Hoppa till innehåll
Nätfiske för problem –
IO Podcasten återvänder för säsong 2 Lyssna nu
ISMS.online

Den ultimata guiden till ISO 27001

ISO/IEC 27001 är en standard för hantering av informationssäkerhet som ger organisationer ett strukturerat ramverk för att skydda deras informationstillgångar och ISMS, som omfattar riskbedömning, riskhantering och ständiga förbättringar. I den här artikeln kommer vi att utforska vad det är, varför du behöver det och hur man uppnår certifiering.

Få din kostnadsfria guide till första ISO 27001-certifieringen

Få din gratis guide
Författare
Sam Peters
Uppdaterad maj 14, 2026
4/5 stjärnor

Uppnå robust informationssäkerhet med ISO 27001:2022

Vår plattform ger din organisation möjlighet att anpassa sig till ISO 27001, vilket säkerställer omfattande säkerhetshantering. Denna internationella standard är avgörande för att skydda känsliga uppgifter och öka motståndskraften mot cyberhot. Med över 70,000 27001 certifikat utfärdade globalt understryker ISO XNUMX:s breda införande dess betydelse för att skydda informationstillgångar.

Varför ISO 27001 är viktigt

uppnå ISO 27001: 2022 certifiering betonar en omfattande, riskbaserad strategi att förbättra informationssäkerhetshantering, se till att din organisation effektivt hanterar och mildrar potentiella hot, i linje med moderna säkerhetsbehov. Den tillhandahåller en systematisk metod för att hantera känslig information, vilket säkerställer att den förblir säker. Certifiering kan minska kostnaderna för dataintrång med 30 % och är erkänt i över 150 länder, vilket förbättrar internationella affärsmöjligheter och konkurrensfördelar.

Hur ISO 27001-certifiering gynnar ditt företag

  1. Uppnå kostnadseffektivitetSpara tid och pengar genom att förhindra kostsamma säkerhetsintrång. Implementera proaktiva åtgärder riskhanterings åtgärder för att avsevärt minska sannolikheten för incidenter.
  2. Accelerera försäljningstillväxtEffektivisera din säljprocess genom att minska antalet omfattande förfrågningar om säkerhetsdokumentation (RFI). Visa upp din efterlevnad av internationella informationssäkerhetsstandarder för att förkorta förhandlingstider och avsluta affärer snabbare.
  3. Öka kundförtroendetVisa ditt engagemang för informationssäkerhet för att öka kundernas förtroende och bygga upp ett varaktigt förtroende. Öka kundlojaliteten och behålla kunder inom sektorer som finans, sjukvård och IT-tjänster.

 

Omfattande guide om hur man implementerar ISO 27001:2022-certifiering

Standardens struktur inkluderar ett omfattande ramverk för informationssäkerhetsledningssystem (ISMS) och en detaljerad implementeringsguide för ISO 27001 som integrerar riskhanteringsprocesser och kontroller enligt bilaga A. Dessa komponenter skapar en helhetssyn på säkerhetsstrategin som tar upp olika aspekter av säkerhet (ISO 27001:2022 klausul 4.2). Denna metod förbättrar inte bara säkerheten utan främjar också en kultur av medvetenhet och efterlevnad inom organisationen.

Effektivisera certifieringen med ISMS.online

ISMS.online spelar en avgörande roll för att underlätta anpassning genom att erbjuda verktyg som effektiviserar certifieringsprocessen. Vår plattform tillhandahåller automatiserade riskbedömningar och realtidsövervakning, vilket förenklar implementeringen av ISO 27001:2022-kraven. Detta minskar inte bara den manuella ansträngningen utan ökar också effektiviteten och noggrannheten för att upprätthålla uppriktningen.

Gå med i 25000 27001 + användare som uppnår ISO XNUMX med ISMS.online. Boka din gratis demo idag!

Förstå ISO 27001:2022

ISO 27001 är en central standard för att förbättra ett Information Security Management System (ISMS), som erbjuder ett strukturerat ramverk för att skydda känslig data. Detta ramverk integrerar omfattande riskutvärderingsprocesser och bilaga A-kontroller, vilket bildar en robust säkerhetsstrategi. Organisationer kan effektivt identifiera, analysera och åtgärda sårbarheter, vilket förbättrar deras övergripande säkerhetsställning.

Nyckelelement i ISO 27001:2022

  • ISMS ramverk: Denna grundläggande komponent upprättar systematiska policyer och procedurer för att hantera informationssäkerhet (ISO 27001:2022 klausul 4.2). Den anpassar organisatoriska mål med säkerhetsprotokoll, vilket främjar en kultur av efterlevnad och medvetenhet.
  • Riskvärdering: Den här processen är central för ISO 27001 och innebär att man utför noggranna utvärderingar för att identifiera potentiella hot. Det är väsentligt för att implementera lämpliga säkerhetsåtgärder och säkerställa kontinuerlig övervakning och förbättring.
  • ISO 27001 kontroller: ISO 27001:2022 beskriver en omfattande uppsättning av ISO 27001 kontroller inom bilaga A, utformad för att behandla olika aspekter av informationssäkerhet. Dessa kontroller inkluderar åtgärder för åtkomstkontroll, kryptografi, fysisk säkerhetoch incidenthanteringbland annat. Genomförande av dessa kontroller säkerställer ditt hanteringssystem för informationssäkerhet (ISMS) minskar effektivt risker och skyddar känslig information.

ISO 27001 krav och struktur

Anpassning till internationella standarder

ISO 27001:2022 är utvecklad i samarbete med Internationella elektrotekniska kommissionen (IEC), vilket säkerställer att standarden överensstämmer med globala bästa praxis inom informationssäkerhet. Detta partnerskap ökar trovärdigheten och tillämpbarheten av ISO 27001 i olika branscher och regioner.

Hur ISO 27001 integreras med andra standarder

ISO 27001:2022 integreras sömlöst med andra standarder som ISO 9001 för kvalitetsledning, ISO 27002 för uppförandekod för informationssäkerhetskontroller och föreskrifter som GDPR, förbättra efterlevnad och operativ effektivitet. Denna integration gör det möjligt för organisationer att effektivisera regulatoriska ansträngningar och anpassa säkerhetspraxis till bredare affärsmål. Inledande förberedelser innefattar en gapanalys för att identifiera områden som behöver förbättras, följt av en riskbedömning för att bedöma potentiella hot. Genom att genomföra kontroller i bilaga A säkerställs att omfattande säkerhetsåtgärder finns på plats. Finalen revisionsprocessen, inklusive revisioner i steg 1 och steg 2, verifierar efterlevnad och beredskap för certifiering.

Varför är ISO 27001:2022 viktigt för organisationer?

ISO 27001 spelar en viktig roll för att stärka din organisations dataskydd strategier. Den tillhandahåller ett omfattande ramverk för hantering av känslig information, i linje med samtida cybersäkerhetskrav genom ett riskbaserat tillvägagångssätt. Denna anpassning stärker inte bara försvar utan säkerställer också efterlevnad av bestämmelser som GDPR, vilket minskar potentiella juridiska risker (ISO 27001:2022 klausul 6.1).

ISO 27001:2022 Integration med andra standarder

ISO 27001 är en del av den bredare ISO-familjen av ledningssystemstandarder. Detta gör att den sömlöst kan integreras med andra standarder, såsom:

Detta integrerade tillvägagångssätt hjälper din organisation att upprätthålla robusta operativa standarder, effektivisera certifieringsprocessen och förbättra efterlevnaden.

Hur förbättrar ISO 27001:2022 riskhanteringen?

  • Strukturerad riskhantering: Standarden betonar systematisk identifiering, bedömning och begränsning av risker, vilket främjar en proaktiv säkerhetsställning.
  • Incidentminskning: Organisationer upplever färre överträdelser på grund av de robusta kontrollerna som beskrivs i bilaga A.
  • Operativ effektivitet: Strömlinjeformade processer ökar effektiviteten och minskar sannolikheten för kostsamma incidenter.

Strukturerad riskhantering med ISO 27001:2022

ISO 27001 kräver att organisationer antar ett heltäckande, systematiskt tillvägagångssätt för riskhantering. Detta inkluderar:

  • Riskidentifiering och riskbedömning: Identifiera potentiella hot mot känsliga uppgifter och utvärdera allvaret och sannolikheten för dessa risker (ISO 27001:2022 klausul 6.1).
  • Riskbehandling: Välj lämpliga behandlingsalternativ, som att mildra, överföra, undvika eller acceptera risker. Med tillägg av nya alternativ som att utnyttja och förbättra, kan organisationer ta kalkylerade risker för att utnyttja möjligheter.

Vart och ett av dessa steg måste ses över regelbundet för att säkerställa att risklandskapet kontinuerligt övervakas och minskas vid behov.

 

Vilka är fördelarna för förtroende och rykte?

Certifiering innebär ett åtagande om dataskydd, vilket förbättrar ditt företags rykte och kundernas förtroende. Certifierade organisationer ser ofta en 20-procentig ökning av kundnöjdheten, eftersom kunderna uppskattar försäkran om säker datahantering.

Hur ISO 27001-certifiering påverkar kundens förtroende och försäljning

  1. Ökat kundförtroende: När potentiella kunder ser att din organisation är ISO 27001-certifierad, ökar det automatiskt deras förtroende för din förmåga att skydda känslig information. Detta förtroende är viktigt för sektorer där datasäkerhet är en avgörande faktor, såsom hälso- och sjukvård, finans och statliga kontrakt.
  2. Snabbare försäljningscykler: ISO 27001-certifiering minskar tiden som ägnas åt att svara på säkerhetsfrågor under upphandlingsprocessen. Potentiella kunder kommer att se din certifiering som en garanti för höga säkerhetsstandarder, vilket påskyndar beslutsfattandet.
  3. konkurrens~~POS=TRUNC fördelar~~POS=HEADCOMP: ISO 27001-certifiering positionerar ditt företag som ledande inom informationssäkerhet, vilket ger dig ett försprång gentemot konkurrenter som kanske inte har denna certifiering.

Hur erbjuder ISO 27001:2022 konkurrensfördelar?

ISO 27001 öppnar upp internationella affärsmöjligheter, erkänd i över 150 länder. Den främjar en kultur av säkerhetsmedvetenhet, påverkar organisationskulturen positivt och uppmuntrar kontinuerlig förbättring och motståndskraft, vilket är avgörande för att blomstra i dagens digitala miljö.

Hur kan ISO 27001 stödja regelefterlevnad?

Att anpassa sig till ISO 27001 hjälper till att navigera i komplexa regulatoriska landskap, vilket säkerställer att olika juridiska krav följs. Denna anpassning minskar potentiella juridiska skyldigheter och förbättrar den övergripande styrningen.

Att införliva ISO 27001:2022 i din organisation stärker inte bara ditt ramverk för dataskydd utan bygger också en grund för hållbar tillväxt och förtroende på den globala marknaden.

Förbättra riskhantering med ISO 27001:2022

ISO 27001:2022 erbjuder ett robust ramverk för hantering av informationssäkerhetsrisker, vilket är avgörande för att skydda din organisations känsliga data. Denna standard betonar en systematisk metod för riskbedömning, vilket säkerställer att potentiella hot identifieras, bedöms och effektivt minskas.

Hur strukturerar ISO 27001 riskhantering?

ISO 27001:2022 integrerar riskvärdering i Information Security Management System (ISMS), som involverar:

  • Riskbedömning: Genomföra grundliga utvärderingar för att identifiera och analysera potentiella hot och sårbarheter (ISO 27001:2022 Klausul 6.1).
  • Riskbehandling: Implementera strategier för att minska identifierade risker, med hjälp av kontroller som beskrivs i bilaga A för att minska sårbarheter och hot.
  • Kontinuerlig övervakning: Regelbundet granska och uppdatera rutiner för att anpassa sig till nya hot och bibehålla säkerhetseffektiviteten.

Vilka tekniker och strategier är nyckeln?

Effektiv riskhantering enligt ISO 27001:2022 innebär:

  • Riskbedömning och analys: Använda metoder som SWOT-analys och hotmodellering för att utvärdera risker heltäckande.
  • Riskbehandling och begränsning: Tillämpa kontroller från bilaga A för att hantera specifika risker, vilket säkerställer ett proaktivt tillvägagångssätt för säkerhet.
  • Ständiga förbättringar: Främja en säkerhetsfokuserad kultur som uppmuntrar kontinuerlig utvärdering och förbättring av riskhanteringsmetoder.

 

Hur kan ramverket anpassas till din organisation?

Ramverket för ISO 27001:2022 kan anpassas för att passa just din organisations specifika behov, vilket säkerställer att säkerhetsåtgärderna överensstämmer med affärsmål och myndighetskrav. Genom att främja en kultur av proaktiv riskhantering upplever organisationer med ISO 27001-certifiering färre säkerhetsintrång och ökad motståndskraft mot cyberhot. Denna metod skyddar inte bara dina data utan bygger också förtroende hos intressenter, vilket stärker din organisations rykte och konkurrensfördelar.

Viktiga ändringar i ISO 27001:2022

ISO 27001:2022 introducerar viktiga uppdateringar som förstärker dess roll i modern cybersäkerhet. De viktigaste förändringarna finns i bilaga A, som nu inkluderar avancerade åtgärder för digital säkerhet och proaktiv hothantering. Dessa revisioner tar itu med säkerhetsutmaningarnas föränderliga karaktär, särskilt det ökande beroendet av digitala plattformar.

Viktiga skillnader mellan ISO 27001:2022 och tidigare versioner

Skillnaderna mellan 2013 och 2022 års versioner av ISO 27001 är avgörande för att förstå den uppdaterade standarden. Även om det inte finns några omfattande översyner, säkerställer förfiningarna i bilaga A kontroller och andra områden att standarden förblir relevant för moderna cybersäkerhetsutmaningar. Viktiga ändringar inkluderar:

  • Omstrukturering av kontroller i bilaga A: Kontroller i bilaga A har komprimerats från 114 till 93, där vissa har slagits samman, reviderats eller nyligen lagts till. Dessa förändringar speglar den nuvarande cybersäkerhetsmiljön, vilket gör kontrollerna mer strömlinjeformade och fokuserade.
  • Nya fokusområden: De 11 nya kontrollerna som introduceras i ISO 27001:2022 inkluderar områden som hotintelligens, fysisk säkerhetsövervakning, säker kodning och molntjänstsäkerhet, som tar itu med ökningen av digitala hot och det ökade beroendet av molnbaserade lösningar.

Förstå kontroller i bilaga A

  • Förbättrade säkerhetsprotokoll: Bilaga A innehåller nu 93 kontroller, med nya tillägg som fokuserar på digital säkerhet och proaktiv hothantering. Dessa kontroller är utformade för att mildra nya risker och säkerställa ett robust skydd av informationstillgångar.
  • Digitalt säkerhetsfokus: När digitala plattformar blir en integrerad del av verksamheten, betonar ISO 27001:2022 att säkra digitala miljöer, säkerställa dataintegritet och skydda mot obehörig åtkomst.
  • Proaktiv hothantering: Nya kontroller gör det möjligt för organisationer att förutse och reagera på potentiella säkerhetsincidenter mer effektivt, vilket stärker deras övergripande säkerhetsställning.

