787 974 136
Środowisko, w którym firmy przechowują i przetwarzają informacje, zmieniło się w ciągu ostatnich kilku lat bardziej niż przez poprzednie dwie dekady. Dane, które kiedyś żyły na serwerze w piwnicy biurowca, są dziś rozproszone między chmurą, laptopami pracowników pracujących z domu, aplikacjami SaaS i narzędziami AI, z których zespoły korzystają na co dzień — często bez wiedzy działu IT. Norma ISO 27002 w swojej aktualizacji z 2022 roku wychodzi naprzeciw tej rzeczywistości. I robi to w sposób, który jest praktycznie użyteczny dla każdej firmy — nie tylko dla korporacji z rozbudowanymi działami bezpieczeństwa.
Migracja do chmury przyspieszyła i nie ma powrotu. Google Workspace, Microsoft 365, systemy ERP w modelu SaaS, przechowywanie danych w AWS lub Azure — to codzienność firm każdej wielkości. Problem polega na tym, że model bezpieczeństwa oparty na kontroli fizycznej infrastruktury przestał działać w momencie, gdy dane opuściły własne serwery.
ISO 27002:2022 wprowadza w tym obszarze dedykowane zabezpieczenia, których poprzednia wersja normy po prostu nie obejmowała. Dotyczą one między innymi definiowania i egzekwowania polityk korzystania z usług chmurowych, zarządzania danymi przechowywanymi u zewnętrznych dostawców, kontroli nad tym, kto i na jakich warunkach może przenosić dane między środowiskiem lokalnym a chmurą, oraz weryfikacji poziomu bezpieczeństwa oferowanego przez dostawców chmury.
Dla firmy, która korzysta z kilku lub kilkunastu usług chmurowych — co dziś jest normą, nie wyjątkiem — ISO 27002 dostarcza ramy do tego, żeby zarządzać tym środowiskiem świadomie, a nie reaktywnie.
Pandemia wymusiła pracę zdalną, ale hybrydowy model pracy pozostał na stałe. Pracownik łączący się z firmowym systemem z domowej sieci WiFi, korzystający z prywatnego urządzenia do firmowej poczty, odbierający służbowe wiadomości na telefonie — to nie wyjątki, to standard. I każdy z tych scenariuszy to potencjalny wektor ataku, którego tradycyjny perimetr sieciowy nie chroni.
ISO 27002:2022 obejmuje pracę zdalną jako osobny obszar wymagający dedykowanych zabezpieczeń. Chodzi o zasady korzystania z urządzeń prywatnych do celów służbowych, wymagania dotyczące bezpiecznego połączenia zdalnego, polityki czystego biurka i ekranu obowiązujące poza firmą, a także zarządzanie ryzykiem związanym z tym, że pracownik pracuje w środowisku, którego firma nie kontroluje fizycznie.
To nie są wymagania abstrakcyjne. To odpowiedź na konkretne zdarzenia, które przydarzyły się realnym firmom — wycieki danych przez niezabezpieczone połączenia, ataki na konta pracowników pracujących zdalnie, utrata urządzeń z danymi firmowymi.
AI weszła do codziennej pracy szybciej niż jakiekolwiek wcześniejsze narzędzie technologiczne. Pracownicy korzystają z modeli językowych do pisania treści, analizy danych, tworzenia kodu, streszczania dokumentów. Robi to często bez formalnej zgody firmy i bez świadomości, że dane, które wklejają do zewnętrznego narzędzia AI, mogą być przetwarzane i przechowywane przez dostawcę usługi.
ISO 27002 nie mówi wprost o AI — norma wyprzedza ten trend jedynie częściowo — ale dostarcza narzędzi do zarządzania tym ryzykiem przez istniejące zabezpieczenia: polityki dopuszczalnego użycia narzędzi zewnętrznych, klasyfikację danych określającą co może a co nie może opuścić organizacji, zarządzanie dostawcami i weryfikację warunków przetwarzania danych przez zewnętrzne usługi. Firmy, które mają te elementy wdrożone, są w stanie zbudować rozsądną politykę korzystania z AI zanim dojdzie do niekontrolowanego wycieku danych przez narzędzie, z którego pracownicy korzystają w dobrej wierze.
Poprzednia wersja ISO 27002 pochodziła z 2013 roku — epoki sprzed dominacji chmury, sprzed powszechnej pracy zdalnej i sprzed AI. Aktualizacja z 2022 roku nie jest kosmetyczną zmianą. To norma przepisana z myślą o tym, jak firmy faktycznie funkcjonują dziś — z rozproszoną infrastrukturą, mobilnymi pracownikami i ekosystemem zewnętrznych usług cyfrowych.
Dla firm, które wdrożyły poprzednią wersję standardu, aktualizacja jest okazją do przeglądu zabezpieczeń pod kątem zagrożeń, które od tamtej pory stały się realne. Dla firm, które dopiero zaczynają, nowa wersja jest adekwatna do środowiska, w którym naprawdę działają — a nie do środowiska sprzed dekady.
DJB DORADZTWO
Marcin Chorąży
