντας για τον συνεχώς αυξανόμενο αριθμό συνδεδεμένων συσκευών στα σπίτια, τα γραφεία και παντού γύρω μας, δημιουργώντας συλλογικές δυνατότητες ανταπόκρισης σε κυβερνοεπιθέσεις.

Η ψηφιακή μας ζωή μπορεί να λειτουργήσει ομαλά μόνο αν υπάρχει και ψηφιακή  εμπιστοσύνη, επομένως, στην νέα στρατηγική επισημαίνεται η σημασία υιοθέτησης και εφαρμογής ενδεδειγμένων πλαισίων ασφαλείας (Frameworks) και βέλτιστων πρακτικών, όπως το πρότυπο ISO/IEC 27001.

Παράλληλα η Ευρωπαϊκή Επιτροπή ενέκρινε την πρόταση αναθεωρημένης οδηγίας για την ασφάλεια των δικτύων και των συστημάτων πληροφοριών (οδηγία NIS 2), η οποία άνοιξε το δρόμο για μια σημαντική αλλαγή στη νοοτροπία, τη θεσμική και κανονιστική προσέγγιση της κυβερνοασφάλειας σε πολλά κράτη μέλη.

Η εφαρμογή του ISO/IEC 27001 μπορεί να καλύψει πλήρως τις ανάγκες διαχείρισης ασφάλειας ενός οργανισμού, επιτυγχάνοντας τη δομημένη υλοποίηση ολιστικής λύσης.

Αποτελεί ένα διεθνώς αναγνωρισμένο πρότυπο, το οποίο στοχεύει στον προσδιορισμό των προδιαγραφών για τη διαχείριση της ασφάλειας των πληροφοριών και τον καθορισμό των απαιτήσεων για την εφαρμογή, την παρακολούθηση και τη βελτίωση ενός συστήματος λειτουργίας, προσαρμοσμένου στις ανάγκες κάθε οργανισμού.

Βασίζεται στην αρχή CIA (Confidentiality - Integrity Availability) και επιζητεί την αναγνώριση της αξίας πόρων και διεργασιών για την επιχείρηση ή τον οργανισμό που το εφαρμόζει, εφαρμόζοντας μια αποτελεσματική διαχείριση κινδύνων σε όλα τα επίπεδα λειτουργίας.

Βασικός στόχος του προτύπου ISO/IEC 27001 είναι να οδηγήσει τις επιχειρήσεις στην αποτελεσματική διαχείριση της ασφάλειάς τους και να διασφαλίσει, μέσω των κατάλληλων διαδικασιών και ελέγχων, την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα της πληροφορίας, προστατεύοντας έτσι τα δεδομένα τους και ταυτόχρονα τη φήμη και την αξιοπιστία τους.

Η ασφάλεια της πληροφορίας πρέπει να καθοδηγείται από την ανώτατη διοίκηση του οργανισμού, η οποία δεσμεύεται για τη διεκπεραίωση όλων των κρίσιμων διαδικασιών, όπως η αξιολόγηση κινδύνων, η πολιτική ασφαλείας πληροφοριών και η υλοποίηση διορθωτικών ενεργειών και βελτιώσεων που προκύπτουν.

Το ISO/IEC 27001 καθιστά ευκολότερη την ανάπτυξη ενός ενιαίου συστήματος διαχείρισης, που ικανοποιεί τις απαιτήσεις και άλλων προτύπων αποφεύγοντας με αυτόν τον τρόπο επαναλήψεις και περιττά κόστη.

Η πιστοποίηση παρέχεται από διαπιστευμένους και ανεξάρτητους φορείς, διασφαλίζοντας μια διεθνή αναγνώριση στην διαχείριση ασφάλειας της πληροφορίας, στην προστασία των περιουσιακών στοιχείων και στην δέσμευση για την αξιολόγηση των κινδύνων.

Με βάση το ISO/ΙEC 27001:2013 ξεκινά μια αναφορά κατανόησης του οργανισμού και της ασφάλειας, αναμένοντας από τον οργανισμό να προσδιορίσει τις εξωτερικές και εσωτερικές παραμέτρους που αλληλοεπιδρούν με το ευρύτερο πλαίσιο λειτουργίας του.

Το βέβαιο είναι ότι ένα τέτοιο Σύστημα είναι απαραίτητο να εφαρμόζεται συνολικά, αλλά να εξελίσσεται και να μετασχηματίζεται δυναμικά σύμφωνα με τις αλλαγές εντός και εκτός του οργανισμού που θα το υιοθετήσει.