Naslovna > Konzalting > Informacijska sigurnost, kibernetička sigurnost i kontinuitet poslovanja > Upravljanje rizicima informacijske sigurnosti
Upravljanje rizicima informacijske sigurnosti
Što je to upravljanje rizicima informacijske sigurnosti?
Upravljanje rizicima informacijske sigurnosti je skup koordiniranih aktivnosti kojima se tvrtka usmjerava i kontrolira s ciljem provođenja učinkovite procjene i rješavanja rizika informacijske sigurnosti tijekom vremena.
Informacija je postala najvažnija valuta današnjeg doba i temeljni je pogon svakog poslovnog sustava. Zbog njene iznimne važnosti, nužno je uspostaviti sustav kontrola i mjera kako bi se postigla primjerena razina zaštite bez obzira u kojem se ona obliku nalazila. Zbog nezaobilazne primjene informacijsko-komunikacijskih tehnologija u skoro svim područjima života a ponaosob poslovnom, sigurnost informacijskih sustava je osobito značajna, te se treba promatrati kao podloga za efikasno i uspješno poslovanje. Niti jedan sustav ne može se u potpunosti zaštititi ali se mogu poduzeti mjere koje će povećati stupanj zaštite. Bez obzira o veličini prijetnje, ona uvijek može iskoristiti neku ranjivost sustava i pri tom prouzročiti neku štetu koja može biti zanemariva ali i značajna. Pravovremeno prepoznavanje ranjivosti i prijetnji omogućava tvrtki da ublaži ili spriječi nastanak štete. Proces upravljanja rizicima informacijske sigurnosti nije jednostavan i predstavlja važnu komponentu za uspješno funkcioniranje informacijskog sustava, a time i same tvrtke. Informacijska sigurnost štiti informacije od širokog spektra prijetnji, kako bi se osigurao kontinuitet poslovanja, minimizirale poslovne štete i maksimizirao povrat ulaganja te ostvarile nove poslovne mogućnosti.
Osnovna zadaća upravljanja rizicima informacijske sigurnosti je ispuniti sigurnosne zahtjeve koji su usklađeni sa zahtjevima svih dionika tvrtke, uz određivanje prihvatljive točke odnosa između ulaganja u sigurnosne kontrole i troška u slučaju pojave sigurnosnog incidenta ili ostvarenja prijetnje.
Norma ISO 27005 koja se odnosi na upravljanje rizikom informacijske sigurnosti, nadilazi specifične lozinke, vatrozide, filtre i enkripciju i opisuje sustavan pristup upravljanju rizicima informacijske sigurnosti a dizajniranje procesa u skladu s njenim odredbama ključno je za uspješnu implementaciju sustava upravljanja informacijskom sigurnošću. Skup normi ISO 27000 striktno je umjerena prema obradi rizika, pri čemu je važno da tvrtke na samom početku procijene rizike a nakon toga prije nego uspostave planove za upravljanje i tretiranje rizika.
ISO 27005 razvijen je kako bi pomogao tvrtkama da implementiraju formalan i dokumentiran proces procjene, tretiranja, prihvaćanja , informiranja i nadzora nad rizicima.
Koje su koristi upravljanja rizicima informacijske sigurnosti?
Norma ISO 27005 opisuje procese koji čine sustav upravljanje informacijskim rizicima i to su:
- uspostava konteksta, odnosi se na prikupljanje relevantnih informacija o tvrtki kako bi se odredili kriteriji za procjenu rizika poput:
- strateške vrijednosti i kritičnosti informacijske imovine;
- legalne, regulatorne i ugovorne obveze;
- važnost zaštite informacijske imovine (dostupnost, povjerljivost i integritet);
- očekivanja svih dionika;
- utjecaja sigurnosnih događaja na poslovanje.
- procjena rizika informacijske sigurnosti, putem koje se:
- određuje vrijednost informacijske imovine;
- identificiraju ranjivosti i prijetnje;
- utvrđuju postojeće kontrola;
- procjenjuju potencijalne posljedice za slučaj sigurnosnog događaja;
- određuje prioritet rizika a time i redoslijed njihove obrade.
