Giải quyết thực tế mới về thông tin và an ninh mạng

Truy cập Góc Chuyên gia của BSI: Trang chủ cho những hiểu biết sâu sắc từ các giám đốc thực hành của BSI và các chuyên gia trong ngành về Môi trường, Sức khỏe, An toàn, An ninh và Bền vững.

Ngày 14 tháng 2 năm 2023 - Tiêu chuẩn ISO/IEC 27001 mới đã được áp dụng. Tầm quan trọng của việc cập nhật và sửa đổi tư thế "Infosec" của bạn không thể được nhấn mạnh quá mức. Lý do rất đơn giản: tiêu chuẩn cũ được tạo ra để giải quyết các thách thức về thông tin và an ninh mạng tồn tại một thập kỷ trước. Tuy nhiên, mọi thứ đã thay đổi đáng kể kể từ đó, và nhanh hơn rất nhiều so với bất kỳ ai dự đoán.

Trong khi bạn có ba năm để hoàn thành quá trình chuyển đổi, có một nhu cầu cấp bách để cập nhật ISMS của bạn để phản ánh thực tiễn kinh doanh hiện tại của bạn và các rủi ro liên quan. Bạn nên bắt đầu ngay lúc này. Hãy cùng khám phá cách triển khai tiêu chuẩn mới, được nâng cấp để có thể giúp bạn ứng phó với ba thách thức đan xen làm tiêu đề cho bối cảnh kỹ thuật số ngày nay.

Tăng tốc số hóa

Do hậu quả của đại dịch COVID-19, các doanh nghiệp trên toàn thế giới buộc phải thích nghi hoặc diệt vong. Nhiều chuyển đổi kỹ thuật số đã xảy ra trong hai năm đó so với thập kỷ trước. Chuyển sang dịch vụ đám mây cho phép làm việc từ xa dễ dàng hơn, liên tục kinh doanh hiệu quả hơn và khôi phục thảm họa nhanh hơn. Tuy nhiên, các dịch vụ mới mang lại rủi ro riêng cho bảo mật, với một lượng lớn dữ liệu thường rất nhạy cảm được lưu trữ bởi nhiều bên thứ ba, có khả năng được giữ và truy cập trên toàn thế giới.

Do những rủi ro và thách thức này, ISO/IEC 27001 đã thực hiện một số thay đổi để đảm bảo các tổ chức có thể đáp ứng các yêu cầu an ninh mạng và thông tin mới vào các tiêu chuẩn quản lý hiện tại của họ. Điều đó bao gồm các yêu cầu mới để xác định, giao tiếp và thực hiện các quy trình để đảm bảo an toàn cho dữ liệu.

Việc loại bỏ chu vi vật lý

Một mạng lưới phần cứng khép kín thời đại trước đã qua lâu rồi. Ngay cả trước năm 2020, mọi phần trong cuộc sống của chúng ta đã trở nên gắn bó với nhau, nhưng đại dịch đã đẩy nhanh điều đó hơn nữa. Nhiều nhân viên hiện đang làm việc từ các thiết bị của riêng họ ở nhà, tại sân bay và bất cứ nơi nào khác mà bạn có thể tưởng tượng, làm tăng nguy cơ họ sử dụng các thiết bị có khả năng không an toàn và kết nối qua bộ định tuyến cá nhân không an toàn, Wi-Fi công cộng hoặc tệ hơn.

Cách làm việc hoàn toàn mới này hiện được tính đến trong tiêu chuẩn mới, cung cấp bối cảnh cập nhật cho các biện pháp kiểm soát bảo mật bao gồm các cân nhắc về thông tin, mạng, vật lý, môi trường, quản lý tài sản và nguồn nhân lực.

Công nghiệp hóa tội phạm mạng

Sự gia tăng của các dịch vụ đám mây cũng làm nảy sinh khái niệm Phần mềm dưới dạng dịch vụ. Thật không may, sự đổi mới không chỉ ủng hộ những người tốt và sẽ chỉ là vấn đề thời gian trước khi tội phạm mạng nắm bắt được lợi ích của việc cung cấp Ransomware-as-a-Service (RaaS). Trang web đen tràn ngập phần mềm độc hại được tạo sẵn, loại bỏ yêu cầu quản lý các tác nhân độc hại từ đó nhắm mục tiêu vào các doanh nghiệp.

Hiện trạng đáng báo động là tội phạm mạng đã trải qua sự chuyển đổi nhanh chóng tương tự như chúng ta đang thấy trong các tổ chức của mình và đó là một mô hình sẽ tiếp tục với sự phát triển nhanh chóng liên tục của các mối đe dọa và tấn công.

Đây là động lực chính đằng sau việc đưa các khuôn khổ ứng phó với mối đe dọa an ninh mạng vào các hướng dẫn mới cho tiêu chuẩn cập nhật, chẳng hạn như xác định, phát hiện, bảo vệ, phản hồi và khôi phục. Bằng cách vượt ra ngoài các khuôn khổ bảo mật thông tin truyền thống, nó đảm bảo tổ chức của bạn có các quy trình để quản lý các mối đe dọa an ninh mạng ngày càng phát triển.

Mức độ khẩn cấp khi giải quyết những thách thức này sẽ khác nhau tùy thuộc vào rủi ro liên quan đến dữ liệu của bạn, khả năng bị tấn công và tác động tiềm ẩn nếu xảy ra. Tuy nhiên, nhờ sự phổ biến của RaaS và tính dễ áp dụng của nó, công bằng mà nói các công ty thuộc mọi quy mô và ngành công nghiệp nên luôn cảnh giác và có thể tự xem mình là đối tượng dễ bị tổn thương.