Detaljerad uppdelning av kontroller i bilaga A i ISO 27001:2022

ISO 27001:2022 introducerar en reviderad uppsättning bilaga A-kontroller, minska det totala antalet från 114 till 93 och omstrukturera dem i fyra huvudgrupper. Här är en uppdelning av kontrollkategorierna:

Kontrollgrupp Antal kontroller Exempel
organisations~~POS=TRUNC 37 Hotintelligens, ICT-beredskap, informationssäkerhetspolicyer
Personer 8 Ansvar för säkerhet, screening
Mått 14 Fysisk säkerhetsövervakning, utrustningsskydd
Teknologisk 34 Webbfiltrering, säker kodning, förebyggande av dataläckage

Nya kontroller
ISO 27001:2022 introducerar 11 nya kontroller inriktade på nya teknologier och utmaningar, inklusive:

  • Molntjänster: Säkerhetsåtgärder för molninfrastruktur.
  • Hot intelligens: Proaktiv identifiering av säkerhetshot.
  • IKT-beredskap: Kontinuitetsförberedelser för IKT-system.

Genom att implementera dessa kontroller säkerställer organisationer att de är utrustade för att hantera moderna informationssäkerhetsutmaningar.

iso 27002 nya kontroller

Fullständig tabell över ISO 27001-kontroller

Nedan finns en fullständig lista över ISO 27001:2022 kontroller

ISO 27001:2022 Organisationskontroller
Bilaga A Kontrolltyp ISO/IEC 27001:2022 Bilaga A Identifierare ISO/IEC 27001:2013 Bilaga A Identifierare Bilaga A Namn
Organisatoriska kontroller Bilaga A 5.1 Bilaga A 5.1.1
Bilaga A 5.1.2 		Policyer för informationssäkerhet
Organisatoriska kontroller Bilaga A 5.2 Bilaga A 6.1.1 Informationssäkerhetsroller och ansvar
Organisatoriska kontroller Bilaga A 5.3 Bilaga A 6.1.2 Uppdelning av arbetsuppgifter
Organisatoriska kontroller Bilaga A 5.4 Bilaga A 7.2.1 Ledningsansvar
Organisatoriska kontroller Bilaga A 5.5 Bilaga A 6.1.3 Kontakt med myndigheter
Organisatoriska kontroller Bilaga A 5.6 Bilaga A 6.1.4 Kontakt med specialintressegrupper
Organisatoriska kontroller Bilaga A 5.7 NYA Hotinformation
Organisatoriska kontroller Bilaga A 5.8 Bilaga A 6.1.5
Bilaga A 14.1.1 		Informationssäkerhet i projektledning
Organisatoriska kontroller Bilaga A 5.9 Bilaga A 8.1.1
Bilaga A 8.1.2 		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontroller Bilaga A 5.10 Bilaga A 8.1.3
Bilaga A 8.2.3 		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontroller Bilaga A 5.11 Bilaga A 8.1.4 Återlämnande av tillgångar
Organisatoriska kontroller Bilaga A 5.12 Bilaga A 8.2.1 Klassificering av information
Organisatoriska kontroller Bilaga A 5.13 Bilaga A 8.2.2 Märkning av information
Organisatoriska kontroller Bilaga A 5.14 Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3 		Informationsöverföring
Organisatoriska kontroller Bilaga A 5.15 Bilaga A 9.1.1
Bilaga A 9.1.2 		Åtkomstkontroll
Organisatoriska kontroller Bilaga A 5.16 Bilaga A 9.2.1 Identitetshantering
Organisatoriska kontroller Bilaga A 5.17 Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3 		Autentiseringsinformation
Organisatoriska kontroller Bilaga A 5.18 Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6 		Åtkomsträttigheter
Organisatoriska kontroller Bilaga A 5.19 Bilaga A 15.1.1 Informationssäkerhet i leverantörsrelationer
Organisatoriska kontroller Bilaga A 5.20 Bilaga A 15.1.2 Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontroller Bilaga A 5.21 Bilaga A 15.1.3 Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontroller Bilaga A 5.22 Bilaga A 15.2.1
Bilaga A 15.2.2 		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontroller Bilaga A 5.23 NYA Informationssäkerhet för användning av molntjänster
Organisatoriska kontroller Bilaga A 5.24 Bilaga A 16.1.1 Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontroller Bilaga A 5.25 Bilaga A 16.1.4 Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontroller Bilaga A 5.26 Bilaga A 16.1.5 Svar på informationssäkerhetsincidenter
Organisatoriska kontroller Bilaga A 5.27 Bilaga A 16.1.6 Lär dig av informationssäkerhetsincidenter
Organisatoriska kontroller Bilaga A 5.28 Bilaga A 16.1.7 Insamling av bevis
Organisatoriska kontroller Bilaga A 5.29 Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3 		Informationssäkerhet under avbrott
Organisatoriska kontroller Bilaga A 5.30 NYA IKT-beredskap för affärskontinuitet
Organisatoriska kontroller Bilaga A 5.31 Bilaga A 18.1.1
Bilaga A 18.1.5 		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontroller Bilaga A 5.32 Bilaga A 18.1.2 Immateriella rättigheter
Organisatoriska kontroller Bilaga A 5.33 Bilaga A 18.1.3 Skydd av register
Organisatoriska kontroller Bilaga A 5.34 Bilaga A 18.1.4 Integritet och skydd av PII
Organisatoriska kontroller Bilaga A 5.35 Bilaga A 18.2.1 Oberoende granskning av informationssäkerhet
Organisatoriska kontroller Bilaga A 5.36 Bilaga A 18.2.2
Bilaga A 18.2.3 		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontroller Bilaga A 5.37 Bilaga A 12.1.1 Dokumenterade driftprocedurer
ISO 27001:2022 Personkontroller
Bilaga A Kontrolltyp ISO/IEC 27001:2022 Bilaga A Identifierare ISO/IEC 27001:2013 Bilaga A Identifierare Bilaga A Namn
Människor kontroller Bilaga A 6.1 Bilaga A 7.1.1 Screening
Människor kontroller Bilaga A 6.2 Bilaga A 7.1.2 Villkor för anställning
Människor kontroller Bilaga A 6.3 Bilaga A 7.2.2 Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontroller Bilaga A 6.4 Bilaga A 7.2.3 Disciplinär process
Människor kontroller Bilaga A 6.5 Bilaga A 7.3.1 Ansvar efter uppsägning eller byte av anställning
Människor kontroller Bilaga A 6.6 Bilaga A 13.2.4 Sekretess- eller sekretessavtal
Människor kontroller Bilaga A 6.7 Bilaga A 6.2.2 Fjärrarbete
Människor kontroller Bilaga A 6.8 Bilaga A 16.1.2
Bilaga A 16.1.3 		Händelserapportering för informationssäkerhet
ISO 27001:2022 Fysiska kontroller
Bilaga A Kontrolltyp ISO/IEC 27001:2022 Bilaga A Identifierare ISO/IEC 27001:2013 Bilaga A Identifierare Bilaga A Namn
Fysiska kontroller Bilaga A 7.1 Bilaga A 11.1.1 Fysiska säkerhetsområden
Fysiska kontroller Bilaga A 7.2 Bilaga A 11.1.2
Bilaga A 11.1.6 		Fysisk inträde
Fysiska kontroller Bilaga A 7.3 Bilaga A 11.1.3 Säkra kontor, rum och faciliteter
Fysiska kontroller Bilaga A 7.4 NYA Fysisk säkerhetsövervakning
Fysiska kontroller Bilaga A 7.5 Bilaga A 11.1.4 Skydd mot fysiska och miljömässiga hot
Fysiska kontroller Bilaga A 7.6 Bilaga A 11.1.5 Arbeta i säkra områden
Fysiska kontroller Bilaga A 7.7 Bilaga A 11.2.9 Clear Desk och Clear Screen
Fysiska kontroller Bilaga A 7.8 Bilaga A 11.2.1 Utrustningsplacering och skydd
Fysiska kontroller Bilaga A 7.9 Bilaga A 11.2.6 Säkerhet för tillgångar utanför lokaler
Fysiska kontroller Bilaga A 7.10 Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5 		Förvarings media
Fysiska kontroller Bilaga A 7.11 Bilaga A 11.2.2 Stöd till verktyg
Fysiska kontroller Bilaga A 7.12 Bilaga A 11.2.3 Kabelsäkerhet
Fysiska kontroller Bilaga A 7.13 Bilaga A 11.2.4 Utrustningsunderhåll
Fysiska kontroller Bilaga A 7.14 Bilaga A 11.2.7 Säker kassering eller återanvändning av utrustning
ISO 27001:2022 Tekniska kontroller
Bilaga A Kontrolltyp ISO/IEC 27001:2022 Bilaga A Identifierare ISO/IEC 27001:2013 Bilaga A Identifierare Bilaga A Namn
Tekniska kontroller Bilaga A 8.1 Bilaga A 6.2.1
Bilaga A 11.2.8 		Användarens slutpunktsenheter
Tekniska kontroller Bilaga A 8.2 Bilaga A 9.2.3 Privilegerade åtkomsträttigheter
Tekniska kontroller Bilaga A 8.3 Bilaga A 9.4.1 Begränsning av informationsåtkomst
Tekniska kontroller Bilaga A 8.4 Bilaga A 9.4.5 Tillgång till källkod
Tekniska kontroller Bilaga A 8.5 Bilaga A 9.4.2 Säker autentisering
Tekniska kontroller Bilaga A 8.6 Bilaga A 12.1.3 Kapacitetshantering
Tekniska kontroller Bilaga A 8.7 Bilaga A 12.2.1 Skydd mot skadlig programvara
Tekniska kontroller Bilaga A 8.8 Bilaga A 12.6.1
Bilaga A 18.2.3 		Hantering av tekniska sårbarheter
Tekniska kontroller Bilaga A 8.9 NYA Systemintegration
Tekniska kontroller Bilaga A 8.10 NYA Informationsradering
Tekniska kontroller Bilaga A 8.11 NYA Datamaskning
Tekniska kontroller Bilaga A 8.12 NYA Förebyggande av dataläckage
Tekniska kontroller Bilaga A 8.13 Bilaga A 12.3.1 Backup av information
Tekniska kontroller Bilaga A 8.14 Bilaga A 17.2.1 Redundans av informationsbehandlingsanläggningar
Tekniska kontroller Bilaga A 8.15 Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3 		Loggning
Tekniska kontroller Bilaga A 8.16 NYA Övervakningsaktiviteter
Tekniska kontroller Bilaga A 8.17 Bilaga A 12.4.4 Klocksynkronisering
Tekniska kontroller Bilaga A 8.18 Bilaga A 9.4.4 Användning av privilegierade verktygsprogram Åtkomsträttigheter
Tekniska kontroller Bilaga A 8.19 Bilaga A 12.5.1
Bilaga A 12.6.2 		Installation av programvara på operativa system
Tekniska kontroller Bilaga A 8.20 Bilaga A 13.1.1 Nätverkssäkerhet
Tekniska kontroller Bilaga A 8.21 Bilaga A 13.1.2 Säkerhet för nätverkstjänster
Tekniska kontroller Bilaga A 8.22 Bilaga A 13.1.3 Segregering av nätverk
Tekniska kontroller Bilaga A 8.23 NYA Webbfiltrering
Tekniska kontroller Bilaga A 8.24 Bilaga A 10.1.1
Bilaga A 10.1.2 		Användning av kryptografi
Tekniska kontroller Bilaga A 8.25 Bilaga A 14.2.1 Säker utvecklingslivscykel
Tekniska kontroller Bilaga A 8.26 Bilaga A 14.1.2
Bilaga A 14.1.3 		Programsäkerhetskrav
Tekniska kontroller Bilaga A 8.27 Bilaga A 14.2.5 Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter
Tekniska kontroller Bilaga A 8.28 NYA Säker kodning
Tekniska kontroller Bilaga A 8.29 Bilaga A 14.2.8
Bilaga A 14.2.9 		Säkerhetstestning i utveckling och acceptans
Tekniska kontroller Bilaga A 8.30 Bilaga A 14.2.7 Outsourcad utveckling
Tekniska kontroller Bilaga A 8.31 Bilaga A 12.1.4
Bilaga A 14.2.6 		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontroller Bilaga A 8.32 Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4 		Change Management
Tekniska kontroller Bilaga A 8.33 Bilaga A 14.3.1 Testinformation
Tekniska kontroller Bilaga A 8.34 Bilaga A 12.7.1 Skydd av informationssystem under revisionstestning

Navigera i implementeringsutmaningar

Organisationer kan möta utmaningar som resursbegränsningar och otillräckligt ledningsstöd när de implementerar dessa uppdateringar. Effektiv resursallokering och intressentengagemang är avgörande för att upprätthålla momentum och uppnå framgångsrik efterlevnad. Regelbundna utbildningar kan bidra till att förtydliga standardens krav och minska efterlevnadsutmaningar.

Anpassa sig till föränderliga säkerhetshot

Dessa uppdateringar visar ISO 27001:2022:s anpassningsförmåga till den föränderliga säkerhetsmiljön, vilket säkerställer att organisationer förblir motståndskraftiga mot nya hot. Genom att anpassa sig till dessa utökade krav kan din organisation stärka sitt säkerhetsramverk, förbättra efterlevnadsprocesser och bibehålla en konkurrensfördel på den globala marknaden.

Hur kan organisationer framgångsrikt uppnå ISO 27001-certifiering?

Att uppnå ISO 27001:2022 kräver ett metodiskt tillvägagångssätt som säkerställer att din organisation följer standardens omfattande krav. Här är en detaljerad guide för att navigera denna process effektivt:

Kickstarta din certifiering med en grundlig gapanalys

Identifiera förbättringsområden med en omfattande gapanalys. Utvärdera nuvarande praxis mot ISO 27001-standarden för att identifiera avvikelser. Utveckla en detaljerad projektplan som beskriver mål, tidslinjer och ansvarsområden. Engagera intressenter tidigt för att säkra stöd och fördela resurser effektivt.

Implementera ett effektivt ISMS

Etablera och implementera ett Information Security Management System (ISMS) skräddarsytt för dina organisationsmål. Implementera de 93 bilaga A-kontrollerna, med tonvikt på riskbedömning och behandling (ISO 27001:2022 klausul 6.1). Vår plattform, ISMS.online, automatiserar efterlevnadsuppgifter, minskar manuell ansträngning och förbättrar precisionen.

Utföra regelbundna internrevisioner

Genomför regelbundna internrevisioner för att utvärdera effektiviteten hos ert ISMS. Ledningsgranskningar är viktiga för prestationsutvärdering och nödvändiga justeringar (ISO 27001:2022 klausul 9.3). ISMS.online underlättar samarbete i realtid, vilket ökar teamets effektivitet och revisionsberedskap.

Samarbeta med certifieringsorgan

Välj ett ackrediterat certifieringsorgan och schema revisionsprocessen, inklusive steg 1 och steg 2 revisioner. Se till att all dokumentation är komplett och tillgänglig. ISMS.online erbjuder mallar och resurser för att förenkla dokumentation och spåra framsteg.

Övervinna vanliga utmaningar med en kostnadsfri konsultation

Övervinna resursbegränsningar och motstånd mot förändring genom att främja en kultur av säkerhetsmedvetenhet och ständiga förbättringar. Vår plattform stödjer upprätthållande av anpassning över tid, vilket hjälper din organisation att uppnå och upprätthålla certifiering.

Boka en kostnadsfri konsultation för att hantera resursbegränsningar och hantera motstånd mot förändring. Lär dig hur ISMS.online kan stödja era implementeringsarbeten och säkerställa framgångsrik certifiering.

