Zabezpieczanie informacji w erze cyfrowej transformacji
W dzisiejszym cyfrowym świecie, gdy coraz więcej działalności firmy przenosi się do Internetu, bezpieczeństwo informacji staje się kluczową kwestią. Organizacje muszą zmierzyć się z wyrafinowanymi atakami cyberprzestępców, którzy nieustannie poszukują sposobów na uzyskanie dostępu do wrażliwych danych. Jednym z kluczowych aspektów zapewnienia bezpieczeństwa jest odpowiednie postępowanie z informacjami, które nie są już potrzebne, ale wciąż znajdują się w systemach IT firmy.
Według ekspertów z DQS Global, międzynarodowy standard bezpieczeństwa informacji ISO/IEC 27001 definiuje kompleksowy katalog środków mających na celu holistyczną ochronę zasobów informacyjnych firm i organizacji. Jednym z kluczowych elementów tego standardu jest Kontrola 810, która odnosi się do ryzyka stwarzanego przez informacje, które nie są już potrzebne, ale nadal znajdują się w systemach informatycznych. Usunięcie tych już niepotrzebnych danych zapobiega ich ujawnieniu, zapewniając zgodność z wymogami prawnymi, ustawowymi, regulacyjnymi i umownymi dotyczącymi usuwania danych.
Procedury bezpiecznego usuwania danych
Aby zapewnić niezawodne usuwanie wrażliwych informacji – przy jednoczesnym zachowaniu zgodności z odpowiednimi politykami przechowywania danych oraz obowiązującymi przepisami – nowy standard ISO/IEC 27002:2022 przewiduje następujące procedury, usługi i technologie:
-
Usługi w chmurze: Jeśli organizacja korzysta z usług w chmurze, ważne jest sprawdzenie dopuszczalności oferowanych przez dostawcę procedur usuwania danych. Jeśli to możliwe, organizacja powinna skorzystać z tych procedur lub zwrócić się do dostawcy usług w chmurze o usunięcie informacji.
-
Automatyzacja: Procesy usuwania danych powinny być, o ile to możliwe, zautomatyzowane w ramach wytycznych dla poszczególnych podmiotów.
-
Usuwanie urządzeń: Aby zapobiec niezamierzonemu ujawnieniu informacji wrażliwych, cała pamięć masowa urządzenia zwrócona dostawcom powinna zostać usunięta przed zwrotem. W przypadku niektórych urządzeń, takich jak smartfony, usunięcie danych jest możliwe tylko poprzez zniszczenie lub funkcje wewnętrzne, takie jak przywrócenie ustawień fabrycznych.
-
Dobór procedury: W zależności od klasyfikacji informacji, ważne jest, aby wybrać odpowiednią procedurę usuwania. Procesy usuwania powinny być udokumentowane w zależności od wrażliwości, aby w razie wątpliwości móc udowodnić usunięcie danych.
-
Techniki maskowania: W przypadku szeregu wrażliwych informacji, takich jak przetwarzanie danych osobowych, wymogi firmowe, branżowe lub regulacyjne przewidują maskowanie, pseudonimizację lub anonimizację informacji. Techniki te umożliwiają ukrywanie danych osobowych, zaciemnianie prawdziwych danych i zaciemnianie wzajemnych powiązań informacji.
Zapobieganie wyciekom danych
Oprócz bezpiecznego usuwania danych, organizacje muszą również wdrożyć odpowiednie środki zapobiegające wyciekowi informacji wrażliwych. Zgodnie z normą ISO/IEC 27002:2022, kluczowe działania w tym zakresie obejmują:
-
Ograniczenie uprawnień: Organizacje powinny krytycznie rozważyć potrzebę ograniczenia uprawnień użytkowników do kopiowania, wklejania lub przesyłania danych do usług, urządzeń i nośników pamięci poza organizacją.
-
Narzędzia antywyciekowe: W razie potrzeby konieczne może być wdrożenie odpowiednich narzędzi zapobiegających wyciekom danych lub odpowiednie skonfigurowanie istniejących technologii, takich jak ograniczenie możliwości kopiowania danych poza kontrolą organizacji.
-
Zatwierdzanie eksportu: Jeśli eksport danych jest wymagany, właściciel danych może zatwierdzać go indywidualnie dla każdego przypadku i w razie potrzeby pociągać użytkowników do odpowiedzialności za niepożądane działania.
-
Zmylenie atakujących: Środki ochrony informacji poufnych lub tajemnic handlowych mogą być zaprojektowane tak, aby zmylić atakujących – na przykład poprzez zastąpienie fałszywymi informacjami, odwróconą inżynierię społeczną lub użycie honeypotów w celu zwabienia atakujących.
-
Monitorowanie działań: Wiele narzędzi monitoruje również komunikację i działania online pracowników oraz wiadomości osób trzecich, co wiąże się z różnymi kwestiami prawnymi, które należy rozważyć przed zastosowaniem takich rozwiązań.
Korzyści z wdrożenia procedur bezpieczeństwa
Dzięki ciągłemu monitorowaniu przepływu danych i informacji, maskowaniu wrażliwych informacji oraz rygorystycznym zasadom usuwania danych, firmy mogą trwale poprawić swoją ochronę przed wyciekiem i utratą danych, a także przeciwdziałać niezamierzonej publikacji krytycznych informacji.
Ponadto, procedury te mają decydujący wpływ na cyberbezpieczeństwo całej firmy i minimalizują powierzchnię ataku dla hakerów i szpiegostwa przemysłowego. Dla firm i organizacji jest to teraz kwestia odpowiedniego ustanowienia procedur i wymaganych narzędzi oraz zintegrowania ich z procesami biznesowymi, aby wykazać zgodne z normą wdrożenie wymagań podczas przyszłych audytów certyfikacyjnych.
Aktualizacja normy ISO/IEC 27002
Warto również wspomnieć, że Międzynarodowa Organizacja Normalizacyjna ISO opublikowała w 2022 roku nową wersję normy ISO/IEC 27002, która wprowadza kilka istotnych zmian. Najważniejsze z nich to zmniejszenie liczby zabezpieczeń z 114 do 93 oraz aktualizacja standardu do obecnego stanu wiedzy o bezpieczeństwie informacji i cyberbezpieczeństwie.
Organizacje, które już posiadają certyfikat ISO 27001, muszą teraz zweryfikować swój System Zarządzania Bezpieczeństwem Informacji (SZBI) i dostosować go do nowych wymagań. Firmy, które dopiero planują wdrożenie ISO 27001, mogą od razu opracowywać SZBI w oparciu o zaktualizowaną normę ISO/IEC 27002:2022.
Podsumowując, bezpieczne usuwanie danych, zapobieganie wyciekom informacji oraz aktualizacja standardów bezpieczeństwa informacji są kluczowymi elementami ochrony firmy w erze cyfrowej transformacji. Właściwe wdrożenie tych procedur nie tylko zapewnia zgodność z normami, ale także stanowi istotną inwestycję w długoterminowe bezpieczeństwo i konkurencyjność organizacji na rynku. Stronyinternetowe.uk pozostaje do Twojej dyspozycji, aby omówić szczegółowe rozwiązania w zakresie bezpieczeństwa Twojej witryny internetowej.
