Vyšší bezpečnost s ISO 27001
Priority pro rok 2025
Bezpečnost informací se týká společností všech velikostí a ve všech odvětvích. Vzhledem k mnoha složitým problémům, kterým čelí manažeři a IT oddělení zabývající se bezpečností informací, je však otázka správného stanovení priorit stále důležitější.
I proto jsme mezi rakouskými společnostmi uspořádali anketu, která přibližuje, která témata v rámci certifikace ISO 27001 zaznívala nejčastěji.
Společnosti s certifikovaným systémem řízení bezpečnosti informací mají cenné zkušenosti od nastavení systému bezpečnosti informací až po každodenní řešení různých problémů. V našem průzkumu se bezpečnostní manažeři zaměřují na budoucnost a prozrazují, která klíčová témata budou pro jejich plánování a strategii v roce 2025 obzvláště důležitá.
Nejdůležitější témata v roce 2025? Od bezpečnosti dodavatelů po řízení rizik
Jako klíčové oblasti, na které v roce 2025 zaměří svoji pozornost, uvedly dotazované společnosti nejčastěji:
- oblast bezpečnosti dodavatelů (58 %)
- řízení kontinuity provozu (55 %)
- řízení rizik (47 %)
Na seznamu důležitých témat nechybí ani řízení bezpečnostních incidentů (35 %), dodržování předpisů a školení (po 23 %) a bezpečnostní směrnice (19 %).
Zajímavé byly v průzkumu také odpovědi, které se do seznamu prioritních témat nedostaly - mezi ty patří personální bezpečnost, správa aktiv, provozní bezpečnost, kontrola přístupu, fyzická bezpečnost a kryptografie.
Buďte připravení na budoucnost nad rámec normy ISO 27001
Požadavky normy ISO 27001 představují základní průkopnický rámec pro stabilní bezpečnost informací ve společnostech. Aby se bezpečnost informací zlepšovala neustále a v dlouhodobém horizontu, je třeba zohledňovat i další opatření. K těm klíčovým patří inovativní technologie, proaktivní bezpečnostní strategie a komplexní hodnocení rizik. Díky tomuto komplexnímu přístupu budete na budoucnost připraveni.
Dotazované společnosti uvedly, že investují především do komplexního modelu zabezpečení Zero Trust, tedy oblasti architektury nulové důvěryhodnosti, řízení rizik, a v neposlední řadě i do modelování hrozeb na bázi MITRE ATT&ACK a do Immutable Backups (nesmazatelné zálohy). Většina společností již opatření v těchto třech oblastech zavedla nebo je plánuje v průběhu letošního roku zavést. S nižší prioritou byly zmíněny také oblasti DevSecOps, kontinuální správa vystavení hrozbám (CTEM/Continuous Threat Exposure Management) či zabezpečení Web3.
Průzkum mezi bezpečnostními manažery v rakouských společnostech poskytuje cennou databázi a vodítka ve stále složitějším prostředí IT bezpečnosti. Další výzvy pak přinášejí i nové předpisy, jako je NIS-2. I ty lze rychleji a snadněji překonat pomocí certifikace ISO 27001 nebo kombinovaného auditu podle zákona NIS a ISO 27001.
Celá a podrobná zpráva CIS GmbH 2024 o stavu a přínosu certifikace ISO 27001 mezi rakouskými společnostmi, které touto certifikací již prošly, je volně ke stažení zde