יותר ויותר ארגונים מחפשים לעבור לענן כדי ליהנות מגמישות, הפחתת עלויות ויכולת להשיק שירותים חדשים במהירות. עם זאת, האופי הדינמי של ענן מחייב נהלי אבטחה אשר בכנות יכולים להיות מרתיעים עבור הלקוחות. יש לטפל בנושאים הקשורים לניידות ולניהול רב-תכליתי, זהות וגישה, הגנת נתונים ותגובת אירועים והערכות. עם שירותים מרובים - SaaS, PaaS, IaaS, ציבורי, פרטי, היברידי - נשאלת השאלה כיצד האבטחה מתבצעת ועל ידי מי, וזה יכול להוביל את אנשי ה-IT לחשוב פעמיים על המעבר לענן.
ארגונים שכבר יישמו ISO 27001 לביקורת אבטחה וכדי לדווח על מצב של בקרות האבטחה בתוך הסביבה שלהם יודעים את כמות עצומה של העבודה הנדרשת ליישום התקן. עמידה בתקינות בענן הוא ללא ספק קשה, אך זה לא חייב להיות מכשול.
מהו ISO 27001 ומדוע זה חשוב?
תקינת ISO 27001 הוא תקן אבטחה עולמי אשר אומץ באופן נרחב וקובע דרישות ושיטות עבודה מומלצות לגישה מקיפה לניהול מידע של לקוחות ולקוחות. הוכחת שיטות אבטחה IT הוא מרכיב חשוב בהשגת ISO 27001. היתרונות העסקיים של ISO 27001 הסמכה הם רבים. ISO 27001 היא דרך יעילה להפחית את הסיכון של הארגון שלך סובל הפרת נתונים, עונה על דרישות הביקורת קובע אמון הן פנימית והן חיצונית כי פקדי אבטחה מנוהלים כראוי, לספק ללקוחות אמון רב יותר לעשות איתך עסקים.
מה נדרש כדי ליישם את ISO 27001 בהצלחה?
להלן שש המלצות עיקריות שיעזרו לך להשיג הסמכה מוצלחת ולשמור על תאימות בענן עם ISO27001:
מעורבות עם מנהלים בכירים מלכתחילה - הירתמות למהלך היא חיונית - וזה לא רק מנהלים וסמנכ"לים - סמנכ"לי כספים, מנכ"לים ובעלי עסקים צריכים להיות רתומים למהלך. תקשורת ברורה מלמעלה היא המפתח ,כל הארגון כולו יצטרך ליישר כדי להפוך את היוזמה להצלחה.
סקור את הסטנדרטים - ארגונים רבים ינסו לשים מדיניות ונהלים במקום מבלי להבין כי שינויים תרבותיים צריכים לקרות כדי להפוך את היישום למוצלח. ללא השינוי הנכון זה יכול להיות קשה לבצע את השינויים הדרושים כדי להשיג תאימות מתמשכת.
בצע ניתוח פערים כדי להבין את כל הליקויים- לערוך הערכה כנה של איפה אתה היום והיכן הארגון צריך להגיע.
עבודה אגרסיבית לחנך את העובדים שלך - שים תוכנית במקום ותקשר עם הצוות כי ISO ביישום של פעילות ארגונית מלאה לחינוך העובדים.
הערכה נכונה של הסיכונים - הארגון צריך להעריך באופן אובייקטיבי את כל רמות הסיכון כפי שאתה עובר את התהליך, כולל הסיכון שאתה יוצר עצמך. תוצאה מוצלחת תלויה בשינוי הדרך בה אתה פועל ומבנה השירותים שלך.
מסמך, מסמך, מסמך - כאשר אתה עובר אתה תמצא כי יש חלקים רבים צריכים לעבור תיקון כדי להיות מאובטחים כראוי. כולל תיקון של אירועים או בקרות האירוע. אם אתה לא משאיר תיעוד, זה הופך להיות קשה להוכיח את נהלי האבטחה שיישמת . הלקוחות שלך גם רוצים לדעת כיצד אתה מאבטח את סביבת המחשוב שלך.
כיצד להבטיח שספק שירותי הענן שלך תומך בתקני ISO
כאשר אתה עובד עם ספקי ענן של צד שלישי, האחריות שלך היא להבטיח שכל הצדדים המעורבים יהיו תואמים. לא רק לקחת תעודת אבטחה, עליך לאמת את טענות הארגון בעת בדיקת אישורי ISO שלהם, אחרת אתה מסכן את הארגון שלך.
שאלות לשאול כוללים: מה ההסמכה בפועל מכסה שירותים במיקומים גיאוגרפיים שונים? האם ההסמכה עבור החברה כולה או רק חלק מהשירותים? מי הוציא את האישור והאם יש להם מאגר מקוון לאימות? האם המנפיק מוכר להנפיק תעודת ISO? האם הספק מוכן להראות לך את דו"ח המבקר מאחורי הסמכה?
עם האנשים הנכונים, התהליכים והטכנולוגיה, אנשי טכנולוגיית המידע יכולים למעשה למנף ספקי שירות ענן כדי לסייע בהשגת תאימות ל- ISO 27001 - אפילו ביתר קלות מכפי שיוכלו להשיג זאת עם תשתית מקומית. ה- IT צריך להבטיח שלספק שירותי הענן שלו יש את היכולת האבטחה הנדרשות, כמו גם את יכולות הדיווח על אירועי אבטחת מידע, ואף יותר מכך, את הנכונות לסייע להם לשמור על תאימות ISO בהתאם לעומסי העבודה שלהם בענן.
ארגונים צריכים לטפל בתקני אבטחת המידע בכדי להבטיח שספק הענן עמוד בדרישות שלהם. ISO בענן לא חייב להיות סיוט, אבל צריך לגשת לתהליך בצורה נכונה.