Warum der aktualisierte ISO 27001-Standard für die Sicherheit jedes Unternehmens wichtig ist

Am Morgen des 4. August 2022 wurde Advanced, ein Lieferant des britischen National Health Service (NHS), von einem großen Cyberangriff getroffen. Wichtige Dienste, darunter NHS 111 (die 24/7-Gesundheits-Hotline des NHS) und dringende Behandlungszentren wurden offline geschaltet, was zu weit verbreiteten Störungen führte. Dieser Angriff diente als brutale Erinnerung daran, was ohne standardisierte Kontrollen passieren kann. Um sich selbst zu schützen, sollten sich Organisationen an ISO 27001 orientieren.

ISO 27001 ist ein international anerkannter Standard für Informationssicherheitsmanagementsysteme. Es wurde erstmals im Jahr 2005 veröffentlicht, um Unternehmen bei der Implementierung und Aufrechterhaltung eines soliden Informationssicherheitsrahmens für das Management von Risiken wie Cyberangriffen, Datenlecks und Diebstahl zu unterstützen. Ab dem 25. Oktober 2022 wurde es in mehreren wichtigen Punkten aktualisiert.

Der Standard besteht aus einer Reihe von Abschnitten (Abschnitte 4 bis 10), die das Managementsystem definieren, und Anhang A, der eine Reihe von Kontrollen definiert. Die Klauseln umfassen Risikomanagement, Geltungsbereich und Informationssicherheitsrichtlinie, während die Kontrollen von Anhang A Patch-Management, Virenschutz und Zugriffskontrolle umfassen. Es ist erwähnenswert, dass nicht alle Kontrollen obligatorisch sind; Unternehmen können diejenigen verwenden, die am besten zu ihnen passen.

Warum wird ISO 27001 aktualisiert?

Seit der letzten Aktualisierung des Standards sind neun Jahre vergangen, und in dieser Zeit hat sich die Technologiewelt grundlegend verändert. Neue Technologien haben die Branche dominiert, und dies hat sicherlich seine Spuren in der Cybersicherheitslandschaft hinterlassen.

Unter Berücksichtigung dieser Änderungen wurde der Standard überprüft und überarbeitet, um den heutigen Stand der Cyber- und Informationssicherheit widerzuspiegeln. Wir haben bereits gesehen, dass ISO 27002 (die Anleitung zur Anwendung der Kontrollen in Anhang A) aktualisiert wurde. Die Anzahl der Kontrollen wurde von 114 auf 93 reduziert, ein Prozess, bei dem mehrere zuvor vorhandene Kontrollen kombiniert und 11 neue hinzugefügt wurden.

Viele der neuen Steuerungen waren darauf ausgerichtet, den Standard mit moderner Technologie in Einklang zu bringen. So gibt es jetzt zum Beispiel eine neue Steuerung für die Cloud-Technologie. Als die Steuerelemente 2013 zum ersten Mal erstellt wurden, war die Cloud noch im Entstehen. Heute ist die Cloud-Technologie eine dominierende Kraft im gesamten Technologiesektor. Die neuen Steuerelemente tragen somit dazu bei, den Standard auf den neuesten Stand zu bringen.

Im Oktober wurde ISO 27001 aktualisiert und mit der neuen Version von ISO 27002 in Einklang gebracht. Unternehmen können nun die Konformität mit den aktualisierten Kontrollen von 2022 erreichen und sich zertifizieren, dass sie diesen neuen Standard erfüllen, anstatt die jetzt veraltete Liste von 2013.

Wie kann Ihr Unternehmen von einer ISO 27001-Zertifizierung profitieren?

Die Implementierung von ISO 27001 bringt eine Reihe von Informationssicherheitsvorteilen, von denen Unternehmen von Anfang an profitieren.

Unternehmen, die Zeit in die ISO 27001-Zertifizierung investiert haben, werden von ihren Kunden als Organisationen anerkannt, die Informationssicherheit ernst nehmen. Unternehmen, die sich an den Bedürfnissen ihrer Kunden orientieren, sollten dem allgemeinen Gefühl der Unsicherheit in den Köpfen ihrer Nutzer entgegenwirken.

Darüber hinaus wird ISO 27001 als Teil der immer strengeren Due-Diligence-Prozesse, die viele Unternehmen jetzt durchführen, obligatorisch. Daher profitieren Unternehmen davon, frühzeitig die Initiative zu ergreifen, um keine kommerziellen Versäumnisse zu verpassen.

Bei der Cyber-Abwehr ist Vorbeugen immer besser als Heilen. Angriffe bedeuten Störungen, die sich für ein Unternehmen fast immer als kostspielig erweisen, sowohl in Bezug auf den Ruf als auch auf die Finanzen. Daher könnten wir ISO 27001 als eine Art Cyber-Versicherung betrachten, bei der präventiv die richtigen Schritte unternommen werden, um Organisationen langfristig Geld zu sparen.