ISO 27001:2022 och krav på leverantörsrelationer

ISO 27001:2022 har infört nya krav för att säkerställa att organisationer upprätthåller robusta leverantörs- och tredjepartsprogram. Detta inkluderar:

  • Identifiera och bedöma leverantörer: Organisationer måste identifiera och analysera tredjepartsleverantörer som påverkar informationssäkerheten. En noggrann riskbedömning för varje leverantör är obligatorisk för att säkerställa överensstämmelse med ditt ISMS.
  • Leverantörssäkerhetskontroller: Se till att dina leverantörer implementerar adekvata säkerhetskontroller och att dessa ses över regelbundet. Detta sträcker sig till att säkerställa att kundservicenivåer och skyddet av personuppgifter inte påverkas negativt.
  • Revision av leverantörerOrganisationer bör regelbundet granska sina leverantörers processer och system. Detta överensstämmer med de nya kraven i ISO 27001:2022, vilket säkerställer att leverantörernas efterlevnad upprätthålls och att risker från tredjepartspartnerskap minskas.

 

Förbättrad medvetenhet om anställdas cybersäkerhet

ISO 27001:2022 fortsätter att betona vikten av medarbetarnas medvetenhet. Att implementera policyer för pågående utbildning är avgörande. Detta tillvägagångssätt säkerställer att dina anställda inte bara är medvetna om säkerhetsrisker utan också kan delta aktivt i att minska dessa risker.

  • Förebyggande av mänskliga fel: Företag bör investera i utbildningsprogram som syftar till att förhindra mänskliga fel, en av de främsta orsakerna till säkerhetsintrång.
  • Tydlig policyutveckling: Upprätta tydliga riktlinjer för anställdas uppförande angående datasäkerhet. Detta inkluderar informationsprogram om nätfiske, lösenordshantering och säkerhet för mobila enheter.
  • Säkerhetskultur: Främja en säkerhetsmedveten kultur där anställda känner sig bemyndigade att ta upp oro över cybersäkerhetshot. En miljö av öppenhet hjälper organisationer att hantera risker innan de förverkligas i incidenter.

ISO 27001:2022 Krav för mänskliga resurser säkerhet

En av de väsentliga förbättringarna i ISO 27001:2022 är dess utökade fokus på mänskliga resurser. Detta innebär:

  • Personalkontroll: Tydliga riktlinjer för personalkontroll innan anställning är avgörande för att säkerställa att anställda med tillgång till känslig information uppfyller erforderliga säkerhetsstandarder.
  • Utbildning och medvetenhetKontinuerlig utbildning krävs för att säkerställa att personalen är fullt medveten om organisationens säkerhetspolicyer och rutiner.
  • Disciplinära åtgärder: Definiera tydliga konsekvenser för policyöverträdelser, och se till att alla anställda förstår vikten av att följa säkerhetskraven.

Dessa kontroller säkerställer att organisationer hanterar både interna och externa personalsäkerhetsrisker effektivt.

Medarbetarprogram och säkerhetskultur

Att främja en kultur av säkerhetsmedvetenhet är avgörande för att upprätthålla ett starkt försvar mot föränderliga cyberhot. ISO 27001:2022 främjar fortlöpande utbildnings- och medvetenhetsprogram för att säkerställa att alla anställda, från ledarskap till personal, är involverade i att upprätthålla informationssäkerhetsstandarder.

  • Nätfiske-simuleringar och säkerhetsövningar: Genom att genomföra regelbundna säkerhetsövningar och nätfiske-simuleringar säkerställer att anställda är beredda att hantera cyberincidenter.
  • Interaktiva workshops: Engagera anställda i praktiska utbildningssessioner som förstärker viktiga säkerhetsprotokoll, vilket förbättrar den övergripande organisationens medvetenhet.

Kontinuerlig förbättring och cybersäkerhetskultur

Slutligen förespråkar ISO 27001:2022 för en kultur av ständig förbättring, där organisationer konsekvent utvärderar och uppdaterar sina säkerhetspolicyer. Denna proaktiva hållning är väsentlig för att upprätthålla efterlevnad och säkerställa att organisationen ligger före nya hot.

  • Säkerhetsstyrning: Regelbundna uppdateringar av säkerhetspolicyer och granskningar av cybersäkerhetspraxis säkerställer kontinuerlig efterlevnad av ISO 27001:2022.
  • Proaktiv riskhantering: Att uppmuntra en kultur som prioriterar riskbedömning och begränsning gör att organisationer kan förbli lyhörda för nya cyberhot.

Optimal timing för ISO 27001-antagande

Att anta ISO 27001:2022 är ett strategiskt beslut som beror på din organisations beredskap och mål. Den ideala tidpunkten är ofta i samband med perioder av tillväxt eller digital transformation, där förbättrade säkerhetsramverk kan förbättra affärsresultaten avsevärt. Tidigt införande ger en konkurrensfördel, eftersom certifiering är erkänd i över 150 länder, vilket utökar internationella affärsmöjligheter.

Genomföra en beredskapsbedömning

För att säkerställa en sömlös användning, gör en grundlig beredskapsbedömning för att utvärdera nuvarande säkerhetspraxis mot uppdaterad standard. Detta involverar:

  • Förklaring av skillnaden: Identifiera områden som behöver förbättras och anpassa dem till kraven enligt ISO 27001:2022.
  • Resursfördelning: Se till att tillräckliga resurser, inklusive personal, teknik och budget, finns tillgängliga för att stödja antagandet.
  • Intressentengagemang: Säkra inköp från nyckelintressenter för att underlätta en smidig adoptionsprocess.

Anpassa certifiering till strategiska mål

Att anpassa certifieringen till strategiska mål förbättrar affärsresultaten. Överväga:

  • Tidslinje och deadlines: Var medveten om branschspecifika deadlines för efterlevnad för att undvika påföljder.
  • Ständiga förbättringar: Främja en kultur av pågående utvärdering och förbättring av säkerhetspraxis.

 

Använder ISMS.online för effektiv hantering

Vår plattform, ISMS.online, spelar en viktig roll för att hantera adoptionen på ett effektivt sätt. Den erbjuder verktyg för att automatisera efterlevnadsuppgifter, minska manuell ansträngning och tillhandahålla samarbetsfunktioner i realtid. Detta säkerställer att din organisation kan upprätthålla efterlevnad och spåra framsteg effektivt under hela adoptionsprocessen.

Genom att strategiskt planera och använda rätt verktyg kan din organisation smidigt navigera inför antagandet av ISO 27001:2022, vilket säkerställer robust säkerhet och efterlevnad.

Var överensstämmer ISO 27001:2022 med andra regulatoriska standarder?

ISO 27001 spelar en viktig roll för att anpassa sig till viktiga regelverk, såsom GDPR och NIS 2, för att förbättra dataskyddet och effektivisera regelefterlevnaden. Denna anpassning stärker inte bara datasekretessen utan förbättrar också organisationens motståndskraft över flera ramverk.

Hur förbättrar ISO 27001:2022 GDPR-efterlevnaden?

ISO 27001:2022 kompletterar GDPR genom att fokusera på dataskydd och integritet genom sina omfattande riskhanteringsprocesser (ISO 27001:2022 klausul 6.1). Standardens betoning på att skydda personuppgifter överensstämmer med GDPR:s strikta krav och säkerställer robusta dataskyddsstrategier.

Vilken roll spelar ISO 27001:2022 för att stödja NIS 2-direktiv?

Standarden stöder NIS 2-direktiven genom att förbättra motståndskraften mot cybersäkerhet. ISO 27001:2022:s fokus på hotinformation och incidenthantering överensstämmer med NIS 2:s mål att stärka organisationer mot cyberhot och säkerställa kontinuitet i kritiska tjänster.

Hur integreras ISO 27001:2022 med andra ISO-standarder?

ISO 27001 integreras effektivt med andra ISO-standarder, såsom ISO 9001 och ISO 14001 , skapa synergier som förbättrar övergripande regelanpassning och operativ effektivitet. Denna integration underlättar en enhetlig strategi för att hantera kvalitets-, miljö- och säkerhetsstandarder inom en organisation.

Hur kan organisationer uppnå en omfattande regulatorisk anpassning till ISO 27001:2022?

Organisationer kan uppnå omfattande regulatoriska anpassningar genom att synkronisera sina säkerhetspraxis med bredare krav. Vår plattform, ISMS.online, erbjuder omfattande certifieringsstöd och tillhandahåller verktyg och resurser för att förenkla processen. Branschorganisationer och webbseminarier förbättrar förståelsen och implementeringen ytterligare, vilket säkerställer att organisationer förblir kompatibla och konkurrenskraftiga.

Kan ISO 27001:2022 effektivt mildra nya säkerhetsutmaningar?

Nya hot, inklusive cyberattacker och dataintrång, kräver robusta strategier. ISO 27001:2022 erbjuder ett omfattande ramverk för hantering av risker, med betoning på ett riskbaserat tillvägagångssätt för att identifiera, bedöma och mildra potentiella hot.

Hur förbättrar ISO 27001:2022 begränsningen av cyberhot?

ISO 27001:2022 stärker begränsningen genom strukturerade riskhanteringsprocesser. Genom att implementera kontroller i bilaga A kan organisationer proaktivt ta itu med sårbarheter, vilket minskar cyberincidenter. Denna proaktiva hållning bygger förtroende hos kunder och partners, vilket skiljer företag på marknaden.

Vilka åtgärder säkerställer molnsäkerhet med ISO 27001:2022?

Molnsäkerhetsutmaningar är vanliga när organisationer migrerar till digitala plattformar. ISO 27001:2022 innehåller specifika kontroller för molnmiljöer, som säkerställer dataintegritet och skyddar mot obehörig åtkomst. Dessa åtgärder främjar kundlojalitet och ökar marknadsandelar.

Hur förhindrar ISO 27001:2022 dataintrång?

Dataintrång utgör betydande risker som påverkar rykte och finansiell stabilitet. ISO 27001:2022 upprättar omfattande protokoll, vilket säkerställer kontinuerlig övervakning och förbättring. Certifierade organisationer upplever ofta färre intrång och upprätthåller effektiva säkerhetsåtgärder.

Hur kan organisationer anpassa sig till föränderliga hotlandskap?

Organisationer kan anpassa ISO 27001:2022 till föränderliga hot genom att regelbundet uppdatera säkerhetspraxis. Denna anpassningsförmåga säkerställer anpassning till nya hot och upprätthåller robusta försvar. Genom att visa ett engagemang för säkerhet får certifierade organisationer en konkurrensfördel och föredras av kunder och partners.

Att odla en säkerhetskultur med ISO 27001-efterlevnad

ISO 27001 fungerar som en hörnsten i utvecklingen av en robust säkerhetskultur genom att betona medvetenhet och omfattande utbildning. Detta tillvägagångssätt stärker inte bara din organisations säkerhetsställning utan är också i linje med nuvarande cybersäkerhetsstandarder.

Hur man ökar säkerhetsmedvetenheten och utbildningen

Säkerhetsmedvetenhet är en integrerad del av ISO 27001:2022, vilket säkerställer att dina anställda förstår sina roller för att skydda informationstillgångar. Skräddarsydda utbildningsprogram ger personalen möjlighet att känna igen och reagera på hot effektivt, vilket minimerar incidentriskerna.

Vad är effektiva träningsstrategier?

Organisationer kan förbättra utbildningen genom att:

  • Interaktiva workshops: Genomför engagerande sessioner som förstärker säkerhetsprotokollen.
  • E-lärande moduler: Tillhandahålla flexibla onlinekurser för kontinuerligt lärande.
  • Simulerade övningar: Implementera nätfiske-simuleringar och incidenthanteringsövningar för att testa beredskapen.

 

Hur påverkar ledarskap säkerhetskulturen?

Ledarskap spelar en avgörande roll för att bygga in en säkerhetsfokuserad kultur. Genom att prioritera säkerhetsinitiativ och föregå med gott exempel, ingjuter ledningen ansvar och vaksamhet i hela organisationen, vilket gör säkerheten integrerad i organisationens etos.

Vilka är de långsiktiga fördelarna med säkerhetsmedvetenhet?

ISO 27001:2022 erbjuder varaktiga förbättringar och riskminskning, vilket ökar trovärdigheten och ger en konkurrensfördel. Organisationer rapporterar ökad operativ effektivitet och minskade kostnader, vilket stödjer tillväxt och öppnar nya möjligheter.

Hur stödjer ISMS.online din säkerhetskultur?

Vår plattform, ISMS.online, hjälper organisationer genom att erbjuda verktyg för att spåra utbildningsframsteg och underlätta samarbete i realtid. Detta säkerställer att säkerhetsmedvetenheten upprätthålls och kontinuerligt förbättras, i linje med ISO 27001:2022:s mål.

Navigera i utmaningar i ISO 27001:2022-implementering

Implementering av ISO 27001:2022 innebär att övervinna betydande utmaningar, såsom att hantera begränsade resurser och hantera motstånd mot förändring. Dessa hinder måste åtgärdas för att uppnå certifiering och förbättra din organisations informationssäkerhetsställning.

Identifiera gemensamma implementeringshinder

Organisationer har ofta svårt att fördela tillräckliga resurser, både ekonomiska och mänskliga, för att uppfylla ISO 27001:2022:s omfattande krav. Motstånd mot att anta nya säkerhetsrutiner kan också hämma framsteg, eftersom anställda kan tveka att ändra etablerade arbetsflöden.

Effektiva resurshanteringsstrategier

För att optimera resurshanteringen, prioritera uppgifter baserat på riskbedömningsresultat, med fokus på områden med stor påverkan (ISO 27001:2022 klausul 6.1). Vår plattform, ISMS.online, automatiserar efterlevnadsuppgifter, minskar manuella ansträngningar och säkerställer att kritiska områden får nödvändig uppmärksamhet.

Att övervinna motståndet mot förändring

Effektiv kommunikation och träning är nyckeln till att lindra motstånd. Engagera medarbetarna i implementeringsprocessen genom att lyfta fram fördelarna med ISO 27001:2022, såsom förbättrat dataskydd och GDPR-anpassning. Regelbundna utbildningssessioner kan främja en kultur av säkerhetsmedvetenhet och efterlevnad.

Förbättra implementeringen med ISMS.online

ISMS.online spelar en avgörande roll för att övervinna dessa utmaningar genom att tillhandahålla verktyg som förbättrar samarbetet och effektiviserar dokumentationen. Vår plattform stöder integrerade efterlevnadsstrategier, anpassar ISO 27001 med standarder som ISO 9001, vilket förbättrar den övergripande effektiviteten och regelefterlevnaden. Genom att förenkla implementeringsprocessen hjälper ISMS.online din organisation att uppnå och upprätthålla ISO 27001:2022-certifiering effektivt.

ISO 27001 Vanliga frågor

Vilka är de viktigaste skillnaderna mellan ISO 27001:2022 och tidigare versioner?

ISO 27001:2022 introducerar viktiga uppdateringar för att möta ständigt föränderliga säkerhetskrav och ökar dess relevans i dagens digitala miljö. En betydande förändring är utökningen av kontrollerna i bilaga A, som nu uppgår till totalt 93, vilka inkluderar nya åtgärder för molnsäkerhet och hotinformation. Dessa tillägg understryker den växande betydelsen av digitala ekosystem och proaktiv hothantering.

Inverkan på efterlevnad och certifiering
Uppdateringarna i ISO 27001:2022 kräver justeringar i efterlevnadsprocesser. Din organisation måste integrera dessa nya kontroller i sina informationssäkerhetshanteringssystem (ISMS), för att säkerställa anpassning till de senaste kraven (ISO 27001:2022 klausul 6.1). Denna integration effektiviserar certifieringen genom att tillhandahålla ett omfattande ramverk för att hantera informationsrisker.

