Bridget Kenyon: Οδηγός Ελέγχων ISO 27001

Η Bridget Kenyon είναι CISO για την SSCL και μια σημαντική προσωπικότητα στην ασφάλεια πληροφοριών. Είναι μέλος της ομάδας σύνταξης του ISO για τα πρότυπα ISMS από το 2006, υπηρετώντας ως κύρια συντάκτρια για τα ISO/IEC 27001:2022 και ISO/IEC 27014:2020. Η τεχνογνωσία της είναι ευρέως αναγνωρισμένη στον τομέα. Είναι μέλος του Συμβουλευτικού Συμβουλίου του Ηνωμένου Βασιλείου για το (ISC)2 και Μέλος του Chartered Institute of Information Security. Η Bridget εργάστηκε επίσης ως PCI DSS QSA και ήταν επικεφαλής ασφάλειας πληροφοριών για το UCL. Η καριέρα της περιλαμβάνει λειτουργικούς και συμβουλευτικούς ρόλους σε βιομηχανία και ακαδημαϊκό χώρο. Η Bridget πιστεύει ότι η κυβερνοασφάλεια και η ασφάλεια πληροφοριών είναι θεμελιώδεις για ανθεκτικές επιχειρηματικές λειτουργίες, όχι απλά προαιρετικές προσθήκες. Απολαμβάνει να επιλύει πολύπλοκα προβλήματα, συνδυάζοντας τεχνικές γνώσεις με στρατηγική διορατικότητα. Η πρακτική της προσέγγιση τονίζει την κρίσιμη σημασία των ισχυρών μέτρων ασφαλείας για την επιτυχία κάθε οργανισμού. Μετά την αρχική του επιτυχία, η Bridget επικαιροποίησε το βιβλίο της, "ISO 27001 Controls – A guide to implementing and auditing". Αυτή η αναθεώρηση ενσωματώνει τις ενημερώσεις του 2022 στα ISO 27001 και ISO 27002, καθιστώντας το εξαιρετικά επίκαιρο. Αυτή η σημαντική προσπάθεια της χάρισε τον τίτλο της συγγραφέως του μήνα για τον Ιούνιο. Η Bridget κληρονόμησε το βιβλίο, το οποίο αρχικά είχε συλληφθεί από έναν συνάδελφο. Στόχος ήταν να παρέχει καθοδήγηση για τους ελέγχους του Παραρτήματος Α, οι οποίοι δεν διέθεταν λεπτομερείς συμβουλές εφαρμογής και ελέγχου στα υπάρχοντα πρότυπα όπως το ISO 27003. Αυτό το κενό στην πρακτική, διεθνή καθοδήγηση ενέπνευσε τη δημιουργία του βιβλίου. Το βιβλίο εξετάζει πώς να ελέγχετε εσωτερικά τους ελέγχους και τι να περιμένετε από εξωτερικούς ελεγκτές. Βοηθά επίσης τους ελεγκτές να παρέχουν καθοδήγηση εφαρμογής όταν εντοπίζονται προβλήματα. Η αρχική ιδέα περιελάμβανε τόσο έναν οδηγό συμβουλών όσο και ένα βιβλίο εργασίας, στοχεύοντας σε ολοκληρωμένη υποστήριξη χρηστών. Η Bridget και ο συνάδελφός της ανέλαβαν από ένα βιβλίο για να το επικαιροποιήσουν για την έκδοση του 2013 του ISO/IEC 27001. Αφού ο αρχικός εκδότης, BSI, σταμάτησε τις φυσικές εκδόσεις, η Bridget απέκτησε τα πνευματικά δικαιώματα του βιβλίου συμβουλών και καθοδήγησης. Στη συνέχεια, προσέγγισε την ITGP για να εκδώσει μια ενημερωμένη έκδοση. Αυτή η ενημερωμένη έκδοση έγινε η πρώτη έκδοση του "ISO 27001 Controls" υπό την ITGP, ουσιαστικά η τρίτη έκδοση της αρχικής ιδέας. Η Bridget ξαναέγραψε πλήρως το βιβλίο για να ευθυγραμμιστεί με την έκδοση