Gør-sag-til-en-ISO-27001-certificeret-ISMS

Hvordan Colonial Pipeline-hacket gør sagen for ISO 27001

Vi har allerede talt kort om sidste uges Colonial Pipeline-hack. Det er et af de mest virkningsfulde løsepengeangreb i historien. Selv hackerne, DarkSide, følte, at de var nødt til at undskylde for dets enorme utilsigtede konsekvenser. Nu viser det sig, at de undskyldte hele vejen til banken. Deres ofre har betalt dem en løsesum på fem millioner dollar.

Lørdag aften tweetede Colonial Pipeline, at alt var tilbage til det normale. Men det er en ny normal, den slags stilhed, der kommer efter stormen. Det er et fantastisk øjeblik til at evaluere, hvad der lige er sket og sikre, at det aldrig sker igen, en proces, som virksomhedens ledende medarbejdere uden tvivl gennemgår lige nu.

På grund af DarkSides' overraskende åbne tilstedeværelse på nettet, er det en proces, vi også kan gennemgå. Det vil hjælpe os med at forstå mere om den slags informationsaktiver hackere som DarkSide går efter. Og du vil se, hvordan et ISO 27001-certificeret ISMS kan hjælpe dig med at beskytte din egen organisation mod dem og mange andre farer.

Informationsaktiverne DarkSide angreb

DarkSides side er lidt sværere at få adgang til end de fleste. Den sidder på darknet, hvilket betyder, at din sædvanlige browser sandsynligvis ikke vil kunne se den. Så vi har trukket en meget interessant liste af det, som du kan tjekke ud her. Den beskriver de informationsaktiver, DarkSide formåede at trække ud af en unavngiven amerikansk producent under et tidligere angreb.

Det omfatter:

  • Regnskab og økonomi info
  • HR og medarbejdernes egne fortrolighedsdata
  • Marketingplaner
  • Budget, skat, løn og bankoplysninger
  • Voldgifts- og forsikringsoplysninger
  • Flere rapporter og revisioner
  • B2B klient konfigurationsdata
  • Forretningsplaner for 2020 og 21
  • 2019, 20 og 21 års afsluttende regnskab
  • En masse andre følsomme oplysninger!

Det er en ret skræmmende liste. Ingen organisation ville ønske at blive låst ude af den slags information eller risikere at få dem afsløret offentligt. Men det er også meget interessant. Det er fordi disse er præcis den slags informationsaktiver et ISO 27001 certificeret informationssikkerhedsstyringssystem er designet til at beskytte.

Sikring af dine data

For at opnå ISO 27001-certificering skal du:

  • Definer alle dine informationsaktiver
  • Forstå hvilke risici de står over for
  • Definer og anvend de rigtige kontroller til at forsvare sig mod disse risici

En af de risici, dine infoaktiver står over for, er et angreb fra hackere som DarkSide. Så at gå efter certificering betyder:

  • Planlægning af præcis den slags angreb, der ramte Colonial Pipelines
  • Indførelse af specifikke foranstaltninger for at undgå det

Og disse forsvar vil forblive opdaterede. Konstant re-evaluering er nøglen til ISO 27001 succes. Dit ISMS vil inkludere processer, der hjælper dig med at holde øje med eventuelle ændringer i ransomware-truslen og udvikle dine sikkerhedsforanstaltninger for at være på forkant med den.

For eksempel kan Colonial Pipelines være blevet mere sårbare på grund af et Covid-drevet skift til fjernarbejde. En ISO 27001 certificeret ismer vil hjælpe din organisation med at opdage den form for øget sårbarhed og tage skridt til at løse den.

Det handler ikke kun om dine digitale aktiver

Mange mennesker antager, at informationsaktiver skal være digitale aktiver. Men det er ikke tilfældet.

Måske er der kun én person, der virkelig forstår dit lønsystem. Hvis de rejser, bliver slutningen af ​​hver måned pludselig meget sværere. Deres viden om løn, der er svær at erstatte, er et vigtigt informationsaktiv. An ISO 27001 ISMS hjælper dig med at beskytte det.

Eller måske ejer din organisation et patent, der er ved at udløbe. Hvis du ikke kan forny den, mister du en vigtig konkurrencefordel. Dette patent er også et informationsaktiv, du skal beskytte. Igen vil dit ISMS hjælpe dig med at dække det.

At argumentere for et ISO 27001 certificeret ISMS

Store offentlige hacks som Colonial Pipelines en er en fantastisk måde at starte en samtale om værdien af ISO 27001 certificering. Men du vil være i stand til at bakke det op med en masse bredere og dybere forretningsmæssige fordele. Vores Business Case Builder hvidbog viser dig hvordan.

Og uanset din nuværende infosec-status, kan vi hjælpe dig med at bygge videre på den.

Vores platform giver dig en klar vej til første gangs ISO 27001-certificering, uanset om du starter fra bunden eller allerede er et godt stykke vej dertil. Hvis du allerede har opnået certificering, gør vi vedligeholdelse og forbedring af den til en leg. Og vi kan hjælpe dig med at mødes andre standarder og regler også.

Se vores platform i aktion
Book din demo
Sidst redigeret: 12. april 2023
Forfatter

Al Robertson

Al er en professionel forfatter og udgivet forfatter, der dækker en række emner. Han har skrevet en række artikler om compliance og især om informationssikkerhed, og hvordan ISO 27001-certificering kan hjælpe organisationer med at vokse.

Se alle indlæg af Al Robertson

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!