- postupanje s rizicima informacijske sigurnosti, pri čemu tvrtka odlučuje dali će:
- primijeniti nove ili promijeniti postojeće kontrole;
- prihvatiti rizik;
- izbjeći rizik na način da obustavi aktivnosti koje rezultiraju pojavom rizika;
- prenijeti i podijeliti rizik na treće strane (npr. osiguravajuće društvo).
- prihvaćanje preostalih rizika nakon provedbe postupanja s rizicima;
- informiranje svih dionika o rizicima i načinima obrade rizika;
- praćenje i ponovna procjena rizika informacijske sigurnosti, provodi se između ostalog ako je:
- dodana nova informacijska imovina koja ulazi u opseg upravljanja rizikom;
- došlo do promjene vrijednosti informacijske imovine (porast, smanjenje ili je postala ključna);
- nastala spoznaja o novim ranjivostima i prijetnjama;
- porastao utjecaj na poslovanje uslijed potencijalnog sigurnosnog događaja;
- došlo do događaja povrede informacijske sigurnosti.
Implementacijom sustava upravljanja rizicima informacijske sigurnosti, tvrtka:
- efikasnije prepoznaje prijetnje i ranjivosti svoje informacijske imovine;
- uspostavlja okvir kojim štiti bitne aspekte svog poslovanja (operativni, financijski, reputacijski);
- postiže usklađenost s regulatornim i zakonskim propisima (ako postoje);
Kako Vam ZIH može pomoći?
Za svakog korisnika ZIH ima individualiziran pristup ovisno o njegovim potrebama. U skladu s tim organiziramo radionice s upravljačkim timovima a uz stručno vođenje naših konzultanata i primjenu referentnih svjetskih preporuka pomažemo korisnicima da uspješno uvedu procese sustavnog upravljanja rizicima informacijske sigurnosti.
Konzultantske usluge koje Vam možemo pružiti:
- priprema pristupa upravljanju rizicima informacijske sigurnosti;
- uspostavljanje procesa upravljanja rizicima informacijske sigurnosti;
- odabir metode za upravljanje rizicima informacijske sigurnosti;
- izrada procedure za upravljanje rizicima informacijske sigurnosti;
- provođenje identifikacije rizika informacijske sigurnosti;
- provođenje procjene rizika informacijske sigurnosti;
- savjetovanje o odabiru kontrola i načinima umanjivanja rizika informacijske sigurnosti;
- izrada okvira odgovornosti za rizike informacijske sigurnosti;
- savjetovanja prilikom implementacije rješenja u praksu;
- revizija upravljanja rizicima informacijske sigurnosti;
- Izrada GAP analize usklađenosti s regulatornim, zakonskim i ostalim propisima i normama.
U svrhu boljeg uzajamnog razumijevanja, organiziramo radionice putem kojih korisnicima dajemo smjernice kako da:
- razumiju i odrede kontekst poslovanja svoje tvrtke;
- prepoznaju sve ključne dionike;
- identificiraju informacijsku imovinu, njenu vrijednost i važnost;
- identificiraju ranjivosti, prijetnje i rizike svog poslovanja;
- prepoznaju operativne rizike upotrebe informacijsko komunikacijskih tehnologija.
Edukacije iz navedenog područja:
Možda Vas interesiraju i ove naše usluge i edukacije:
Zašto ZIH?
ZIH ima više od 20 godina bogatog iskustva u oblikovanja suvremene organizacije sustava upravljanja rizicima poslovanja a ponaosob rizicima informacijske sigurnosti te pomno prati razvoj i primjenu normi koje se odnose na ovu tematiku (poput ISO 31000, ISO 27005). Također je uspješno proveo niz procjena poslovnih rizika, rizika upotrebe informacijskih tehnologija i rizika informacijske sigurnosti.