Nya kontroller och deras betydelse
Införandet av kontroller fokuserade på molnsäkerhet och hotintelligens är anmärkningsvärt. Dessa kontroller hjälper din organisation att skydda data i komplexa digitala miljöer och åtgärdar sårbarheter som är unika för molnsystem. Genom att implementera dessa åtgärder kan du förbättra din säkerhetsställning och minska risken för dataintrång.

Anpassning till nya krav
För att anpassa sig till dessa förändringar bör din organisation genomföra en grundlig gapanalys för att identifiera områden som behöver förbättras. Detta innebär att bedöma nuvarande praxis mot den uppdaterade standarden, vilket säkerställer anpassning till nya kontroller. Genom att använda plattformar som ISMS.online kan du automatisera efterlevnadsuppgifter, minska manuell ansträngning och öka effektiviteten.

Dessa uppdateringar belyser ISO 27001:2022:s engagemang för att hantera samtida säkerhetsutmaningar och säkerställa att din organisation förblir motståndskraftig mot nya hot.

Varför bör Compliance Officers prioritera ISO 27001:2022?

ISO 27001:2022 är avgörande för complianceansvariga som vill förbättra sin organisations informationssäkerhetsramverk. Dess strukturerade metod för regelefterlevnad och riskhantering är oumbärlig i dagens sammankopplade miljö.

Navigera i regelverk
ISO 27001:2022 är i linje med globala standarder som GDPR, vilket ger ett omfattande ramverk som säkerställer dataskydd och integritet. Genom att följa dess riktlinjer kan du med säkerhet navigera i komplexa regulatoriska landskap, minska juridiska risker och förbättra styrningen (ISO 27001:2022 klausul 6.1).

Proaktiv riskhantering
Standardens riskbaserade tillvägagångssätt gör det möjligt för organisationer att systematiskt identifiera, bedöma och minska risker. Denna proaktiva hållning minimerar sårbarheter och främjar en kultur av kontinuerlig förbättring, vilket är avgörande för att upprätthålla en robust säkerhetsställning. Complianceansvariga kan använda ISO 27001:2022 för att implementera effektiva riskhanteringsstrategier och säkerställa motståndskraft mot nya hot.

Förbättra organisatorisk säkerhet
ISO 27001:2022 förbättrar avsevärt er organisations säkerhetsställning genom att integrera säkerhetsrutiner i kärnverksamhetens processer. Denna integration ökar den operativa effektiviteten och bygger förtroende hos intressenter, vilket positionerar er organisation som ledande inom informationssäkerhet.

Effektiva implementeringsstrategier
Complianceansvariga kan implementera ISO 27001:2022 effektivt genom att använda plattformar som ISMS.online, vilket effektiviserar arbetet genom automatiserade riskbedömningar och realtidsövervakning. Att engagera intressenter och främja en säkerhetsmedveten kultur är avgörande steg för att integrera standardens principer i hela din organisation.

Genom att prioritera ISO 27001:2022 skyddar du inte bara din organisations data utan driver också strategiska fördelar på en konkurrensutsatt marknad.

Hur förbättrar ISO 27001:2022 säkerhetsramverk?

ISO 27001:2022 etablerar ett omfattande ramverk för hantering av informationssäkerhet med fokus på en riskbaserad metod. Denna metod gör det möjligt för din organisation att systematiskt identifiera, bedöma och hantera potentiella hot, vilket säkerställer ett robust skydd av känsliga uppgifter och efterlevnad av internationella standarder.

Nyckelstrategier för att minska hot

  • Utföra riskbedömningar: Noggranna utvärderingar identifierar sårbarheter och potentiella hot (ISO 27001:2022 klausul 6.1), vilket utgör grunden för riktade säkerhetsåtgärder.
  • Implementera säkerhetskontroller: Bilaga A-kontroller används för att hantera specifika risker, vilket säkerställer en helhetssyn på hotförebyggande åtgärder.
  • Kontinuerlig övervakning: Regelbundna granskningar av säkerhetsrutiner möjliggör anpassning till föränderliga hot och bibehåller effektiviteten i er säkerhetsställning.

Dataskydd och integritetsanpassning
ISO 27001:2022 integrerar säkerhetspraxis i organisatoriska processer, i linje med bestämmelser som GDPR. Detta säkerställer att personuppgifter hanteras säkert, vilket minskar juridiska risker och stärker intressenternas förtroende.

Bygga en proaktiv säkerhetskultur
Genom att främja säkerhetsmedvetenhet främjar ISO 27001:2022 kontinuerlig förbättring och vaksamhet. Denna proaktiva hållning minimerar sårbarheter och stärker din organisations övergripande säkerhetsställning. Vår plattform, ISMS.online, stöder dessa insatser med verktyg för realtidsövervakning och automatiserade riskbedömningar, vilket positionerar din organisation som ledande inom informationssäkerhet.

Att införliva ISO 27001:2022 i er säkerhetsstrategi stärker inte bara försvaret utan förbättrar även er organisations rykte och konkurrensfördelar.

Vilka fördelar erbjuder ISO 27001:2022 VD:ar?

ISO 27001:2022 är en strategisk tillgång för VD:ar, som förbättrar organisatorisk motståndskraft och operativ effektivitet genom en riskbaserad metodik. Denna standard anpassar säkerhetsprotokoll till affärsmål, vilket säkerställer robust informationssäkerhetshantering.

Hur förbättrar ISO 27001:2022 strategisk affärsintegration?

Riskhanteringsram:
ISO 27001:2022 ger ett omfattande ramverk för att identifiera och minska risker, skydda dina tillgångar och säkerställa affärskontinuitet.

Regelefterlevnadsstandarder:
Genom att anpassa sig till globala standarder som GDPR minimeras juridiska risker och stärks styrningen, vilket är avgörande för att upprätthålla marknadens förtroende.

Vilka är konkurrensfördelarna med ISO 27001:2022?

Förbättra rykte:
Certifiering visar ett engagemang för säkerhet, vilket ökar kundernas förtroende och nöjdhet. Organisationer rapporterar ofta ökat kundförtroende, vilket leder till högre kundlojalitet.

Global marknadstillgång:
Med godkännande i över 150 länder underlättar ISO 27001:2022 inträde på internationella marknader och erbjuder en konkurrensfördel.

Hur kan ISO 27001:2022 driva företagstillväxt?

Driftseffektivitet:
Effektiviserade processer minskar säkerhetsincidenter, sänker kostnaderna och förbättrar effektiviteten.

Innovation och digital transformation:
Genom att främja en kultur av säkerhetsmedvetenhet stöder det digital transformation och innovation, vilket driver företagstillväxt.

Genom att integrera ISO 27001:2022 i din strategiska planering anpassas säkerhetsåtgärderna till organisationens mål, vilket säkerställer att de stöder bredare affärsmål. Vår plattform, ISMS.online, förenklar efterlevnad, erbjuder verktyg för realtidsövervakning och riskhantering, vilket säkerställer att din organisation förblir säker och konkurrenskraftig.

Hur man underlättar digital transformation med ISO 27001:2022

ISO 27001:2022 tillhandahåller ett omfattande ramverk för organisationer som övergår till digitala plattformar, vilket säkerställer dataskydd och efterlevnad av internationella standarder. Denna standard är avgörande för att hantera digitala risker och förbättra säkerhetsåtgärderna.

Hur man hanterar digitala risker effektivt
ISO 27001:2022 erbjuder ett riskbaserat tillvägagångssätt för att identifiera och mildra sårbarheter. Genom att utföra noggranna riskbedömningar och implementera bilaga A-kontroller kan din organisation proaktivt ta itu med potentiella hot och upprätthålla robusta säkerhetsåtgärder. Detta tillvägagångssätt överensstämmer med förändrade krav på cybersäkerhet, vilket säkerställer att dina digitala tillgångar skyddas.

Hur man främjar säker digital innovation
Genom att integrera ISO 27001:2022 i din utvecklingslivscykel säkerställs att säkerheten prioriteras från design till implementering. Detta minskar riskerna för intrång och förbättrar dataskyddet, vilket gör att din organisation kan bedriva innovation med tillförsikt samtidigt som regelefterlevnaden bibehålls.

Hur man bygger en kultur av digital säkerhet
Att främja en säkerhetskultur innebär att man betonar medvetenhet och utbildning. Implementera omfattande program som utrustar ditt team med de färdigheter som behövs för att känna igen och reagera på digitala hot effektivt. Denna proaktiva hållning främjar en säkerhetsmedveten miljö, avgörande för framgångsrik digital transformation.

Genom att anta ISO 27001:2022 kan din organisation navigera i digital komplexitet och säkerställa att säkerhet och efterlevnad är integrerade i dina strategier. Denna anpassning skyddar inte bara känslig information utan förbättrar också operativ effektivitet och konkurrensfördelar.

Vilka är de viktigaste övervägandena vid implementering av ISO 27001:2022?

Att implementera ISO 27001:2022 innebär noggrann planering och resurshantering för att säkerställa framgångsrik integration. Viktiga överväganden inkluderar strategisk resursallokering, engagerande av nyckelpersoner och främjande av en kultur av ständiga förbättringar.

Strategisk resursallokering
Att prioritera uppgifter utifrån omfattande riskbedömningar är väsentligt. Din organisation bör fokusera på områden med stor inverkan och se till att de får tillräcklig uppmärksamhet enligt ISO 27001:2022 klausul 6.1. Att använda plattformar som ISMS.online kan automatisera uppgifter, minska manuell ansträngning och optimera resursanvändningen.

Engagera nyckelpersoner
Att säkra inköp från nyckelpersoner tidigt i processen är avgörande. Detta innebär att främja samarbete och anpassa sig till organisationens mål. Tydlig kommunikation om fördelarna och målen med ISO 27001:2022 hjälper till att mildra motstånd och uppmuntrar aktivt deltagande.

Att främja en kultur av ständig förbättring
Det är avgörande att regelbundet se över och uppdatera dina informationssäkerhetshanteringssystem (ISMS) för att anpassa sig till föränderliga hot. Detta innebär att utföra periodiska revisioner och ledningsgranskningar för att identifiera områden för förbättringar, enligt ISO 27001:2022 klausul 9.3.

Steg för framgångsrik implementering
För att säkerställa framgångsrik implementering bör din organisation:

  • Genomför en gapanalys för att identifiera områden som behöver förbättras.
  • Utveckla en omfattande projektplan med tydliga mål och tidslinjer.
  • Använd verktyg och resurser, såsom ISMS.online, för att effektivisera processer och förbättra effektiviteten.
  • Främja en kultur av säkerhetsmedvetenhet genom regelbunden utbildning och kommunikation.

Genom att ta itu med dessa överväganden kan din organisation effektivt implementera ISO 27001:2022, förbättra dess säkerhetsställning och säkerställa anpassning till internationella standarder.

Boka en demo med ISMS.online

Börja din ISO 27001:2022-resa med ISMS.online. Schemalägg en personlig demo nu för att se hur våra heltäckande lösningar kan förenkla din efterlevnad och effektivisera din implementering processer. Förbättra ditt säkerhetsramverk och öka operativ effektivitet med våra banbrytande verktyg.

Hur kan ISMS.online effektivisera din efterlevnadsresa?

  • Automatisera och förenkla uppgifter: Vår plattform minskar manuell ansträngning och förbättrar precisionen genom automatisering. Det intuitiva gränssnittet guidar dig steg för steg och säkerställer att alla nödvändiga kriterier uppfylls på ett effektivt sätt.
  • Vilken support erbjuder ISMS.online?Med funktioner som automatiserade riskbedömningar och realtidsövervakning hjälper ISMS.online till att upprätthålla en robust säkerhetsställning. Vår lösning är i linje med ISO 27001:2022:s riskbaserade tillvägagångssätt och åtgärdar proaktivt sårbarheter (ISO 27001:2022 klausul 6.1).
  • Varför schemalägga en personlig demo?Upptäck hur våra lösningar kan förändra din strategi. En personlig demo illustrerar hur ISMS.online kan möta just din organisations behov och ger insikter i våra möjligheter och fördelar.

Hur förbättrar ISMS.online samarbete och effektivitet?

Vår plattform främjar sömlöst lagarbete, vilket gör att din organisation kan uppnå ISO 27001:2022-certifiering. Genom att använda ISMS.online kan ditt team förbättra sitt säkerhetsramverk, förbättra operativ effektivitet och få en konkurrensfördel. Boka demo idag för att uppleva den transformativa kraften hos ISMS.online och säkerställa att din organisation förblir säker och kompatibel.

Sam Peters

Sam är Chief Product Officer på ISMS.online och leder utvecklingen av alla produktegenskaper och funktionalitet. Sam är expert på många områden av efterlevnad och arbetar med kunder på alla skräddarsydda eller storskaliga projekt.

Relaterade ämnen

ISO 27001

Cyberbrottslighet kontra geopolitik: Hur ransomware blir ett geopolitiskt verktyg

