Czy norma ISO/IEC 27001 to panaceum, które zapewni bezpieczeństwo cyfrowego świata?

Rok 2013 zostanie zapamiętany jako przełomowy dla bezpieczeństwa informacji. Nie tylko przez osoby pracujące w branży, ale także każdego, kto śledzi serwisy informacyjne.

Hakerstwo polityczne, takie jak działania syryjskiej armii elektronicznej, pokazały, że najmniejsza podatność sieci komputerowej na zagrożenia może być i zostanie wykorzystana przez osoby niepowołane do rozpowszechniania przesłań politycznych. Wszystko po to aby przyciągnąć uwagę międzynarodowej opinii publicznej.

Edward Snowden ujawnił, że nasza aktywność online jest monitorowana w znacznie większym stopniu, niż nam się wydaje. Dało to powód do weryfikacji naszego zachowania online i bezpieczeństwa danych. Ponadto w 2013 roku odnotowano, że rejstry domen najwyższego poziomu były atakowane na bezprecedensową skalę, niekiedy skutecznie. Również wtedy cyfrowy półświatek zrozumiał, że kontrolowanie nazwy domeny jest doskonałym kierunkiem wrogich ataków.

Łatwo z tego wyciągnąć wniosek, że sama technologia nie jest już wystarczająca, aby chronić nas przed cyberprzestępstwami i cyfrową wojną. Zatem co jest skuteczne? Czy norma dotycząca bezpieczeństwa informacji ISO/IEC 27001 może dokonać tego, z czym nie radzi sobie technologia?

Niezupełnie, ponieważ nie po to została opracowana. Może ona jednak pomóc organizacjom w lepszym zrozumieniu problematyki bezpieczeństwa danych i co za tym idzie, bardziej bezpiecznym działaniu w cyfrowym świecie, równocześnie zmniejszając ich podatność na cyberataki.

Jak to działa? ISO/IEC 27001 to norma wyznaczająca standard zarządzania, tak jak prawdopodobnie lepiej znane normy ISO 9000 i ISO 14000,  została stworzona, aby pomóc organizacjom w zarządzaniu bezpieczeństwem informacji. Dzięki ciągłemu cyklowi procesów udoskonaleń i certyfikacji zewnętrzni audytorzy poszukują dowodu, że istnienie cyklu ISO/IEC 27001 jest skuteczne i rzeczywiście zwiększa poziom bezpieczeństwa informacji w organizacji z certyfikatem. Uzyskanie certyfikacji to złożony proces, który wiąże się ze spełnieniem wymogów określonych norm bezpieczeństwa informacji i zmianą sposobu postępowania z danymi. Ale nie mniej trudne jest utrzymanie certyfikatu, gdyż wymaga ciągłego rozwoju i udoskonalania norm bezpieczeństwa, a także wyznaczania celów, które są coraz trudniejsze do realizacji.

Jako pracownicy rejestru EURid jesteśmy przekonani, że bezpieczeństwo informacji stanowi fundamentalny element konstrukcyjny naszego biznesu. Aby ułatwić sobie systemowe podejście do zapewniania bezpieczeństwa informacji, zarówno w naszych operacjach technicznych jak i procesach biznesowych, zdecydowaliśmy się przestrzegać wymogów normy dotyczącej bezpieczeństwa ISO/IEC 27001.

Być może nie jest to panaceum – i prawdopodobnie takie panaceum nigdy nie będzie dostępne – ale uważamy, że w powiązaniu z technologią jest to najlepszy sposób zabezpieczenia naszej domeny najwyższego poziomu .eu dla posiadaczy nazw domen .eu i użytkowników Internetu.

Dirk Jumpertz
Dyrektor ds. Bezpieczeństwa
EURid, rejestr domeny najwyższego poziomu .eu