ISO 27001:2018 – Sisteme de management al securității informației

Lumea contemporană este o lume a informațiilor și a comunicării acestora, în moduri și la niveluri niciodată întâlnite până în prezent. Iar o asemenea dezvoltare “explozivă” produce, așa cum era de așteptat, în egală măsură efecte pozitive și negative. Controlul informațiilor a devenit o necesitate, un filtru între informațiile viciate, malițioase, și informațiile “curate”, integre, ținute permanent sub o “lupă” riguroasă. Însă pentru a realiza un control eficient, în condițiile unei diversități atât de mari a informațiilor și a mediului lor suport, era necesară clasificarea prealabilă a proceselor, împărțirea acestora în subprocese și grupaje de activități, care să beneficieze de controale specifice fiecărei categorii de structuri în parte.

Prin urmare, logica lucrurilor a condus – ca un prim pas – la identificarea proceselor de management al informațiilor, clasificarea acestora, stabilirea responsabilităților și autorităților, precum și la identificarea riscurilor și oportunităților. Altfel spus, la “harta” sau “cartograma” proceselor. Un al doilea pas: funcționalitatea și efectele acestor procese, puse în evidență de ciclul PDCA – Plan-Do-Check-Act – ciclul Deming de îmbunătățire continuă. Următorul pas: identificarea riscurilor pe fiecare proces și subproces și a oportunităților rezultate din tratarea acestora. Ce reprezintă oare acești trei pași esențiali în operarea sistemului de management al informațiilor? Nimic altceva decât abordarea HLS (High Level Structure) a tuturor standardelor de sistem de management actuale.

Ne-am mai putea întreba de ce a fost nevoie de ISO 27001, dacă aveam deja ISO 9001, iar acesta se știe că este trunchiul comun al tuturor standardelor de sisteme de management. Pentru a vorbi toți “aceeași limbă”, limbajul standardizat, care să ne ajute să ne înțelegem – fără dificultăți de netrecut – în acest domeniu de specialitate strictă. Și pentru a coborî limbajul profesional din “turnul de fildeș exclusivist al IT-ului” la nivelul utilizatorilor din întreaga organizație. Cu o istorie începută în 1995 prin elaborarea de către British Standards Institution a standardului BS 7799, a cărui parte a doua se referea în mod specific la sistemele de management al securității informațiilor, ISO 27001 a fost adoptat ca atare în 2005, având ciclul PDCA inclus încă din varianta inițială.

Sistemul de management al securității informațiilor ISO 27001 este o abordare sistematică a proceselor, tehnologiei și a persoanelor, care ajută toate organizațiile să-și protejeze și să-și gestioneze informațiile printr-un management eficient al riscului. Datorită standardului ISO 27001, organizațiile își îmbunătățesc procesele și procedurile și, cu certificatul ISO 27001 pe care îl primesc, își satisfac clienții din poziția de organizație cu statut profesionist.

Care sunt beneficiile implementării sistemului de management ISO 27001?

  • Securizarea informațiilor organizațiilor în toate formele sale
  • Creșterea rezistenței la atacurile cibernetice
  • Oferirea unui cadru gestionat la nivel central
  • Oferirea de protecție la nivelul întregii organizații
  • Sprijinirea reacției la amenințările de securitate în continuă evoluție
  • Reducerea costurilor asociate cu securitatea informațiilor
  • Protejarea confidențialității, disponibilității și integrității datelor
  • Crearea, maturizarea și îmbunătățirea unei autentice culturi organizaționale

Pe scurt, implementarea de către organizație a standardului ISO 27001 pentru sistemul de management al securității informațiilor încurajează adoptarea unei abordări procesuale de monitorizare, revizuire, actualizare și îmbunătățire a tuturor activităților. Versiunea curentă românească a acestui standard este ISO 27001:2018.

Beneficiile certificării ISO 27001:

  • Reducerea costurilor securitatii informatiei
  • Îndeplinirea obligațiilor legale
  • Protecția cetățenilor, instituțiilor private și publice, infrastructurii critice și a sistemelor informatice, de atacurile și furtul de date
  • Noi oportunități de afaceri, cu și datorită certificatului de conformitate față de ISO 27001:2018 și îmbunătățirea avantajului competitiv
  • Respectarea cerințelor legale, comerciale, contractuale și de reglementare
  • Menținerea reputației organizațiilor, datorită dobândirii certificatului ISO 27001
  • Îmbunătățirea structurii și concentrarea (pe responsabilitățile privind riscurile legate de înregistrări)
  • Reducerea frecvenței auditurilor (crescând eficiența protecției, scade nevoia de audituri repetate ale consumatorilor, scăzând implicit numărul de zile de audit extern al clienților)
  • Opinia independentă cu privire la postura de securitate a organizației

Așadar, ce concluzii tragem despre implementarea unui sistem conform ISO 27001?

În primul rând, controalele de securitate a informațiilor nu sunt întotdeauna controale tehnice, legate de IT. Acestea sunt o combinație de controale de diferite tipuri, de exemplu: punerea în aplicare a controalelor software, documentarea procedurilor și formarea personalului.

În al doilea rând, fără un anumit tip de cadru de securitate, siguranța informațiilor poate deveni rapid dificil de gestionat. Acesta este motivul pentru care ISO 27001 este atât de important. Numai prin construcția unui sistem de management al siguranței informațiilor (SMSI) se pot dezvolta reguli, controale și responsabilități de securitate, iar organizația poate deveni mai în măsură să gestioneze un sistem complex.

În cele din urmă, cu cât procesele și subprocesele sunt mai bine definite, gestionate și interconectate, cu atât mai puține incidente vor apărea în organizația noastră. În fond, asta ne dorim și către această finalitate tindem.

Nu trebuie să ne îngrijoreze sau să ne sperie complexitatea vocabularului standardizat al siguranței informațiilor! Odată învățat, vom recunoaște în succesiunea proceselor, a procedurilor și a informațiilor documentate care le dovedesc funcționalitatea, același leit motiv din sistemul de management al calității, care se respectă în toate activitățile noastre, fără excepție: ” Scii ce faci + Faci ce scrii + Verifici ce-ai făcut + Îmbunățești continuu”.