Nationalstater ökar sina destruktiva attacker med hjälp av ransomware och wipers. Vad kan man göra för att hantera risken? År 2017 utlöste Rysslandskopplade motståndare en attack som senare blev känd som NotPetya, som en del av en pågående kampanj mot Ukraina. Förklädd till att se ut som Petya-ransomware, blev konsekvenserna av den förödande cyberattacken förstörelse snarare än ekonomisk vinning. Skadorna från torkarverktyget gick långt bortom dess mål och drabbade företag över hela Europa och även utanför. Nästan ett decennium senare blir wipers och ransomware viktiga verktyg för angripare från olika stater för att stoppa kritiska tjänster och orsaka störningar. Incidenten med Colonial Pipeline 2021 är ett utmärkt exempel på den skada som kan uppstå till följd av denna typ av attack. Attacken, som tillskrivs DarkSide – en grupp med ryska kopplingar – tvingade fram stängningen av den största bränsleledningen i USA, vilket utlöste omfattande bränslebrist. År 2021 utförde nordkoreanska regeringskopplade motståndare ransomware-attackerna på Maui mot sjukhus och diagnostiska centra, i syfte att generera intäkter och orsaka kaos. Den eskalerande geopolitiska situationen, inklusive kriget mellan Ryssland och Ukraina och Irankonflikten, ökar hotet, med växande rädsla för destruktiva attacker från motståndare kopplade till fientliga nationer som Kina, Ryssland, Iran och Nordkorea (CRINK). Det har lett till att nationella säkerhetsmyndigheter har utfärdat varningar, och det brittiska nationella cybersäkerhetscentret (NCSC) har i detalj presenterat verktyg som hjälper företag att minska risken. Vad kan företag göra för att hantera detta växande problem? Utvecklingen av ransomware Det råder ingen tvekan om att risken för attacker från nationella stater som använder ransomware som en del av geopolitiska mål ökar. Tracey Hannan-Jones, konsultchef inom informationssäkerhet på UBDS Digital, anser att gränsen mellan cyberbrottslighet och geopolitik ”aldrig har varit tunnare”. Det som en gång var domänen för ekonomiskt motiverade kriminella gäng har utvecklats till ett "sofistikerat instrument för statsmakt", enligt Hannan-Jones. Detta innebär att ransomware, skadlig kod och destruktiva cyberattacker används utöver utpressning. ”De är vapen för geografisk splittring, som används av nationalstatliga aktörer för att destabilisera regeringar, lamslå infrastruktur och projektmakt – utan att ett enda skott avlossas”, säger hon. Tidigare följde ransomware-attacker en förutsägbar logik: Kryptera, kräv betalning och vinst. Detta har förändrats dramatiskt i takt med att nationalstatliga aktörer – framför allt de som är allierade med Ryssland, Nordkorea, Kina och Iran – har anammat och anpassat samma tekniker, ofta ”med mål långt bortom ekonomisk vinning”, säger Hannan-Jones. Undergräver förtroendet Gary Barlet, teknisk chef för offentlig sektor på Illumio, instämmer i Hannan-Jones analys. I vissa fall är attackerna utformade för att undergräva allmänhetens förtroende, skapa operativ instabilitet och utöva ekonomisk press, säger Barlet. Han förklarar hur många ransomware-grupper verkar i miljöer där de får indirekt skydd eller tyst godkännande från regeringar som ser strategiskt värde i sin verksamhet. ”Denna konvergens skapar en enorm utmaning för försvarare som inte längre bara har att göra med isolerad kriminell verksamhet.” Problemet nu är hot som befinner sig i en ”gråzon” mellan ekonomiskt motiverade attacker och statligt allierade operationer, enligt Barlet. ”Ransomware-grupper beter sig i allt högre grad som ombud, riktar in sig på utländska motståndare eller bidrar till bredare destabiliseringsinsatser.” Samtidigt är det svårt att identifiera förövarna, eftersom cyberoperationer avsiktligt är utformade för att ge brottslingar en rimlig förnekelse. ”En attack kan vid första anblicken verka ekonomiskt motiverad, men den operativa tidpunkten, målvalet eller den bredare effekten kan antyda strategiska avsikter underifrån”, förklarar Barlet. Opportunistiska kontra strategiska. Nationalstatsattacker kan vara strategiska eller opportunistiska. Pengar är ofta en motivation för attacker mot nationalstater, som de som begås av Nordkorea. Det är inte ovanligt att observera nationalstatliga motståndare ”monetarisera digital osäkerhet för att generera olagliga intäkter”, säger Jamie Moles, senior teknisk chef på ExtraHop. "Genom att samarbeta med cyberkriminella syndikat distribuerar stater ransomware och utnyttjar sårbarheter i leveranskedjan." Denna finansiella utvinning gör det möjligt för regimer att kringgå internationella sanktioner och finansiera underrättelseoperationer "utanför bokföringen". Möjligheter kan ibland spela en roll, och konflikter i Iran gör att nationer som Ryssland går under radarn. Samtidigt utnyttjar statssponsrade angripare ibland cyberbrottslighetsekosystemet för att dölja sitt ansvar i attacker, säger Andrew Brandt, chef för hotinformationsincidenter på Huntress. ”Varför lägga tid på att utveckla anpassad, specialanpassad skadlig kod när man bara kan ta den läckta källkoden från Gh0stRAT och använda den istället?” Risk med leveranskedjan och kritisk infrastruktur Risken ökar ytterligare i takt med att leveranskedjor blir mer digitalt sammankopplade, vilket gör att de ärver nya felpunkter som angripare snabbt utnyttjar. Enligt Barlet från Illumio missbrukar cyberbrottslingar rutinmässigt felkonfigurationer, osäkra API:er och svag autentisering för att få initial åtkomst innan de går vidare mot kritiska system. Ransomware-grupper vet också att det kan vara mycket mer skadligt och lönsamt att störa leveranskedjor än att stjäla data. ”Även kortvariga störningar kan slå igenom över globala leveranskedjor, särskilt i just-in-time-produktionsmiljöer där förseningar snabbt leder till ökad produktionstakt”, säger Barlet. I takt med att detta hot växer kan traditionella säkerhetsmodeller få problem, eftersom de är byggda för incidenter snarare än statligt stödda kampanjer. Säkerhetsmodeller byggs ofta kring ”ett perimeterbaserat tänkesätt”, enligt Barlet. ”Säkerhetsteam tänker i binära termer om huruvida en angripare tog sig in eller inte, vilket innebär att de ofta misslyckas med att ta hänsyn till vad som händer efteråt.” Detta skapar orealistiska förväntningar om att varje intrång kan förhindras.” Men när angripare bryter sig in i perimetern rör de sig ofta i sidled över systemen, vilket eskalerar åtkomsten och orsakar omfattande störningar. ”Genom att fokusera för mycket på perimetern försvarar organisationer i praktiken en begränsad gräns medan ransomware-aktörer opererar fritt inom den när de väl har kommit igenom den”, förklarar Barlet. Han säger att attackerna mot Jaguar Land Rover och butiksföretag förra året följde detta mönster. ”Angriparna äventyrade nätverk, riktade in sig på system som är avgörande för tjänster och verksamheter och stjäl känslig information.” Begränsa effekterna I takt med att attacklinjerna fortsätter att suddas ut är det viktigt att säkerställa motståndskraftigt tänkande, sektorsövergripande medvetenhet, synlighet i leveranskedjan och ansvarsskyldighet på ledningsnivå. Ramverk som ISO 27001 kan ge en grund för att hantera risker mitt i ökande hot. Med tanke på att hotet från nationalstater ökar kraftigt mitt i geopolitiska störningar över hela världen, anser Barlet att företag – särskilt de som är verksamma inom kritiska sektorer – måste släppa taget om total förebyggande åtgärder och istället fokusera på att begränsa effekterna av ransomware genom att förhindra dataintrång. ”En strategi som fokuserar på att begränsa angrepp tvingar angripare att sakta ner, vilket gör det svårare för dem att hålla sig gömda och röra sig mellan olika system”, förklarar han. ”Ännu viktigare är att det tvingar angripare att ändra sina tekniker och rutiner, vilket ger säkerhetsteam en mycket bättre chans att upptäcka, reagera på och återhämta sig från attacker.” Hannan-Jones på UBDS Digital anser att fokus bör ligga på motståndskraft framför förebyggande. ”Ingen organisation kan garantera att den inte kommer att bli attackerad, så fokus måste flyttas till motståndskraft: Förmågan att upptäcka, reagera och återställa med robust planering för affärskontinuitet och katastrofåterställning.” Beredskap för incidenter är avgörande, inklusive inövade planer med ”tydliga eskaleringsvägar och kommunikationsprotokoll för att avsevärt minska effekterna av en lyckad attack”, säger Hannan-Jones. Organisationer bör också prioritera integration av hotinformation, råder hon. ”Detta innebär att gå bortom generiska säkerhetsvarningar och använda sektorspecifik, geopolitiskt kontextualiserad hotinformation för att förstå vilka hotaktörer som är aktiva, deras taktiker och deras mål för proportionell riskhantering.” Expand Your Knowledge Podcast: Phishing for Trouble S01 Avsnitt 02: Säkerhet i offentliga system och tjänster Blogg: Cyberhot i en tid av ökade spänningar i Mellanöstern: Vad brittiska ITSO:er kan förvänta sig Blogg: Motståndskraftsfaktorn: Att bryta ner BridgePay-ransomwareattacken
Läs mer
ISO 27001

Nordkoreanska IT-anställda riktar in sig på Storbritannien: Vad bör du göra?

Insiderrisk ansågs fram till nyligen i stort sett vara begränsad till isolerade incidenter. Farligt, ja. Men oftast är det resultatet av försumliga anställda eller en och annan "ensam varg" motiverad av girighet eller hämndlystnad. Upptäckten av en årslång kampanj från Nordkoreas sida för att infiltrera västerländska företag har vänt upp och ner på dessa antaganden. De dåliga nyheterna för brittiska ITSO:er: det är inte längre bara ett problem för amerikanska företag, enligt Google. Nu när Pyongyang tar insiderhot till en helt ny nivå, vad kan säkerhetschefer och deras HR-kollegor göra för att rensa ut skurkarna? Och förhindra att nästa våg av spioner smyger sig in i interna IT-roller? Enligt Microsoft har Nordkoreas "bedrägliga distansarbetarprogram" pågått sedan åtminstone 2020, och tusentals IT-arbetare har fått roller i västerländska organisationer. Flera åtal mot nordkoreanska spioner och lokala medhjälpare har följt, vilket lyfter locket på operationens omfattning. Nu verkar det ut att expandera till Europa, enligt Jamie Collier, huvudrådgivare på Google Threat Intelligence Group (GTIG). ”Hotet från nordkoreanska IT-anställda fortsätter att växa, och brittiska organisationer är tydligt närvarande.” Det som började som en till stor del USA-fokuserad operation har expanderat till en global kampanj, där Europa nu är ett viktigt mål”, berättar han för IO (tidigare ISMS.online). ”I ett fall utnyttjade en nordkoreansk IT-anställd facilitatorer i både USA och Storbritannien med en företagslaptop – avsedd för användning i New York – som befanns fungerande i London.” Detta pekar på en komplex logistisk kedja, där enheter och åtkomst effektivt överförs via betrodda platser, vilket gör det möjligt för operatörer att maskera sin verkliga identitet och plats.” Dessa arbetare skapar, hyr eller köper identiteter som matchar målorganisationens geolokalisering och öppnar nya e-post-, sociala medier- och GitHub-konton för att bygga en övertygande professionell persona. Deras handledare validerar dessa bedrägliga identiteter och hjälper till genom att vidarebefordra företagets enheter och driva laptop-farmar. Arbetarna använder verktyg för fjärrhantering för att ansluta till dessa enhetsfarmar, som finns lokalt i förhållande till rollen, medan VPN, virtuella privata servrar (VPS:er) och proxytjänster döljer sin verkliga identitet. AI-drivna djupförfalskade bilder/videor och röstförändrande programvara används också för att hålla arbetsgivare ovetande. En färsk rapport från Flare och IBM X-Force avslöjar mer detaljer om hur sofistikerade dessa system är. Den avslöjar användningen av nordkoreanska IT-hanteringsplattformar som ”RB Site” och ”NetkeyRegister” för att tillhandahålla ”en strukturerad backoffice-verksamhet för att spåra arbete, hantera enheter och distribuera programuppdateringar.” Och användningen av IP Messenger för hemlig kommunikation. Säkerhets- och HR-teamens arbete försvåras av att målet med kampanjen i de flesta fall inte nödvändigtvis är datastöld eller utpressning utan helt enkelt att generera pengar till Kim Jong-uns regim. Flare uppskattar att de genererar så mycket som 500 miljoner dollar årligen, där vissa arbetare har flera jobb samtidigt. ”I vissa fall säkrar de inte bara roller, de utmärker sig i dem”, säger Googles Collier. ”När vi informerade en kund om att en anställd var en nordkoreansk agent var svaret: 'Är du 100 % säker, för han är en av våra bästa anställda'.” Att tämja insiderhotet Även om nordkoreanska IT-anställda inte aktivt stjäl data eller utpressar sina arbetsgivare, utgör deras blotta närvaro en stor efterlevnadsrisk. ”Kontoret för implementering av finansiella sanktioner (Office of Financial Sanctions Implementation) rekommendation från september 2024 lämnar inte mycket utrymme för tvetydighet.” Att betala en nordkoreansk IT-anställd, även omedvetet, kan utgöra ett brott mot Storbritanniens och FN:s finansiella sanktioner. Straffen är civilrättsliga (strikt ansvar, så okunskap är inte ett försvar) eller straffrättsliga (upp till sju år), förklarar Adrian Cheek, senior cyberbrottsforskare på Flare. ”OFSI rapporterade cirka 500 000 pund i sanktionsavgifter under 2024–25, och undertecknade ett nytt samförståndsavtal med det amerikanska finansdepartementet samma år, vilket innebär att det transatlantiska samarbetet i dessa fall skärps.” Om ditt företag också är verksamt i USA står du inför exponering från båda sidor och ryktesrisken behöver knappt förklaras tydligt.” Cheek beskriver flera steg som organisationer bör överväga för att minska hotet. Dessa bör börja med att fixa anställningsprocessen, vilket är så de flesta skador kan förhindras. "Börja med grunderna: verifiera identitet mot myndighetsutfärdad legitimation, bekräfta rätten att arbeta och kontrollera självständigt anställningshistorik och referenser." ”Ring inte bara numret på CV:t”, säger han till IO (tidigare ISMS.online). "För allt som rör känsliga system eller data, gå längre." En BS 7858-bedömning omfattar en verifierad femårig anställningshistorik utan oförklarade luckor, sanktioner och kontroller av bevakningslistor, samt kontroller av ekonomisk integritet där lagen tillåter det.” Nästa steg bör vara förbättrad intervjuscreening. "Det här är den del som de flesta riktlinjer förbiser." Vanliga tekniska intervjuer är trivialt enkla att klara med AI som körs på en andra skärm, vilket är precis vad dessa agenter gör. ”Man måste utforma intervjuer som bryter mot det arbetsflödet”, säger Cheek. "Släng in något falskt och se vad som händer." Och ställ frågor som kräver en riktig åsikt, inte ett svar ur en skolbok. Undvik allt som en kandidat skulle kunna svara på genom att klistra in frågan i en juristutbildningsfilosofi.” Anställda bör också insistera på att dela skärmar i realtid och ändra intervjuformat mellan omgångarna för att avskräcka potentiella bedragare. ”Om deras språkfärdighet minskar dramatiskt när de inte kan förbereda sig och inte har AI-hjälp tillgänglig, är det en viktig indikator”, säger Cheek. För roller med tillgång till känsliga uppgifter är minst ett personligt möte avgörande. Slutligen kan organisationer minska risken för att ha en potentiell nordkoreansk arbetare mitt ibland sig genom att tillämpa lägsta möjliga behörighet, inaktivera lokala administratörskonton och begränsa möjligheten att installera fjärrskrivbordsverktyg, avslutar Cheek. "Ge inte en ny entreprenör nycklarna till varje förråd och interna verktyg på dag ett." Tillhandahåll åtkomst stegvis och granska den regelbundet”, säger han. ”Och om ni inte kan utfärda en hanterad enhet, se till att motsvarande loggning och slutpunktssynlighet finns på plats.” Samarbete med HR Många av dessa insatser kommer att kräva att säkerhetsteam bygger broar med sina HR-motsvarigheter, säger Mimecasts cybersäkerhetsstrateg Adenike Cosgrove. ”Samarbete måste byggas in i rekryteringen som standard, inte behandlas som ett eskaleringssteg”, säger hon till IO. "HR är ofta den första försvarslinjen." De ser de tidiga signalerna: kandidater som avleder identitetsfrågor, drar sig för verifiering eller beter sig inkonsekvent.  Utan en tydlig kanal för att lyfta fram dessa farhågor för säkerhetspersonalen försvinner dessa signaler.” Detsamma bör gälla för offboarding, för att säkerställa att nätverksåtkomst tas bort omedelbart efter att en misstänkt illvillig insider har uppsagts, säger hon. ”Inget av detta fungerar utan en överenskommelse i förväg: om vad HR rapporterar till säkerheten, vad säkerheten kommunicerar tillbaka och hur beslut fattas när bilden är tvetydig”, tillägger Cosgrove. "Insiderrisk är i slutändan ett problem med människor." De team som är närmast människorna och de team som är närmast data måste arbeta utifrån samma strategi. Om HR och säkerhet inte fungerar som ett system glider detta hot rakt igenom gapet mellan dem.” Rollen av ramverk för bästa praxis Den goda nyheten är att även om standarder som ISO 27001 kan kännas ”frikopplade” från hot som detta, ”är de i praktiken mer relevanta än någonsin”, säger Cosgrove. ”Det ISO 27001 ger är struktur”, tillägger hon. ”Det tvingar fram samordning mellan HR-granskning, åtkomstkontroller och säkerhetsövervakning, vilket är precis där detta hot finns.” Flare's Cheek går längre. Han citerar NIST CSF 2.0 som relevant för multinationella företag eller företag som arbetar med amerikanska kunder. Och Cyber ​​Essentials som grundläggande men med användbara krav på åtkomstkontroll. Men ISO 27001 är den mest omfattande för att hantera det nordkoreanska hotet, menar han. Cheek refererar till följande som användbart och relevant här: Bilaga A 6.1 (Screening), som kräver bakgrundskontroller i proportion till rollens risknivå, och kontinuerlig screening Bilaga A 5.16 (Identitetshantering), som kräver unik användaridentifiering och förbjuder delade konton Bilaga A 6.5 och 6.6, som kräver att sekretessförpliktelser fortsätter att gälla efter uppsägning och att åtkomst återkallas omedelbart, vilket minskar utpressningsriskerna Bilaga A 6.7 (Distansarbete), som täcker riskerna med att ohanterade enheter verifierar distansarbetare fysiskt ”Det verkliga värdet av ISO 27001 är dock kulturellt”, avslutar han. ”Forskare har i över ett år sagt att insiderrisk måste vara ett delat ansvar inom säkerhet, HR, juridik, revision och ekonomi.” ISO 27001 ger dig strukturen för att få det att hända.” Expand Your Knowledge Blog: När helpdesken är hotet Podcast: Nätfiske för problem S02 Avsnitt 02: Från styrelserum till breakroom – Att bygga en kultur för efterlevnad Guide: Informationssäkerhetsrapporten 2025
Läs mer
ISO 27001

