V dnešnom digitálnom prostredí sú komplexné opatrenia kybernetickej bezpečnosti prvoradé pre každú organizáciu, ktorej cieľom je chrániť údaje a udržiavať dôveru zákazníkov. Audity kybernetickej bezpečnosti a informačných systémov sú nevyhnutné na zabezpečenie existencie a riadnych bezpečnostných kontrol, ktoré zabezpečujú, že softvér spĺňa požiadavky zhody s predpismi a normami bezpečnosti IT.
Čo je to kybernetická bezpečnosť?
Kybernetická bezpečnosť je postup ochrany systémov, sietí a údajov pred digitálnymi útokmi, neoprávneným prístupom a poškodením. Zahŕňa implementáciu technológií, procesov a kontrol na ochranu integrity, dôvernosti a dostupnosti informácií v sieťových, aplikačných a prevádzkových oblastiach bezpečnosti. Jej cieľom je brániť sa pred kybernetickými hrozbami, akými sú malvér, ransomvér, phishing a útoky typu DOS (denial-of-service), ktoré môžu narušiť prevádzku, ukradnúť citlivé údaje alebo spôsobiť organizáciám iné významné škody.
„V roku 2023 sme zaznamenali 72 % nárast narušení údajov od roku 2021, v ktorom sa predtým dosiahla rekordná úroveň,“ podľa webovej lokality Forbes Advisor.
Prečo sú potrebné audity kybernetickej bezpečnosti?
Vykonávanie pravidelných auditov a hodnotení zraniteľnosti je kľúčové pre zlepšenie kybernetickej bezpečnosti. Tieto audity umožňujú organizáciám identifikovať slabé stránky, zabezpečiť súlad a udržiavať pevnú obranu proti potenciálnym hrozbám.
- Identifikovanie a zmiernenie rizík: Audity kybernetickej bezpečnosti hodnotia účinnosť bezpečnostných opatrení, identifikujú potenciálne slabé miesta a odporúčajú zlepšenia na zníženie rizík.
- Zabezpečenie súladu s predpismi: Mnohé priemyselné odvetvia podliehajú predpisom, ktoré vyžadujú špecifické opatrenia v oblasti kybernetickej bezpečnosti. Audity pomáhajú zabezpečiť súlad s dobre uznávanými normami, ako je ISO 27001, čím sa vyhýbajú možným pokutám a právnym následkom.
- Ochrana povesti a dôvery: Porušenie môže poškodiť povesť organizácie a dôveru zákazníkov. Pravidelné audity pomáhajú udržiavať silnú bezpečnostnú pozíciu a preukazujú klientom a partnerom, že kybernetickú bezpečnosť beriete vážne.
- Zlepšenie odozvy na incidenty: Audity zahŕňajú kontrolu plánov a postupov odozvy na incidenty, čím sa zabezpečí, že vaša organizácia môže rýchlo a efektívne reagovať na narušenie bezpečnosti.
- Ochrana pred neočakávanými nákladmi: Aktívne identifikovanie a riešenie bezpečnostných nedostatkov prostredníctvom auditov môže zabrániť nákladným porušeniam a súvisiacim výdavkom na obnovu, právne poplatky a pokuty.
-
$4,88 milióna dolárov
Globálne priemerné náklady vyplývajúce z porušenia ochrany údajov (správa IBM, 2024)
-
2,365
Kybernetické útoky boli identifikované v roku 2023 (Identity Theft Resource Center, 2023)
Čo je to SOC 2?
Service and Organization Controls 2 (SOC 2) je rámec navrhnutý Americkým inštitútom certifikovaných verejných účtovníkov (AICPA) na správu zabezpečenia údajov. Špecificky sa zameriava na organizácie, ktoré spravujú údaje o zákazníkoch, pričom zabezpečuje, že pri manipulácii s týmito údajmi spĺňajú určité kritériá. SOC 2 sa zameriava na päť kritérií dôveryhodných služieb (TSC):
- Bezpečnosť: Zabezpečenie ochrany systémov pred neoprávneným prístupom.
- Dôvernosť: Zabezpečenie ochrany údajov označených ako dôverné.
- Dostupnosť: Zabezpečenie dostupnosti systémov na prevádzku a používanie podľa dohody.
- Ochrana osobných údajov: Zabezpečenie správneho zhromažďovania, používania, uchovávania a zverejňovania osobných údajov.
- Integrita spracovania: Zabezpečenie, aby systémy spracovávali údaje presne, úplne a včas.
Súlad s normou SOC 2 sa overuje prostredníctvom auditu tretej strany, ktorý hodnotí účinnosť kontrol organizácie v TSC. Správy SOC 2 sú rozhodujúce pre servisné organizácie, aby preukázali súlad s predpismi upravujúcimi bezpečnosť údajov.
Čo je to ISO 27001?
ISO 27001 (tiež ISO/IEC 27001:2022) je medzinárodná norma pre systémy riadenia informačnej bezpečnosti (ISMS), ktorú vyvinula Medzinárodná organizácia pre normalizáciu (ISO) a Medzinárodná elektrotechnická komisia (IEC). Poskytuje systematický návod na vývoj, implementáciu, údržbu a zlepšovanie ISMS.
- Hodnotenie rizík: Identifikácia rizík ohrozujúcich informačnú bezpečnosť a určenie spôsobu ich riadenia alebo zmiernenia.