του 2022 του ISO 27001, η οποία εισήγαγε σημαντικές αλλαγές, ειδικά στους ελέγχους του Παραρτήματος Α. Ο αριθμός των ελέγχων του Παραρτήματος Α μειώθηκε από 114 σε 93, χωρίς όμως να χαθούν ουσιώδεις απαιτήσεις. Η Bridget το εξηγεί ως ενοποίηση πολλαπλών "κλειδιών" σε ένα "συρτάρι". Επανεξέτασε σχολαστικά και ξαναέγραψε κάθε ρήτρα για να ταιριάζει με τους νέους, συγχωνευμένους ελέγχους, οδηγώντας σε πλήρη αναθεώρηση. Η Bridget θεωρεί τις αλλαγές στους ελέγχους του Παραρτήματος Α θετικές, καθώς αντιπροσωπεύουν σταδιακές βελτιώσεις σε πρότυπα όπως το ISO 27002. Το πρότυπο του 2022 εισήγαγε δύο βασικές βελτιώσεις: την ενοποίηση διπλών στοιχείων και την προσθήκη χαρακτηριστικών. Αυτά τα χαρακτηριστικά λειτουργούν σαν hashtags, βοηθώντας στην κατηγοριοποίηση και ανάλυση ελέγχων. Τα χαρακτηριστικά βοηθούν στην ομαδοποίηση των ελέγχων ανάλογα με τον σκοπό τους, όπως πρόληψη, ανίχνευση ή απόκριση. Αυτό επιτρέπει στους χρήστες να απαντούν εύκολα σε συγκεκριμένες ερωτήσεις και να αντιστοιχίζουν ελέγχους με άλλα πλαίσια όπως το NIST CSF. Αυτά τα μεταδεδομένα αποσαφηνίζουν τους στόχους των ελέγχων και τις αλληλεπιδράσεις τους, βελτιώνοντας τη χρηστικότητα. Η Bridget πρόσθεσε ένα νέο κεφάλαιο στο βιβλίο της, αφιερωμένο στη χρήση αυτών των χαρακτηριστικών. Αυτό το κεφάλαιο όχι μόνο προσθέτει αξία, αλλά διασφαλίζει επίσης ότι οι αριθμοί κεφαλαίων ευθυγραμμίζονται με τους αριθμούς ελέγχων, βελτιώνοντας την αναγνωσιμότητα και τις παραπομπές. Αυτή η δομική αλλαγή καθιστά τον οδηγό πιο διαισθητικό για τους χρήστες. Η Bridget διευκρινίζει ότι το ISO 27002 δεν υιοθετεί μια ολιστική προσέγγιση. Το παρομοιάζει με ένα "σούπερ μάρκετ" μέτρων ασφαλείας. Δεν πρέπει να αγοράσει κανείς τα πάντα. Οι οργανισμοί δεν πρέπει να εφαρμόζουν όλους τους ελέγχους, αλλά να επιλέγουν όσους είναι κατάλληλοι για το περιβάλλον τους, ενδεχομένως κοιτάζοντας πέρα από το πρότυπο. Η πιστοποίηση ISO 27001 αποδεικνύει επαρκή ασφάλεια, επικυρωμένη από αξιόπιστο τρίτο μέρος. Το Statement of Applicability (SoA) δημιουργήθηκε για να αποτρέψει τους οργανισμούς από το να παραβλέπουν κατά λάθος ολόκληρες κατηγορίες μέτρων ασφαλείας, ειδικά όταν η ασφάλεια πληροφοριών ήταν μια νεότερη έννοια. Για παράδειγμα, ο φυσικός έλεγχος πρόσβασης σε ένα κτίριο, μια κρίσιμη πτυχή ασφάλειας, μπορεί να παραβλεφθεί. Το SoA στόχευε να διασφαλίσει την ολοκληρωμένη εξέταση των ελέγχων. Ωστόσο, συχνά παρερμηνεύτηκε ως λίστα ελέγχου, μια παρανόηση που οι δημιουργοί του προτύπου προσπάθησαν να διορθώσουν. Η Bridget τονίζει ότι η προσέγγιση "λίστας ελέγχου" είναι προβληματική. Η τυφλή εφαρμογή ολόκληρου του συνόλου ελέγχων του ISO 27002, όπως το να αγοράζεις τα