Styrningsgapet: Varför EU:s AI-lag är det rätta tillfället då styrelser inte längre kan behandla efterlevnad som någon annans problem

EU:s AI-lag är redan i kraft, påföljder är redan aktiva och de flesta företag kan inte klassificera sina egna AI-system. Styrningsgapet är inte längre teoretiskt; det är en skuld som finns i balansräkningen. Under de senaste tre åren har styrelser entusiastiskt använt AI inom rekrytering, kreditbeslut, kundservice, drift och strategi. De flesta har gjort det utan att bygga den styrningsarkitektur som krävs för att hantera det. Nu har regelverket anlänt, och det har anlänt med tänder. Delar av EU:s AI-lag är redan i kraft. Förbud mot oacceptabla AI-metoder trädde i kraft i februari 2025. Straffar för leverantörer av generella AI-modeller aktiverades i augusti 2025. Fullständig tillämpning av regler mot högrisk-AI-system kommer nu att träda i kraft i etapper under augusti och december 2027. Fönstret mellan nu och då ger inget andrum. Det är hela landningsbanan. Och ändå är beredskapsgapet slående. En studie av 106 företags AI-system med tillämpad AI visade att 40 % inte tydligt kunde identifiera sin egen riskklassificering enligt lagen. Det mest grundläggande steget i efterlevnadsprocessen är fortfarande ofullständigt för en stor andel av företagsimplementeringar. En majoritet av chefer på C-nivå identifierar nu bristande efterlevnad av regelverk som sin främsta AI-oro. Den eftersläpande faktorn är den operativa responsen. Detta är kärnan i frågan. AI-investeringen är verklig. Konkurrenspressen att sätta in är verklig. Den reglerande skyldigheten är nu verklig. Det som inte har hållit jämna steg är styrningen. Gapet ingen pratar om De flesta samtal om företags-AI handlar fortfarande om kapacitet och investeringar. Samtalet om styrning har släpat efter, och konsekvenserna är redan kännbara. Data från IO State of Information Security Report visar att 79 % av organisationerna har infört AI eller maskininlärning under de senaste 12 månaderna, och ytterligare 19 % planerar att göra det. Det gör AI-implementering nästintill universell. Det som gör den efterföljande klyftan i styrning desto mer akut är följande: 37 % av organisationerna rapporterar att anställda använder generativ AI utan tillstånd. Ytterligare forskning från IBM visar att incidenter relaterade till skugg-AI stod för 20 % av intrången under det senaste året, och 11 % av de organisationer som drabbats av intrånget var osäkra på om de hade upplevt en incident relaterade till skugg-AI. Implikationerna för efterlevnaden av AI-lagen är direkta: om anställda använder AI utan organisatorisk kunskap kan organisationen använda AI-system med hög risk som den inte kan klassificera, övervaka och inte kan bevisa styrning av. Enligt lagen är det ett distributionsansvar. Du kan inte styra det du inte kan se. Och de flesta organisationer kan ännu inte se all sin AI. Det här problemet ligger inte i en del av verksamheten. EU:s AI-lag skapar samtidiga skyldigheter gällande informationssäkerhet, dataskydd och AI-styrning. Alla AI-system som behandlar personuppgifter omfattas av både lagen och GDPR. Alla system som är inbyggda i rekryterings-, kredit- eller kundbeslut medför skyldigheter för driftsättaren, oavsett om de byggdes internt eller upphandlades från en leverantör. Leverantörsavtal måste nu fördela ansvar för efterlevnad av AI. Leveranskedjan för AI-styrning är organisationens ansvar. De flesta organisationer har dessa funktioner i separata rum med separata samtal. Den fragmenteringen är just den strukturella sårbarhet som lagen kommer att avslöja. Förordningen når längre än de flesta styrelser för närvarande förstår. Straffstrukturen är betydande: böter på upp till 35 miljoner euro eller 7 % av den globala årsomsättningen för de allvarligaste överträdelserna, ett tak som till och med överstiger GDPR. Personligt ansvar för högre chefer finns i lagen. Och dess räckvidd är extraterritoriell. Alla organisationer vars AI-system påverkar användare eller marknader i EU omfattas av tillämpningsområdet, oavsett dess huvudkontor. London, New York, Singapore: om din AI vidrör EU bär du skyldigheten. För brittiska företag som arbetar under antagandet att reglerat distansarbete efter Brexit ger någon skydd här, gör det inte det. Skyldigheten följer systemet, inte flaggan. Tidslinjen är en sekvens, inte ett enda framtida datum. Förbuden gäller redan. De allmänna AI-påföljderna är redan aktiva. December 2027 är inte en avlägsen deadline. Att bygga en integrerad styrningsinfrastruktur över funktioner som för närvarande arbetar oberoende av varandra, i olika cykler och med olika verktyg tar mer tid än vad de flesta organisationer som driver reaktiva efterlevnadsprogram har kvar. Varför kryssrutemodellen inte fungerar Den traditionella efterlevnadsstrategin; att ta fram ett riskbedömningsdokument, utse en policyägare och schemalägga en årlig översyn, fungerar inte. Lagens krav är tekniska och operativa. AI-system måste kontinuerligt övervakas, loggas och testas mot aktuell prestanda. Modellerna glider. Träningsdata blir inaktuell. Distributionskontexter ändras. En styrningsmodell utformad kring regelbundna översyner kan inte hålla jämna steg. IO-data gör omfattningen av detta tydlig. 54 % av de svarande säger att de anammade AI-teknik för snabbt och nu står inför utmaningar med att skala ner den eller implementera den mer ansvarsfullt. Endast 21 % anger att det är en prioritet för det kommande året att etablera ansvarsfulla policyer för AI-användning. Kontrasten är slående, nästan universell implementering, minimal prioritet för styrning. Mer grundläggande är att ingen enskild funktion äger hela den efterlevnadsyta som lagen granskar. Ett juridiskt team som endast tar itu med integritetshotet lämnar säkerhets- och AI-risker exponerade. En CISO som endast tar itu med säkerhet lämnar klassificering och datastyrning oskyddad. Ett produktteam som endast hanterar AI-risker har ingen insyn i integritets- eller säkerhetssituationen för de system det äger. Isolerade åtgärder mot tvärfunktionella regler leder inte till delvis efterlevnad. De skapar illusionen av efterlevnad, och den illusionen är precis vad tillsynsmyndigheterna vill testa. Resiliensloopen Insikten som skiljer organisationer som bygger genuin motståndskraft från de som hanterar isolerade skyldigheter är denna: AI-styrning kan inte behandlas isolerat från informationssäkerhet och dataintegritet, eftersom dessa risker i praktiken är oskiljaktiga. Resiliensloopen, den kontinuerliga, enhetliga hanteringen av informationssäkerhet, dataintegritet och AI-styrning som ett enda integrerat system, är det arkitektoniska svaret på den verkligheten. En som genererar en tydlig översikt över risker och åtgärder, anpassar sig till nya regelkrav och levererar den typ av påvisbar, granskbar motståndskraft som tillsynsmyndigheter, investerare och företagskunder i allt högre grad efterfrågar. De tre domäner som EU:s AI-lag aktiverar samtidigt är just de tre domäner som resiliensloopen förenar. En organisation som redan arbetar på detta sätt behöver inte efterfölja AI-lagen i befintliga program. Infrastrukturen finns redan på plats och styr hela den tvärfunktionella yta som förordningen undersöker. Organisationer som ännu inte har gjort denna förändring står inte inför ett dokumentationsgap. De står inför ett arkitektoniskt problem. De konkurrensreglerade sektorerna; finansiella tjänster, hälso- och sjukvård och kritisk infrastruktur, accelererar kraven på AI-styrning för leverantörer och partners. Företagsupphandling inkluderar i allt högre grad bedömningar av AI-styrning. Institutionella investerare börjar behandla AI-övervakningens mognad som en del av sin riskbedömning. IO-data pekar på vad som redan händer. Respondenterna rapporterar att de största ökningarna av ROI för efterlevnad kom från förbättrat affärsbeslutsfattande, kundlojalitet och nya försäljningsmöjligheter, och dessa vinster har förstärkts avsevärt år efter år. Mönstret är konsekvent: organisationer som tidigt går in i integrerad styrning drar sig ur de som fortfarande hanterar regelefterlevnad reaktivt, inte för att styrningen i sig är en konkurrensfördel, utan för att den infrastruktur som bygger möjliggör snabbare och säkrare implementering av de funktioner som finns. AI-lagen sätter inte taket för vad styrning kräver. Det är golvet. Fönstret är kortare än de flesta styrelser för närvarande förstår. December 2027 är den hårda linjen för AI-system med hög risk. Att bygga den integrerade styrningsinfrastrukturen för att möta den tidsfristen är inte ett projekt som börjar under tredje kvartalet 2026. Det börjar nu. De organisationer som agerar i detta fönster kommer att inta en stark position i verkställighetsberedskapen. De som väntar kommer att behöva eftermontera under press, mot en deadline som redan är synlig vid varje tillsynsmyndighets horisont. Frågan som varje styrelse borde ställa sig är inte om de ska agera. Det handlar om huruvida det fortfarande finns tid. Och svaret, för tillfället, är ja. Utöka din kunskap Podcast: Nätfiske för problem S02 Avsnitt 02: AI: Förtroende, etik och att få det rätt från början Blogg: Att minska motståndskraftsklyftan: Där regeringen säger att UK PLC fortfarande misslyckas Webbinarium: ISO 42001 i praktiken: Lärdomar från en av världens första ISO 42001-certifieringar
Läs mer
ISO 27001

Varför cybermotståndskraft fortfarande är långt borta för många brittiska företag

