Cyberataki są codziennością biznesu – w 2023 roku aż 66% firm w Polsce odnotowało przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa – to aż o 8 punktów procentowych więcej niż w 2022 roku[1]. To poważne zagrożenie dla każdej organizacji, niezależnie od jej wielkości czy branży. Ostatecznie, najważniejszym celem jest ochrona danych klientów i utrzymanie zaufania, które jest kluczowym elementem sukcesu biznesowego. Czy Twoja firma wdrożyła skuteczny system zarządzania bezpieczeństwem informacji i jest przygotowana na takie wyzwania?
Firmy, instytucje rządowe i organizacje non-profit są coraz częstszym celem ataków cybernetycznych, które mają na celu kradzież, manipulację lub zniszczenie wrażliwych danych. W 2022 r. z poważnym kryzysem na tym polu mierzył się brytyjski startup Revolut – firma poinformowała o kradzieży danych 50 000 jej klientów. Informacje obejmowały nie tylko dane personalne, takie jak imiona, nazwiska i adresy e-mail, ale także informacje finansowe. Hakerzy byli w stanie przeprowadzić nieautoryzowane transakcje, które kosztowały klientów setki tysięcy dolarów. Ta sytuacja pokazała, jak ważne jest skuteczne zabezpieczenie danych klientów w sektorze fintech, gdzie cyberprzestępczość jest szczególnie opłacalna.
W 2023 roku doszło do wycieku danych wrażliwych w sieci laboratoriów ALAB. Za atakiem stała grupa hakerów RA World. Atak miał charakter ransomware – polegał na upublicznieniu danych w konsekwencji nieopłaconego okupu. Tym samym do sieci trafiły dane wrażliwe kilkudziesięciu tysięcy osób, a sytuacja spowodowała reakcję organów rządowych, które wraz z firmą starały się zarządzić kryzysem. Pod koniec grudnia 2023 roku na rządowej stronie pojawiła się informacja, że w związku z rozwojem sytuacji Zespół CERT Polska, we współpracy z Centralnym Ośrodkiem Informatyki, uzupełnił listę upublicznionych numerów PESEL o 220 tys. nowych pozycji w serwisie bezpiecznedane.gov.pl. Często jednak cyberatak, aby zaszkodzić biznesowi, nie musi mieć miejsca na wielką skalę. W 2020 roku Blackbaud, dostawca oprogramowania dla sektora non-profit, został ofiarą ataku, w wyniku którego skradziono wrażliwe dane klientów. Incydent dotknął setki organizacji na całym świecie, a firma musiała zapłacić okup w zamian za zapewnienie, że skradzione dane zostaną zniszczone.
Cyberbezpieczeństwo stało się jednym z najważniejszych zagadnień dla biznesu XXI wieku.Istnieje zapotrzebowanie na zdobycie informacji mogących stanowić źródło dochodu. Wiele organizacji wciąż nie posiada jednak dostatecznej wiedzy, wypracowanych procedur i mechanizmów ochrony przed zagrożeniami utraty poufności, dostępności lub integralności informacji – mówi Anna Jasik, szefowa Zespołu Doradztwa i Szkoleń w DEKRA Polska. Dodatkowo między konkurującymi firmami występuje coraz większa migracja pracowników, co stwarza spore ryzyko naruszeń bezpieczeństwa informacji. W moim przekonaniu aktualnie żadnej organizacji nie stać na to, aby zaniedbać wdrożenie systemu zarządzania bezpieczeństwem informacji.
Czym jest system zarządzania bezpieczeństwem informacji (SZBI)?
System zarządzania bezpieczeństwem informacji (SZBI) to część systemu zarządzania organizacją, opartego na ocenie ryzyka dotyczącego bezpieczeństwa informacji, rozpatrywanego w kontekście biznesowym danej organizacji.
Korzyści z wdrożenia SZBI są nieocenione. W uproszczeniu system ten daje racjonalne zapewnienie, że dane kontrahentów i własne są właściwie chronione. Głównym celem SZBI jest zapewnienie bezpiecznego przetwarzania informacji w taki sposób, aby umożliwić realizację celów biznesowych. Wdrożenie systemu minimalizuje ryzyko wykorzystania informacji niezgodnie z intencją oraz ujawnienia informacji niepowołanym osobom zarówno wewnątrz firmy, jak i poza nią. Dodatkowo, SZBI zapewnia ciągłość biznesu organizacji oraz zapobiega ewentualnym stratom lub je minimalizuje.