Es geht auch um Bildung. Häufig ist der Benutzer der schwächste Punkt einer Organisation und damit der am häufigsten angegriffene Punkt. Kompromittierte Benutzeranmeldeinformationen können zu Datenschutzverletzungen und kompromittierten Diensten führen. Wenn sich die Benutzer der Art der Bedrohungen bewusster wären, denen sie ausgesetzt sind, würde die Wahrscheinlichkeit, dass ihre Anmeldeinformationen kompromittiert werden, erheblich sinken. ISO 27001 bietet klare und überzeugende Schritte, um Benutzer über die Risiken aufzuklären, denen sie ausgesetzt sind.

Was auch immer ein Unternehmen dazu veranlasst, sich für die Implementierung von ISO 27001 zu entscheiden, der Schlüssel, um das Beste daraus zu machen, ist die Verankerung seiner Prozesse und Verfahren in seiner täglichen Arbeit.

Die Herausforderung der ISO 27001-Zertifizierung meistern

Viele Unternehmen haben bereits viele Kontrollen von ISO 27001 implementiert, einschließlich Zugriffskontrolle, Backup-Verfahren und Schulungen. Auf den ersten Blick mag es so aussehen, als hätten sie dadurch bereits einen höheren Cybersicherheitsstandard in ihrer gesamten Organisation erreicht. Was ihnen jedoch weiterhin fehlt, ist ein umfassendes Managementsystem, um die Informationssicherheit der Organisation tatsächlich zu verwalten und sicherzustellen, dass sie an den Geschäftszielen ausgerichtet, in einen kontinuierlichen Verbesserungszyklus eingebunden und Teil der Business-as-usual-Aktivitäten ist.

Während die Vorteile von ISO 27001 für viele in der Technologiebranche offensichtlich sind, ist die Überwindung der Hindernisse für die Zertifizierung alles andere als einfach. Hier sind einige Schritte, die Sie unternehmen müssen, um zwei der größten Probleme anzugehen, die Organisationen, die eine ISO 27001-Zertifizierung anstreben, mit sich ziehen:

• Ressourcen – Zeit, Geld und Arbeitskraft: Unternehmen werden sich fragen: Wie können wir das zusätzliche Budget aufbringen und die endliche Zeit unserer Mitarbeiter einem Projekt widmen, das sechs bis neun Monate dauern könnte? Der Schlüssel hier ist, Vertrauen in die Branchenexperten in Ihrem Unternehmen zu setzen. Sie sind die Menschen, die den Standard Tag für Tag umsetzen werden, und sie sollten ans Steuer gesetzt werden.

• Fehlendes internes Wissen: Wie können Unternehmen, die noch keine Erfahrung mit der Implementierung des Standards haben, es richtig machen? In diesem Fall raten wir zur Hinzuziehung von Drittexpertise. Externe Spezialisten haben das alles schon einmal gemacht: Sie haben die Fehler bereits gemacht und daraus gelernt, was bedeutet, dass sie direkt in Ihre Organisation kommen und sich darauf konzentrieren, das umzusetzen, was funktioniert. Auf lange Sicht ist es eine kostengünstigere Strategie, von Anfang an alles richtig zu machen, da die Zertifizierung in kürzerer Zeit erreicht wird.

Nächste Schritte in eine erfolgreiche Zukunft

Auch wenn es entmutigend erscheinen mag, dies alles für Ihr Unternehmen zu verwirklichen, können Unternehmen mit dem richtigen Plan schnell von allem profitieren, was die ISO 27001-Zertifizierung zu bieten hat.

Es ist auch wichtig zu erkennen, dass dieser Oktober nicht der letzte Punkt für Unternehmen war, um eine Zertifizierung für die neue Version des Standards zu erhalten. Unternehmen werden einige Monate Zeit haben, bevor Zertifizierungsstellen bereit sein werden, eine Zertifizierung anzubieten, und es wird wahrscheinlich eine zweijährige Übergangszeit nach der Veröffentlichung der neuen Norm geben, bevor ISO 27001:2013 vollständig zurückgezogen wird.

Letztendlich ist es wichtig, sich daran zu erinnern, dass die Implementierung von ISO 27001 zwar mit Herausforderungen verbunden ist, die Einhaltung von ISO 27001 jedoch von unschätzbarem Wert für Unternehmen ist, die ihren Ruf als vertrauenswürdige und sichere Partner in der heutigen hypervernetzten Welt aufbauen möchten.

Nicky Whiting ist Beratungsdirektor bei Defense.com.