Tiêu chuẩn mới đã thay đổi như thế nào

Vào tháng 2 năm 2022, tiêu chuẩn ISO/IEC 27002:2022 mới đã được công bố để phản ánh thực tế về cách chúng ta hiện đang sống và làm việc. Những thay đổi đó được phản ánh trong ISO/IEC 27001 mới được công bố.

Tiêu chuẩn ISO/IEC 27001 sửa đổi bao gồm Cấu trúc hài hòa ISO mới, mang lại tính nhất quán, rõ ràng và đơn giản, cũng như các danh mục và kiểm soát bảo mật mới, với hướng dẫn và thuộc tính mới liên quan, vì vậy hãy dành một chút thời gian để khám phá những thay đổi chính thông qua bản tóm tắt một trang của chúng tôi.

Tại sao tiêu chuẩn mới lại quan trọng

Nói tóm lại, tiêu chuẩn mới đảm bảo tổ chức có một hệ thống quản lý thông tin tuân thủ thông lệ tốt nhất toàn cầu. Nó cho phép bạn điều chỉnh vị thế an toàn thông tin của mình với cách bạn hoạt động trong bối cảnh mối đe dọa hiện tại.

Nó giúp bạn quản lý hiệu quả hơn dữ liệu liên quan đến thông tin và an ninh mạng và nó đã được hợp lý hóa để giúp nhiều người truy cập và thực hiện các biện pháp kiểm soát phù hợp dễ dàng hơn.

Vượt qua những thách thức của việc thực hiện

Việc thực hiện tiêu chuẩn mới đòi hỏi bạn phải xem lại tuyên bố về khả năng áp dụng và đánh giá rủi ro của bạn. Nhưng trên hết, con người là đối tượng triển khai được ưu tiên hơn bất cứ điều gì khác. Từ BYOD đến làm việc từ xa, trách nhiệm về thông tin và an ninh mạng hiện thuộc về mọi bên liên quan trong tổ chức của bạn, vì vậy chìa khóa thành công nằm ở việc nhận được sự ủng hộ của họ.

Đó là về việc thách thức kỳ vọng của mọi người rằng họ có thể chỉ cần dựa vào công nghệ để cung cấp mức độ bảo mật phù hợp. Thay vào đó, nó trở thành một cuộc thảo luận về trách nhiệm.

Những cuộc trò chuyện này không nên chỉ là nội bộ. Duy trì an ninh của chuỗi cung ứng toàn cầu thường rất phức tạp, với nhiều nhà cung cấp bên thứ ba về nền tảng dịch vụ đám mây, công nghệ và hệ thống quản lý thông tin. Việc triển khai sẽ yêu cầu bạn làm việc chặt chẽ với các nhà quản lý chuỗi cung ứng và mua sắm trên toàn mạng lưới của bạn.

Phối hợp hiệu quả không chỉ có nghĩa là giúp họ hiểu cách thức và những gì họ cần làm, mà còn nêu bật lý do tại sao. Bạn cần có khả năng giải thích tiêu chuẩn mới tác động trực tiếp đến mỗi bên như thế nào, đó là lý do tại sao việc tham gia vào quá trình chuyển đổi càng sớm càng tốt là rất quan trọng. Nó cung cấp cho bạn một cơ hội để cập nhật kiến thức cho bản thân đúng đắn về các mối đe dọa, rủi ro và cơ hội mà mỗi bên liên quan phải đối mặt, vì vậy bạn có thể giúp họ nắm lấy những thay đổi cần thiết.

Cải tiến liên tục là mục tiêu cuối cùng

Chúng ta đang thấy một bối cảnh pháp lý ngày càng phức tạp. Khi các quy định mới xuất hiện trên khắp thế giới một cách thường xuyên, điều này làm tăng sự phức tạp của việc tuân thủ. Tuy nhiên, đây chỉ là một phần của vấn đề rộng hơn, đó là quản lý rủi ro.

Không thể xây dựng một bức tường đủ lớn để giữ an toàn cho tổ chức của bạn. Không có giải pháp công nghệ hoặc quy trình duy nhất. Cách duy nhất để duy trì mức độ tối ưu của thông tin và an ninh mạng là đảm bảo tất cả mọi người, từ CEO đến nhân viên tạm thời, đều có quyền sở hữu nó.

Từ nhận thức, đào tạo, tuân thủ và hơn thế nữa, hiệu quả của hệ thống quản lý của bạn đòi hỏi phải đánh giá và cải tiến liên tục. Điều chắc chắn duy nhất là mọi thứ sẽ thay đổi, và nhanh chóng. Có một cái nhìn toàn diện, lặp đi lặp lại về tổ chức của bạn và mọi thứ nó tương tác sẽ là cách duy nhất để trở thành đơn vị đi đầu trong hoạt động này.

Để đọc thêm tin tức về Niềm tin Kỹ thuật số và các chủ đề Môi trường, Sức khỏe và An toàn nên đứng đầu danh sách của tổ chức bạn, hãy truy cập Góc Chuyên gia của BSI.

Liên hệ với BSI để tìm hiểu cách chúng tôi có thể giúp bạn hoàn thành việc nâng cấp ISMS một cách iên tục và hiệu quả.

David Mudd

David Mudd

David Mudd, Giám đốc Toàn cầu về Đảm bảo Niềm tin Kỹ thuật số, chịu trách nhiệm về danh mục dịch vụ của BSI trên tất cả các ngành nghề kinh doanh. Ông xây dựng các giải pháp cho Đảm bảo niềm tin kỹ thuật số bao gồm an ninh mạng, quyền riêng tư, quản trị và rủi ro CNTT, chuỗi cung ứng, quản lý dữ liệu và Trí tuệ nhân tạo (AI).