Kto najbardziej skorzysta SZBI?
Jednym z głównych beneficjentów SZBI jest kadra zarządzająca firm. Skorzysta ona na lepszej koordynacji działań w zakresie bezpieczeństwa informacji i możliwości szybkiego zidentyfikowania błędów czy zagrożeń, będzie miała większy nadzór nad działaniami, a poza tym system ochroni ich majątki i interesy.
SZBI adresowany jest, niezależnie od branży, do wszystkich organizacji, dla których istotnym aspektem działania jest bezpieczeństwo danych zarówno własnej lub należącej ich klientów, partnerów biznesowych, pracowników czy wreszcie będącej własnością publiczną. Przyniesie korzyści firmom, które przechowują i przetwarzają wrażliwe informacje, takie jak dane finansowe, medyczne, osobowe lub informacje dotyczące własności intelektualnej. Wymagania dotyczące bezpieczeństwa informacji są szczególnie ważne w sektorach takich jak bankowość, służba zdrowia, administracja publiczna, przemysł obronny, sektor IT oraz firmy zajmujące się handlem i przechowywaniem danych osobowych.
Jak wdrożyć SZBI?
SZBI można wdrożyć samodzielnie, z wykorzystaniem zewnętrznych szkoleń lub przy pomocy firmy konsultingowej. Zaletą wdrożenia systemu za pomocą szkoleń zewnętrznych jest szybkie zapoznanie pracowników z normą, co zazwyczaj zwiększa świadomość pracowników i ich zaangażowanie w proces budowy systemu. Wykwalifikowani trenerzy pomagają zrozumieć zasady funkcjonowania systemu, przedstawiają możliwe sposoby rozwiązania występujących problemów i wyjaśniają wątpliwości związane z przeniesieniem wymagań normy do firmy. Metoda jest optymalna cenowo i czasowo.
Po wdrożeniu systemu zarządzania bezpieczeństwem informacji organizacja powinna wystąpić do jednostki certyfikacyjnej z wnioskiem o przeprowadzenie audytu certyfikacyjnego. Jednostka przeprowadza ocenę systemu na zgodność z wymaganiami normy ISO/IEC 27001:2022 i podejmuje decyzja. Jeśli jest pozytywna, to jednostka potwierdza formalnie spełnienie kryteriów certyfikacyjnych poprzez przyznanie i wydanie stosownego certyfikatu.
Badania pokazują, że firmy posiadające certyfikowany system zarządzania zgodny ze standardem ISO 27001 są bardziej konkurencyjne od innych przedsiębiorstw branży i uznawane za bardziej wiarygodne – dodaje Anna Jasik z DEKRA Polska.
materiał: DEKRA Polska
DEKRA w Polsce to część międzynarodowego koncernu DEKRA SE z siedzibą w Stuttgarcie, globalnego lidera w dziedzinie bezpieczeństwa informacji, zrównoważonego biznesu, szkoleń i rozwoju kompetencji. Działając od niemal 100 lat na świecie – i od ponad 20 lat w Polsce – DEKRA łączy najlepszych ekspertów, innowacyjne technologie i pasję do ustanawiania standardów, które zmieniają biznes i jakość życia społeczeństw na lepsze.
Z jasną i ambitną wizją bycia partnerem dla bezpiecznego i zrównoważonego świata, DEKRA Polska wyprzedza potrzeby rynku i oferuje innowacyjne usługi eksperckie i rekomendowane szkolenia, podnoszące kompetencje w zakresie ochrony danych, bezpieczeństwa informacji i ciągłości działania: od pełnomocnika ds. cyberbezpieczeństwa świadczonych usług kluczowych, audytora wewnętrznego –i wiodącego– systemów zarządzania zgodnych z ISO 27001 i ISO 22301, po Inspektora i Ochrony Danych.
Dzięki połączeniu wiedzy i doświadczenia polskich i światowych ekspertów, klienci DEKRA Polska mają dostęp najnowszych technologii i rozwiązań dopasowanych do ich indywidualnych potrzeb.
[1]Raport KPMG: Barometr cyberbezpieczeństwa 2024. Na fali, czy w labiryncie regulacji?