Cybermotståndskraft har framstått som ett av de viktigaste fokusområdena för cyberindustrin de senaste åren. Till och med regeringen har hänvisat till det i en kritisk lagförslag som är under uppsägning. Men att uppnå det visar sig vara något svårt för Storbritanniens sex miljoner företag. Om man ska utgå från den senaste Whitehall-forskningen är avståndet mellan branschens ambitioner för motståndskraft och vad organisationer faktiskt uppnår fortfarande betydande. Årets undersökning om cybersäkerhetsintrång är ute. Och det bevisar återigen att landets företag trampar vatten när det gäller sina insatser för cybermotståndskraft. Endast hälften (57 %) av medelstora företag och tre fjärdedelar (74 %) av stora företag har ens en säkerhetsstrategi på plats – i stort sett oförändrat från förra året. Det finns mycket arbete kvar att göra. Resan mot motståndskraft Motståndskraft handlar om att omvärdera cybersäkerhet mot bakgrund av ett volatilt hotlandskap, ökande granskning av myndigheter och omättliga krav på digitala investeringar i styrelserum. I en värld där cyberbrottsligheten är värd biljoner dollar, där National Cyber ​​Security Centre (NCSC) hanterar fyra "nationellt betydande" attacker per vecka, och miljarder komprometterade inloggningsuppgifter cirkulerar, måste säkerhetsteam acceptera att ingen organisation är 100 % intrångssäker. I detta sammanhang flyttas fokus från förebyggande till att kunna förbereda sig, reagera, återhämta sig och lära sig av eventuella attacker som smyger sig igenom. Detta är viktigare än någonsin i takt med att attackytor expanderar med en explosion av IoT-enheter, AI-agenter, chatbotar och LLM:er – av vilka många används utan IT-avdelningens vetskap. IO:s (tidigare ISMS.online) rapport om informationssäkerhetens tillstånd 2025 visar att en tredjedel (34 %) av de svarande är oroade över skugg-AI under det kommande året, ett av de mest populära svaren. Vad regeringen fann Verklig motståndskraft kräver försvar på flera nivåer. Tyvärr visar regeringens senaste rapport om intrång att många organisationer inte införlivar grunderna. Här är några av de viktigaste resultaten: Personalutbildning och ökad medvetenhet: Även om andelen respondenter som deltog i dessa aktiviteter ökade för de största företagen (från 76 % förra året till 84 % i år) låg den totalt sett kvar på en besvikelsefull nivå på 19 %. Riskbedömningar: En mycket liten årlig ökning av antalet respondenter som utför riskbedömningar för cybersäkerhet, bland medelstora (57 % till 62 %) och stora (70 % till 72 %) företag. Den totala siffran var dock i stort sett oförändrad på 30 %. Riskhantering i leveranskedjan: Mindre än en tredjedel (30 %) av medelstora företag och hälften (48 %) av stora företag granskar de cyberrisker som omedelbara leverantörer utgör. Det är nästan oförändrat från förra årets 32 % respektive 45 %. För den bredare leveranskedjan var siffrorna ännu lägre: 13 % och 24 % jämfört med 15 % och 25 %. Sammantaget granskade endast 15 % av företagen sina närmaste leverantörer och 6 % den bredare leveranskedjan – ungefär samma nivå som förra året (14 % och 7 %). Försäkring: Hälften (47 %) av företagen säger att de är försäkrade mot cyberrisker, vilket ökar för medelstora företag (61 %). Detta är i stort sett i linje med föregående år (45 % och 65 %). Men mer oroande är att bara 10 % säger att de har en specifik cyberförsäkring på plats, och över en femtedel (22 %) vet inte alls. Båda statistiken var liknande den förra året (7 % och 20 %). Styrelsen: Cybersäkerhet anses vara en "hög prioritet" för den högsta ledningen hos 72 % av de svarande. Men är det verkligen? Styrelseansvaret för det ökade bara marginellt, från 27 % till 31 %. Incidentrespons: Andelen respondenter med en formell IR-plan var i stort sett oförändrad (25 %), liksom siffrorna för medelstora (53 % till 57 %) och stora (75 % till 76 %) företag. Medvetenhet om statliga initiativ: Fler respondenter än förra året säger att de har hört talas om statliga program som Cyber ​​Aware (24–30 %), 10-stegsvägledningen (12–17 %) och Cyber ​​Essentials (12–17 %). Men dessa siffror, och de för den nyare koden för programvarusäkerhet (22 %) och koden för cyberstyrning (16 %), är fortfarande alldeles för låga. Dessutom har andelen respondenter som innehar Cyber ​​Essentials bara ökat marginellt, från 3 % till 5 % totalt sett och från 21 % till 35 % för stora företag. AI: Ungefär en femtedel (21 %) av de svarande säger att de har infört några AI-verktyg i organisationen. Ändå menar nästan hälften (45 %) att AI inte är relevant för deras organisation. Bortom tick-box-säkerhet Cybanetix tekniska chef Merlin Gillespie berättar för IO att rapporten återigen illustrerar två realiteter: större företag är i stort sett kompetenta medan deras mindre konkurrenter är exponerade. "Standardreceptet är väl inövat." Anta en policy att anta att intrång sker, skriv en testad incidenthanteringsplan med tydliga eskaleringsvägar, implementera en mängd säkerhetskontroller, MDR, identitetshantering, autentiseringshärdning och börja formellt granska din leveranskedja”, förklarar han. ”Allt detta är rätt svar för företag med en formaliserad säkerhetsfunktion och resurser som kan utföra detta.” Problemet är att den här receptet förutsätter en kapacitet som de flesta brittiska företag inte har.” Richard Groome, OT-cybersäkerhetsspecialist på e2e-assure, är oroad över den dåliga kapaciteten för incidenthantering. ”De flesta företag kan eskalera internt, men bara en tredjedel har tydliga processer för extern rapportering. Det är inte motståndskraft, det är reaktion”, säger han till IO. ”Företag måste gå bortom kryssrutesäkerhet och fokusera på observerbarhet och operativ motståndskraft.” Detta kräver kontinuerlig övervakning, snabbare upptäckt och incidentrespons som faktiskt har testats, inte bara dokumenterats. Med krav på rapportering dygnet runt kan du inte reagera på en incident du inte har upptäckt. ”Synlighet och hastighet är avgörande.” Dan Lattimer, EMEA-vicepresident på Semperis, tillägger att identitet måste vara en del av alla incidenthanteringsplaner. ”Att investera i identitetsövervakning och återställning tillsammans med förebyggande åtgärder är avgörande för att minska driftstopp, upprepade incidenter och långsiktiga affärsskador”, säger han. ”Incidentrespons utan identitetsåterställning är ofullständig respons.” Formalisering av bästa praxis Trots låg medvetenhet om och användning av standarder och ramverk för bästa praxis kan dessa vara en användbar allierad i arbetet med att förbättra cybermotståndskraften, enligt andra experter som IO pratat med. Graeme Stewart, chef för offentlig sektor, UK&I, på Check Point, beskriver rapportens resultat som en ”väckarklocka” för organisationer av alla storlekar. "Den magiska triangeln av människor, processer och teknologi behöver alla uppmärksammas." Personalen behöver vara informerad och medveten. Processerna måste vara robusta och omfatta både förebyggande åtgärder och insatser efter incidenter, och tekniken måste uppdateras korrekt, användas korrekt och hållas uppdaterad, säger han till IO. ”Ramverk som Cyber ​​Essentials, ISO 27001 och NIST-vägledning utgör viktiga skyddsräcken, särskilt för mindre organisationer vars ledning inte är cyberexperter.” De här ramverken ger företag en strukturerad väg framåt, och det är genuint positiva framsteg.” Huntress vCISO Muhammad Yahya Patel håller med. ”Ramverk som Cyber ​​Essentials och ISO-standarder är värdefulla eftersom de ger en konsekvent och styrd metod för att hantera kontroller, risker och policyer”, säger han till IO. ”Cyber ​​Essentials fokuserar särskilt starkt på grundläggande hygienkontroller och verkligheten är att många av de attacker vi ser idag lyckas just för att dessa grundläggande kontroller inte finns på plats.” I vår rapport om förra årets undersökning noterade vi också hur motståndskraftsinsatserna hade stannat av inom UK PLC. Förhoppningsvis slipper vi säga samma sak nästa år igen. Guide för utökad kunskap: Rapport om informationssäkerhetens tillstånd 2025 Blogg: Att minska motståndskraftsklyftan: Där regeringen säger att UK PLC fortfarande misslyckas Blogg: Att uppfylla lagen om dataanvändning och åtkomst med förtroende: Varför ISO 27001-, 27701- och 42001-slingorna levererar
Läs mer
ISO 27001

När helpdesken är hotet

Gamla social engineering-angripare dör aldrig; de bara utvecklas och blir bättre. Här är en berättelse om en attackgrupp som är djärv nog att fortsätta kompromettera infrastrukturen i öppen sikt, och råd om vad man ska göra åt det. I slutet av maj 2024 såg Microsoft en ekonomiskt motiverad cyberkriminell grupp som de spårar som Storm-1811 göra något som traditionella perimeterkontroller inte var byggda för att se – de loggade in i Teams, sa hej och bad om hjälp. Moln- och mjukvarujättens hotinformationsteam hade redan dokumenterat att samma operatörer missbrukade fjärrsupportverktyget Quick Assist sedan mitten av april samma år, men övergången till Teams gav dem en ny ytterdörr. Storm-1811, skrev Microsofts analytiker, "är en ekonomiskt motiverad cyberkriminell grupp känd för att distribuera BlackBasta ransomware", och de hyresgäster de registrerade för operationen hade visningsnamn så generiska att de gick obemärkt förbi: 'Help Desk', 'Help Desk IT', 'Help Desk Support', 'IT Support'. Sedan dess har mönstret fortsatt. Den 4 november förra året loggade en extern användare in i en kundmiljö under visningsnamnet "IT-support" med kontot mostafa.s@dhic.edu.eg. Inom tjugoåtta minuter hade de öppnat en skärmdelningssession med Quick Assist mot ett mål som trodde att han pratade med kollegor. Fem månader senare, i mars i år, publicerade BlueVoyant den kriminaltekniska analysen av en relaterad kampanj som släpper en tidigare odokumenterad nyttolast kallad A0Backdoor och bedömde den som "en utveckling av taktiker, tekniker och procedurer associerade med BlackBasta ransomware-gänget, som har upplösts efter att de interna chattloggarna från operationen läckte ut". Besättningen har förändrats; spelschemat har inte det. Detta är ett pågående problem. Teams har en fyraårig historia av att låta imitatörer böja förtroendemodellen inifrån. Check Point Research dokumenterade i en rapport som pågick från mars 2024 till den sista patchen som släpptes i slutet av oktober 2025 att angripare i tysthet kunde skriva över chattar genom att återanvända ett clientmessageid, förfalska avsändare av meddelanden, ändra visningsnamn i privata chattar och förfalska uppringaridentiteter i ljud- och videosamtal. Legitima verktyg i kriminella händer Anledningen till att detta fungerar i stor skala är arkitektonisk, inte beteendemässig. Nästan varje komponent är sanktionerad. Quick Assist levereras som standard i Windows 11 och aktiveras med en sexsiffrig kod; MSI-installationsprogrammen är digitalt signerade och lagras i personlig Microsoft-molnlagring; den skadliga hostfxr.dll sidladdar sig själv i en legitim process och dekrypterar A0Backdoor först när den finns i minnet, där de flesta endpoint-inspektioner redan har avslutat sitt arbete. Till och med kommando- och kontrollfunktioner döljs tydligt: ​​istället för de TXT-postbaserade DNS-tunnlar som mogna säkerhetscentraler har lärt sig att flagga, kodar A0Backdoor sina instruktioner i DNS MX-frågor. Dags för gemensam styrning Så, hur ser styrning ut när angripare utnyttjar dina egna arbetsflöden som vapen mot dig med hjälp av funktioner som är aktiverade som standard? Noggrannare granskning av dessa funktioner är utgångspunkten, tillsammans med att inaktivera funktioner som kan vara inställda som standard. Säkerhetsteam kan neka B2B-chatinbjudningar genom att vända standardinställningen i Set-CsTeamsMessagingPolicy. De kunde baslinjeanpassa Quick Assist till ett känt supportarbetsflöde, samtidigt som de behandlade Teams ChatCreated-händelser som en förstklassig signal tillsammans med slutpunkts- och identitetstelemetri. Men det här är inte beslut som ska fattas självständigt. Dessa attacker fungerar just för att ingen enskild ägare ser tillräckligt för att agera. Identitetsteamet har ingen signal i en ChatCreated-händelse som det inte förbrukar, medan SOC:n inte har någon regel för en MX-fråga som det aldrig har begränsat. En enhetlig styrningsmetod innebär en enhetlig helhetsvy över de företagsarbetsflöden som använder dem. Ett integrerat ledningssystem (IMS) är den organiserande principen för ett heltäckande styrningsarbetsflöde. Enligt ISO 27001 kan till exempel säkerhets- och styrningsteam granska externa chattpolicyer enligt åtkomstreglerna A.5.15. Organisationer kan belysa DNS MX-kanalen genom att besluta att övervaka MX snarare än bara TXT enligt A.8.16 (övervakningsaktiviteter). Den typen av samordnat tänkande kan få ChatCreated och MX-telemetri att visas på samma analytikerskärm. På liknande sätt tillhör skärmdelningen Quick Assist skrivbordsteknik under A.8.2 (privilegierade åtkomsträttigheter, inklusive verktyg för fjärrskrivbord). MFA-uppmaningen som den kringgår faller under A.5.15 (IAM), medan MSI-installationerna kan övervakas systematiskt under A.8.19 (programvaruinstallation). En gemensam förståelse för dessa risker banar också väg för bättre incidenter. Om du har integrerat den här typen av risk i ditt kontrollramverk är det enklare att behandla en kompromiss via samarbetsprogramvara som ett erkänt scenario och skapa en handbok för detta under avsnitt A.5.24 (planering och förberedelse för incidenthantering). ISO 27001 är den logiska hemvisten för den här typen av arbete eftersom den tvingar identitet, åtkomst och incidenthantering att finnas inom ett kontinuerligt granskat system snarare än tre uppsättningar av separata kontrollägare. Det är precis den klyftan som Storm-1811 och dess efterföljare fortsätter att vandra igenom. Utöka din kunskap Podcast: Nätfiske för problem Avsnitt #8: Säkrare programvara, säkrare företag Blogg: Hur kan säkerhetsteam förbereda sig för en post-mytosisk framtid? Blogg: Hur Agentic AI skapar en ny riskklass för cybersäkerhetsteam
Läs mer
ISO 27001

AI inom sjukvården utvecklas snabbt, men datastyrning har svårt att hålla jämna steg

Hur kan vårdorganisationer åtgärda brister i förtroende och datastyrning för att realisera de fulla fördelarna med AI?  Av Kate O'Flaherty Hälso- och sjukvårdssektorn innoverar med hjälp av AI, med enorm potential för tekniken inom områden som diagnostik, triage och administration. I Storbritannien anammar NHS redan AI utöver grundläggande uppgifter. NHS England har startat pilotprojekt för AI-screening för lungcancer, där tekniken kan identifiera mindre problem än vad det mänskliga ögat kan se. Samtidigt har den amerikanska läkemedelsmyndigheten FDA godkänt över 1 000 AI-inbyggda enheter, varav majoriteten används inom radiologi. Under de senaste två åren har ledare inom hälso- och sjukvården gått från att ifrågasätta om AI är relevant till att fokusera på hur den kan användas ansvarsfullt och i stor skala, enligt en färsk McKinsey-rapport. Siffrorna visar att hälften av de amerikanska hälso- och sjukvårdsorganisationerna redan har implementerat generativ AI, medan mer än 80 % hade distribuerat sina första användningsområden till slutanvändare. Nästa steg, enligt McKinsey, är att se organisationer gå från att använda generativ AI för att skapa innehåll och stödja individuella uppgifter till agentbaserad AI för att vidta åtgärder och koordinera mer komplexa processer. Ändå försenar betydande hinder innovation inom AI inom hälso- och sjukvården, inklusive säkerhetsrisker och efterlevnadsproblem på grund av de stora mängder känslig data som behövs för att utbilda system. Hur kan vårdorganisationer åtgärda brister i förtroende och datastyrning för att realisera de fulla fördelarna med AI? Mycket känsliga uppgifter Hälso- och sjukvårdsdata är bland de mest känsliga och mångfacetterade inom alla sektorer och kombinerar medicinska journaler, personuppgifter och finansiell information från flera leverantörer och system. ”En patients information kan finnas på olika sjukhus, vårdcentraler, specialister, laboratorier, apotek, försäkringsbolag och teknikplattformar – ofta i inkompatibla format utan en enhetlig journal som binder samman den”, förklarar Craig Gravina, teknisk chef på Semarchy. Resultatet blir att inget enskilt system har en fullständig bild av en patient. "Att bygga den bilden – den longitudinella patientjournalen – är vad som krävs för att AI ska fungera säkert och effektivt i en klinisk miljö", säger Gravina till IO. ”Utan den arbetar AI utifrån en ofullständig och opålitlig bild.” Inom sjukvården går detta bortom att vara ett dataproblem och det blir en patientsäkerhetsfråga.” I takt med att AI blir en del av kliniska arbetsflöden står organisationer inför ett ökat tryck att besvara grundläggande frågor: Var kommer dessa data från, har de validerats, vem har åtkomst till dem och kan AI-assisterade beslut granskas? ”När system börjar påverka kliniska beslut i stor skala, blottlägger svaga datagrunder allvarliga brister i förtroende och ansvarsskyldighet”, säger Gravina. Införandet av AI-teknik skapar problem inom tre områden: Ansvarsskyldighet, förklarbarhet och samtycke, säger Mike Macauley, VD på Liferay. "Ingen vet vem man ska skylla på när AI ger medicinska råd." Om ett system ger en rekommendation kan lagen inte säga vem som är ansvarig för resultatet.” Många AI-modeller är i praktiken ”svarta lådor” som inte förklarar hur de kommer fram till en slutsats, enligt Macauley. Det skapar ett juridiskt problem enligt Storbritanniens allmänna dataskyddsförordning (GDPR), eftersom patienter har rätt att veta varför en dator fattade ett specifikt beslut om deras hälsa, säger Macauley. Samtidigt tränar företag sin AI med hjälp av data som de samlat in för ett visst syfte, men den används ofta också av andra skäl. "Det betyder att de inte kan bevisa att de har laglig rätt att använda originaldatan som lärde ut systemet", säger Macauley till IO. Det dolda problemet I takt med att AI introduceras inom hälso- och sjukvården är en ofta förbisedd risk vad som händer när data passerar genom en komplex kedja av tredje parter, såsom äldre plattformar och externa partners. ”Ansvaret späds ut vid varje överlämning”, enligt Semarchys Gravina. ”Det är inte alltid tydligt vem som äger informationen i varje steg, vem som är ansvarig för dess kvalitet eller vem som är ansvarig när något går fel.” När ingen enskild part har en komplett bild av datalivscykeln, fallerar styrningen samman.” För att öka komplexiteten utformades traditionella ramverk för hälso- och sjukvårdsstyrning för statiska system med relativt stabila dataflöden och fasta regler. Till exempel fungerar Cyber ​​Essentials och NHS Information Governance bara för stela system. ”AI bryter mot dessa regler eftersom den ständigt utvecklas”, säger Macauley från Liferay. Samtidigt tittar en standardiserad konsekvensbedömning för dataskydd enligt GDPR bara på ett system en gång. En AI som lär sig allt eftersom kan dock ändra sitt beteende utan att någon kontrollerar om den fortfarande är säker eller laglig, enligt Macauley. Flaskhalsar inom innovation Bristande förtroende för styrningen undergräver AI:s framsteg inom hälso- och sjukvården genom att öka risken för flaskhalsar inom innovation. När organisationer saknar förtroende för sina databaser stannar implementeringen av AI av. ”Ledare kommer att tveka att använda AI i kliniska miljöer om de inte kan garantera datakvalitet och härkomst, eller visa granskningsbarhet för tillsynsmyndigheter”, säger Gravina från Semarchy. ”Ironin är att den styrningsinfrastruktur som behövs för att skala AI på ett säkert sätt är densamma som levererar den longitudinella patientdatavyn som gör AI mer effektiv från första början.” God styrning är möjliggöraren för effektiv AI inom hälso- och sjukvården, förklarar han. ”Avgörande är att exponera data för AI inte behöver innebära att man förlorar det styrningsvärde som byggts upp kring den – dataavstamning, åtkomstkontroller och datakvalitet bör följa med datan och inte lämnas kvar när den går in i en AI-pipeline.” Internationella standarder Två internationella standarder utgör ramverket för hantering av AI. ISO 27001 lägger grunden för stark informationssäkerhet och styrning, och hjälper till att etablera strukturerade metoder för riskhantering, åtkomstkontroll, incidenthantering, tillgångshantering och ansvarsskyldighet. Detta bidrar till att bygga ”en mer försvarbar samhällsstyrning”, säger Gravina. ISO 42001 bygger vidare på detta genom att introducera styrning specifikt utformad för AI-system. Det fokuserar på tillsyn, AI-specifik riskhantering, transparens och ansvarsfull utveckling och användning av AI. Tillsammans gör dessa standarder det möjligt för vårdorganisationer att ”gå bortom tillfälligt AI-antagande och mot en mer strukturerad styrningsmodell”, förklarar Gravina. Det är tydligt att AI erbjuder enorm potential inom hälso- och sjukvården, om styrningsstrukturer kan anpassas för att passa denna innovativa nya era. Patientförtroende bör ligga till grund för allt, enligt experter. Dr Lohyd Terrier, docent i organisationsbeteende vid EHL Hospitality Business School, förespråkar att AI behandlas som en explicit tjänst för patienten. ”Det ska vara spårbart, förklarbart och kunna avvisas – snarare än en osynlig backofficefunktion.” Utgångspunkten måste vara själva informationen. Ledare behöver förstå om deras organisation har grunden på plats för att bygga ”en enhetlig, longitudinell syn på patientdata över alla system och vårdgivare”, säger Gravina från Semarchy. ”Utan det är AI-styrning byggd på sand.” Han rekommenderar att kartlägga var AI redan används, identifiera kritiska dataflöden och beroenden hos tredje part, klargöra ägarskap och förvaltning, och stärka åtkomstkontroller, revisionsspår och datakvalitet från början till slut. ”Integritet, säkerhet och AI-styrning måste samordnas i en enda sammanhängande strategi, snarare än att hanteras isolerat.” Expand Your Knowledge Blog: DXS International Breach: Lessons Learned for Healthcare Blog: State of Information Security Report: 11 Key Statistics and Trends for the Healthcare Industry Webinar: ISO 42001 in Action: Lessons from the One of the World's First ISO 42001 Certifications
Läs mer
ISO 27001