- Regulačné mechanizmy bezpečnosti: Implementácia nástrojov na riešenie identifikovaných rizík.
- Nepretržité zlepšovanie: Pravidelná kontrola a aktualizácia ISMS, aby zodpovedali vyvíjajúcim sa bezpečnostným hrozbám.
Certifikácia podľa normy ISO 27001 sa získava prostredníctvom akreditovaného certifikačného orgánu po úspešnom audite. Získanie certifikácie podľa normy ISO 27001 ukazuje zainteresovaným stranám a zákazníkom, že organizácia je odhodlaná dodržiavať predpisy a dokáže spravovať informácie bezpečne.
Aké sú podobnosti medzi rámcami SOC 2 a ISO 27001?
- Cieľ: Cieľom oboch rámcov je zvýšiť bezpečnosť údajov v rámci organizácie a poskytnúť klientom, partnerom a zainteresovaným stranám istotu, že s ich údajmi sa zaobchádza bezpečne.
- Požiadavka auditu: Rámce SOC 2 aj ISO 27001 vyžadujú externé audity vykonávané nezávislými tretími stranami na overenie zhody.
- Riadenie rizík: Obidve normy zdôrazňujú dôležitosť riadenia rizík vrátane identifikácie a zmierňovania rizík súvisiacich s bezpečnosťou údajov.
Aké sú rozdiely medzi rámcami SOC 2 a ISO 27001?
- Rozsah a zameranie: rámec SOC 2 sa zameriava na servisné organizácie, ktoré spracujú údaje zákazníkov, pričom kladie dôraz na bezpečnosť údajov, dôvernosť a ochranu osobných údajov v týchto službách. Na rozdiel od toho je norma ISO 27001 komplexnejšia a vzťahuje sa na každú organizáciu bez ohľadu na veľkosť alebo odvetvie. Zahŕňa širší súbor mechanizmov na zaistenie informačnej bezpečnosti, ako je kontinuita podnikania, dodržiavanie právnych predpisov a riadenie rizík.
- Certifikácia alebo atestácia: Výsledkom normy ISO 27001 je certifikácia akreditovaným orgánom, ktorú môže organizácia verejne vystaviť. Výsledkom rámca SOC 2 je atestačná správa poskytnutá CPA (certifikovaný verejný účtovník), ktorá sa zvyčajne zdieľa s konkrétnymi klientmi alebo zainteresovanými stranami.
- Globálne zameranie alebo zameranie na USA: Norma ISO 27001 je medzinárodná, celosvetovo uznávaná norma, zatiaľ čo rámec SOC 2 je bežnejšie uznávaný v Spojených štátoch, najmä v kontexte softvéru ako služby (SaaS) a iných poskytovateľov služieb.
Stručne povedané, zatiaľ čo rámec SOC 2 aj norma ISO 27001 sa zameriavajú na zabezpečenie odolnej informačnej bezpečnosti, SOC 2 sa viac zameriava na sektor poskytovateľov služieb v USA s dôrazom na spracovanie údajov, zatiaľ čo ISO 27001 je medzinárodná norma so širšou uplatniteľnosťou a zameriava sa na komplexné ISMS.
Ako bol systém ALTURE®️ auditovaný a certifikovaný?
Kontrolné prostredie ovplyvňuje účinnosť bezpečnostných opatrení v rámci organizácie. Aby sme to mohli vyhodnotiť, návrh a implementáciu kontrolného systému ALTURE®️ preskúmali a otestovali nezávislí audítori tretích strán, ktorí hovorili so zamestnancami spoločnosti Atlas Copco zodpovednými za bezpečnosť, sledovali ich prácu a skúmali úsilie manažmentu o zlepšenie kontrol. Tieto poznatky viedli testovanie so zameraním na princíp zaistenia bezpečnosti údajov.
Rámce a kritériá noriem ISO 27001 a SOC 2 (typu I aj typu II) viedli spoločnosť Atlas Copco k zlepšeniu postupov. Vďaka identifikácii môžeme riziká a hrozby úspešnejšie predvídať a aktívne prijímať opatrenia, aby sme im zabránili. Prehľadná dokumentácia a dobre definované kontrolné systémy tiež zabezpečujú, aby všetky zainteresované strany dodržiavali najlepšie postupy. Splnením požiadavky auditu systému ALTURE®️ optimalizuje výrobu s najvyšším štandardom kybernetickej bezpečnosti a dobre chráni dôležité údaje.
Relevantné dokumenty
- Certificate of Registration ISO27001 254.1 kB, PDF
V prípade správ o vykonaní auditu SOC 2 typu I a typu II kontaktujte svojho obchodného zástupcu spoločnosti Atlas Copco.
Najčastejšie otázky (FAQ)
Ktoré tretie strany vykonávali nezávislé audity systému ALTURE®️?
- Nezávislí audítori systému ALTURE®️ sú spoločnosti KPMG AB a KPMG IT Certification Ltd.
Aký je rozdiel medzi správami podľa rámca SOC 2 typu I a SOC typu II?
- SOC typu I načrtáva kontrolné systémy servisnej organizácie a implementáciu vyhovujúcich procesov v konkrétnom čase.
- SOC typu II hodnotí návrh, prevádzkovú účinnosť a súlad počas dlhšieho obdobia, zvyčajne približne 6 – 12 mesiacov.