πάντα σε ένα σούπερ μάρκετ, είναι αναποτελεσματική. Συνάντησε έναν οργανισμό που αντιμετώπιζε προβλήματα με το ISO 27001 επειδή το φύλλο εργασίας τους με όλους τους ελέγχους του Παραρτήματος Α στερούνταν επιχειρηματικής συνάφειας. Αυτός ο οργανισμός δεν μπορούσε να εξασφαλίσει προϋπολογισμό ή να προχωρήσει, επειδή οι προσπάθειές τους για την ασφάλεια θεωρούνταν απλώς μια "τυπική άσκηση", αποκομμένη από τις λειτουργικές ανάγκες. Η έλλειψη ενσωμάτωσης με το επιχειρηματικό πλαίσιο έκανε το έργο τους για το ISO 27001 να φαίνεται ξένο και άσχετο με τους ενδιαφερόμενους φορείς. Για να αντιμετωπιστεί αυτή η νοοτροπία, η διατύπωση του ISO 27001 σχετικά με το SoA έχει αναδιατυπωθεί πολλές φορές. Ως κανονιστικό πρότυπο, πρέπει να χρησιμοποιεί το "shall", περιορίζοντας την άμεση καθοδήγηση. Στόχος είναι οι οργανισμοί να αξιολογούν κάθε έλεγχο του Παραρτήματος Α για συνάφεια, συνδέοντάς τον με κινδύνους ή απαιτήσεις ενδιαφερόμενων μερών. Το βιβλίο της Bridget λειτουργεί ως οδηγός αναφοράς, όχι ως αφήγηση. Παρέχει εισαγωγές σε κάθε έλεγχο, εξηγώντας τον σκοπό και το υπόβαθρό του. Προσφέρει επίσης καλές πρακτικές για την εφαρμογή, προειδοποιήσεις και σχετικές ανέκδοτες ιστορίες από την εκτενή της εμπειρία στον τομέα. Το βιβλίο περιλαμβάνει οδηγίες ελέγχου αμέσως μετά τις συμβουλές εφαρμογής για κάθε έλεγχο. Παρέχει δημιουργικές μεθόδους για τον έλεγχο της αποτελεσματικότητας του ελέγχου, αναγνωρίζοντας τις προκλήσεις που συνεπάγεται. Οι προσωπικές ανέκδοτες ιστορίες και εμπειρίες της Bridget καθιστούν το πολύπλοκο θέμα πιο προσιτό και αξιομνημόνευτο για τους αναγνώστες. Η Bridget απολαμβάνει περισσότερο τις ανέκδοτες ιστορίες στο βιβλίο της, καθώς δίνουν ζωή στο περιεχόμενο και βοηθούν τους αναγνώστες να συγκρατούν πληροφορίες. Αυτές οι προσωπικές ή δευτερογενείς εμπειρίες, κατάλληλα επεξεργασμένες, αναδεικνύουν τις πρακτικές πραγματικότητες της εφαρμογής ελέγχων και προσφέρουν πολύτιμα "πρέπει και δεν πρέπει". Για τους επίδοξους συγγραφείς, η Bridget συμβουλεύει να διαθέσουν αρκετό χρόνο για πολλαπλές αυστηρές αναθεωρήσεις, ιδανικά τουλάχιστον τρεις. Το να αφήνουν μια εβδομάδα μεταξύ των αναθεωρήσεων παρέχει νέα οπτική. Οι αναθεωρήσεις από τρίτους, από τουλάχιστον δύο άτομα, είναι ζωτικής σημασίας, καθώς οι άλλοι συχνά εντοπίζουν λάθη πιο εύκολα από τον συγγραφέα. Η έκδοση με ελάχιστα σφάλματα είναι υψίστης σημασίας, ειδικά για τεχνικά βιβλία. Η Bridget αναγνωρίζει ότι ακόμα και με ενδελεχή αναθεώρηση, μπορεί να παραμείνει ένα τυπογραφικό λάθος. Ενθαρρύνει τους αναγνώστες να αναφέρουν τυχόν λάθη, διασφαλίζοντας τη συνεχή βελτίωση. Το βιβλίο της είναι διαθέσιμο σε φυσική, ηλεκτρονική και ePub μορφή.