Echivaleaza certificarea ISO 27001 cu siguranta totala a informatiilor?
Probabil ca ati auzit ca unele servicii web importante – ca Reddit, HootSuite, Quora, Foursquare etc. – au suferit la un moment dat o intrerupere destul de lunga – si probabil ca stiti si ca aceasta intrerupere a fost cauzata de Amazon Web Services (AWS), furnizorul lor de servicii cloud computing. Ceea ce probabil ca nu stiti este ca AWS este certificat ISO 27001.
Insa nu este oare ISO 27001 o garantie impotriva unor astfel de intreruperi de servicii? Oare un organism de certificare nu a verificat AWS? Care este sensul lui ISO 27001 daca asemenea lucruri se pot intampla? Raspunsurile sunt: nu, ba da, un risc mai scazut. Si vom explica in continuare de ce.
Certificarea ISO 27001 nu garanteaza ca furnizorul de servicii internet va avea o durata de functionare de 100% sau ca nicio informatie confidentiala nu va transpira in afara companiei sau ca nu se va face nicio greseala in prelucrarea datelor. Certificarea ISO 27001 garanteaza faptul ca o companie respecta standardul si isi respecta propriile reguli de securitate; ea mai garanteaza faptul ca o companie tine cont de toate riscurile relevante legate de securitate si ca ea are o abordare cuprinzatoare a rezolvarii riscurilor majore. ISO 27001 nu garanteaza ca nu va avea loc niciodata vreun incident, deoarece asa ceva nu este posibil in realitate.
Un organism de certificare ISO 27001 (in acest caz, Ernst & Young CertifyPoint) probabil ca a verificat daca Amazon Web Services se conforma standardului ISO 27001 si daca isi respecta propriile politici si proceduri privind securitatea, inclusiv procedurile privind raspunsul la incidente si planurile de continuitate a activitatii; auditorii au verificat, desigur, si evaluarea riscurilor realizata de AWS si daca toate riscurile relevante erau luate in considerare. Cu toate acestea, organismul de certificare nu are un glob de cristal pentru a putea prevedea toate incidentele posibile si, de altfel, nici nu este treaba lor sa faca acest lucru – treaba lor este sa verifice daca o companie si-a facut sau nu tema, adica daca si-a pus la punct un sistem de securitate.
Deci intrebarea finala si cea mai importanta este – atunci care este sensul standardului ISO 27001?
Sensul standardului este scaderea riscului de a face afaceri. Daca o companie isi implementeaza ISO 27001, acest lucru inseamna ca ea a examinat cu multa atentie ceea ce i-ar putea pune in pericol confidentialitatea, integritatea si disponibilitatea informatiilor; cunoscand aceste riscuri, ea si-a implementat diferite masuri de securitate in vederea reducerii riscurilor la un nivel acceptabil. Daca faceti afaceri cu o companie care este certificata ISO 27001, veti sti ca acea companie a urmat toti acesti pasi.
Inseamna oare acest lucru ca ISO 27001 va elimina toate potentialele probleme? In mod evident, nu. Insa se vor reduce sansele ca un asemenea lucru sa se intample, si daca se intampla, reactia companiei va fi mult mai rapida si mai eficienta, iar pagubele suferite de companie vor fi mult mai mici.