Varför Storbritanniens NIS-uppdatering kan innebära extra arbete för organisationer inom ramen för direktivet

Lagförslaget om cybersäkerhet och motståndskraft (CSRB) fortsätter att behandlas i parlamentet. Men slutet på en långdragen lagstiftningsprocess börjar sakta närma sig. När det slutligen blir lag kommer lagförslaget att innebära en länge efterlängtad uppdatering av NIS-förordningarna från 2018. Men hur är det med brittiska organisationer som redan följer EU:s översyn av samma regler, så kallad NIS2? Även om det finns vissa försök att samordna de två, finns det också många punkter där de skiljer sig åt. Från antalet sektorer som beaktas till storleken på potentiella böter, måste compliance-team nu börja förstå effekterna av dessa förändringar. Och planera för en potentiellt stor mängd extraarbete. Hur CSRB skiljer sig från NIS2 För att förstå hur mycket CSRB avviker från NIS2, ta en titt på sammanfattningen av lagförslaget på regeringens webbplats. Den nämner inte alls dess europeiska motsvarighet. Inte heller förekommer ordet ”jämlikhet”. I praktiken finns det flera områden för compliance-team att titta på: Reglerade enheter: omfattning Storbritannien fokuserar på operatörer av viktiga tjänster (OES), relevanta leverantörer av digitala tjänster (RDSP) – som är moln-, sök- och marknadsplatsleverantörer – och en ny kategori av relevanta hanterade tjänsteleverantörer (RMSP). Dess tillvägagångssätt är att utse specifika operativa energitjänster, medan NIS2 automatiskt drar in alla medelstora och stora enheter i 18 sektorer. Resultatet blir att vissa organisationer som omfattas av CSRB kommer att undgå NIS2-regleringen och vice versa. Reglerade enheter: nya kategorier CSRB introducerar endast en ny OES-kategori för ”datacentertjänster”, medan NIS2 omfattar flera: offentlig förvaltning, rymd, avloppsvatten, livsmedel, tillverkning, posttjänster, avfallshantering och digitala leverantörer. Det gör det mer troligt att brittiska organisationer som inte regleras av CSRB kommer att falla under NIS2. MSP:er: RMSP:er introduceras som en ny kategori i CSRB, och de betraktas som väsentliga enheter eller viktiga enheter av NIS2. Men det kan finnas olika efterlevnadskrav för varje system. Tillsyn av leveranskedjan: I Storbritannien kan ”kritiska leverantörer” till leverantörer av energitjänster (OES), RDSP och RMSP utses av behöriga myndigheter och Information Commissioner's Office (ICO) och är föremål för direkt tillsyn. I NIS2 finns ingen direkt tillsyn, men alla enheter som omfattas måste bedöma risker i leveranskedjan. Incidentdefinitioner och rapportering: CSRB:s definition av en reglerad incident har utökats till att omfatta händelser ”som kan ha en betydande inverkan på tillhandahållandet av en väsentlig eller digital tjänst” samt ”incidenter som avsevärt påverkar ett systems konfidentialitet, tillgänglighet och integritet”. Betydelsen kommer att bedömas bransch för bransch. I NIS2 avses incidenter som orsakar driftstörningar, ekonomisk förlust eller materiell/immateriell skada för andra. Det här innebär att tröskeln för rapportering kan vara annorlunda i Storbritannien/EU. Rapporteringstidslinjerna – initial rapportering inom 24 timmar efter att en incident blivit medveten om, sedan fullständig anmälan inom 72 timmar – är dock i stort sett desamma i Storbritannien/EU. Kundmeddelande: Detta krävs för datacenterleverantörer, RDSP:er och RMSP:er i Storbritannien. Men det kan finnas ytterligare krav enligt NIS2, beroende på medlemslandets tolkning av direktivet. Personligt ansvar: Detta omfattas inte av CSRB, men NIS2 introducerar betydande personligt ansvar för ledningen. Detta inkluderar obligatorisk utbildning för chefer och personligt ansvar för bristande efterlevnad. Brittiska organisationer som följer NIS2 kommer att behöva förstå de mer detaljerade styrningskraven i EU:s system. Straffavgifter: I CSRB är standardstraffavgifterna det högsta av 10 miljoner pund eller 2 % av den globala årsomsättningen, men stiger till 17 miljoner pund/4 % för maximala straffavgifter. NIS2 ger medlemsstaterna handlingsutrymme att besluta om dessa, så länge de är "effektiva, proportionella och avskräckande". Registrering: Enligt CSRB måste RMSP:er och datacenterleverantörer som utsetts till OES:er registrera sig. I NIS2 måste väsentliga och viktiga enheter registrera sig hos behöriga myndigheter, men medlemsstaterna bestämmer hur detta fungerar. Slutsatsen är att brittiska organisationer kommer att behöva bedöma sina skyldigheter för båda separat. Allmänt tillvägagångssätt: CSRB inför betydande nya informationsinsamlingsbefogenheter för behöriga myndigheter och ICO, oavsett vilken typ av reglerad organisation det rör sig om. NIS2 gör det möjligt för viktiga enheter att dra nytta av en enklare metod. Men överlag är CSRB utformad för att vara mer flexibel än sin europeiska motsvarighet, säger James Wong, senior associate i Tech & Digital-teamet på den globala advokatbyrån Clifford Chance. ”Regeringen kommer att kunna utfärda strategiska prioriteringar och riktade riktlinjer, och tillsynsmyndigheter kommer att kunna utse enheter som 'kritiska leverantörer' vilket direkt omfattas av regimen”, säger han till IO (tidigare ISMS.online). ”Lagförslaget tillhandahåller också en mekanism för praxisregler, vilket möjliggör nyanser anpassade till sammanhanget.” Efterlevnadsbördan växer Wong menar att komplexiteten i ”lokala implementeringslagar”, sekundärlagstiftning och det potentiella behovet av att samarbeta med flera tillsynsmyndigheter gör efterlevnaden mer utmanande för organisationer som omfattas av både NIS2 och CSRB. Rhiannon Webster, chef för cybersäkerhet i Storbritannien på den globala advokatbyrån Ashurst, tillägger att Brexit börjar få en verklig inverkan på efterlevnadsbördan för brittiska företag som är verksamma i Europa, med detta lagförslag och lagen om dataanvändning och åtkomst. ”Det har tagit ett tag att komma fram, med tanke på att integritets- och cyberlagar i Storbritannien hittills är en kopia och inklistring av sina EU-föregångare.” Vi har dock några små men meningsfulla förändringar på gång”, säger hon till IO. ”Även om företag kan försöka följa båda systemen på ett enhetligt sätt genom att tillämpa högsta standard i Storbritannien och Europa, är det osannolikt att detta är en kommersiell metod för efterlevnad och företag kommer att behöva beakta skillnaderna i systemen när de antar efterlevnadsprogram och bedömer risker.” Komma igång Webster uppmanar organisationer att först förstå om de omfattas av NIS2 och dess brittiska motsvarighet. ”Du kanske blir förvånad över att höra att vi, vid säkerhetsincidenter och för att uppfylla tidsfristerna för rapportering, ofta har kunder som varit osäkra på om de har blivit upptäckta av NIS2 och försöker lista ut det i en situation med ett dataintrång, vilket är långt ifrån idealiskt”, förklarar hon. ”Efterlevnad av standarder som ISO 27001 kan användas för att säkerställa att era informationssäkerhetskrav är proportionerliga.” Clifford Chances Wong förklarar att ett ”enhetligt cyberberedskapsprogram anpassat till alla relevanta lagar och regleringskrav” bör vara huvudmålet för compliance-team. ”Att använda etablerade ramverk som ISO 27001 kan effektivisera efterlevnaden och göra det enklare att demonstrera kärnpraxis i flera jurisdiktioner.” Sådana ramverk ger en struktur att bygga vidare på, men är bara en bas och måste anpassas till lokala skyldigheter, tillägger han. ”Regelbundna granskningar säkerställer att programmet förblir ändamålsenligt när kraven förändras över tid.” För komplex affärsverksamhet som spänner över flera jurisdiktioner blir bästa praxis ännu viktigare, säger Wong. Han pekar på ”proaktivt ledarskap”, prioritering av risker och kontroller, regelbundna diskussioner, starka relationer i leveranskedjan och att införa rätt verktyg. Oavsett hur man ser på det kommer priset för att operera i Storbritannien och EU att öka. Webbinarium om utökning av kunskap: Bemästra NIS 2-efterlevnad med ISO 27001 Blogg: Från NIS2 till Cyber ​​Resilience Act: Produktsidan av styrning Blogg: Bygg en gång, följ överallt: Handboken för efterlevnad med flera ramverk
Läs mer
ISO 14001

Hur Blue Services uppnådde framgång med trippel ISO-certifiering

Regelefterlevnad är inte längre en börda – det har blivit en integrerad del av hur vi driver verksamheten.
Läs mer
ISO 27001

Hur kan säkerhetsteam förbereda sig för en framtid efter mytos?

Cybersäkerhetsbranschen kan precis ha upplevt sitt ”ChatGPT-ögonblick”. Anthropics nya Claude Mythos Preview-modell, som presenterades i början av april, har tydligen hittat tusentals hög- och kritiskt allvarliga nolldagsfel i öppen källkod och proprietär programvara – vissa går tillbaka över 20 år. Genom att göra så lovar det att kollapsa exploateringsfönstret under vilket nätverksförsvarare kämpar för att uppdatera före sina motståndare. Anthropics beslut att använda modellen i Project Glasswing – där leverantörer kommer att använda tekniken för att hitta och åtgärda nya sårbarheter – kommer att orsaka ännu mer störningar. Det är svårt att överskatta vilken inverkan detta kommer att ha på säkerhetsteamen. Men en sak har de på sin sida. Historien har nått fram till styrelserummet. Detta kan vara ett gyllene tillfälle att säkra finansiering och resurser för en ny era av AI-driven sårbarhetshantering. Vad innebär detta för CISO:er? Även om Mythos framgångsrikt hålls borta från hackare, kommer andra modeller från andra leverantörer inte att bli det. Det finns stora konsekvenser för CISO:er: På kort sikt kommer team sannolikt att översvämmas av nödpatchar från leverantörer som är anmälda till Project Glasswing. Statliga aktörer kan komma att försöka använda eventuella lagrade nolldagsexploater relativt snart, innan AI-driven upptäckt gör dem värdelösa. På längre sikt kan ITSO:er förvänta sig att Mythos-liknande förmågor kommer att hamna i händerna på cyberbrottslingar och statliga aktörer. Detta kommer att "dramatiskt öka" antalet och frekvensen av komplexa, nya attacker, enligt en ny branschrapport. Hur bra är Mythos? Enligt rapporten – som tagits fram av Cloud Security Alliance (CSA), OWASP, SANS och andra – representerar Mythos ett ”stegförändring” inom AI-driven upptäckt och utnyttjande av sårbarheter. Den hävdar att modeller av detta slag skiljer sig eftersom de är: Mer autonoma och tillförlitliga, och utvecklar exploaterar autonomt utan behov av "scaffolding" – den externa kod och skyddsräcken som LLM:er ofta behöver för att fungera Förmåga att identifiera komplexa, länkade sårbarheter Förmåga att göra allt med en enda prompt Men efter att ha testat Mythos har Storbritanniens AI Security Institute (AISI) några viktiga förbehåll. I en ny rapport avslöjades att Mythos Preview lyckas i 73 % av fallen med capture-the-flag-uppgifter på "expertnivå". Verkliga cyberattacker är dock betydligt mer komplexa. Det är därför AISI byggde "The Last Ones" (TLO): en 32-stegs simulering av företagsnätverksattacker som sträcker sig från initial rekognoscering till fullständigt nätverksövertagande. Det skulle ta en människa runt 20 timmar att slutföra. Medan Mythos var den första modellen att lösa TLO från början till slut, tre gånger av tio. Mer inferensberäkning kan ge ännu bättre prestanda, sa AISI. Ännu viktigare är att institutet sa att detta bara bevisar att Mythos är kapabelt att "autonomt attackera små, svagt skyddade och sårbara företagssystem där åtkomst till ett nätverk har erhållits". I den verkliga världen borde saker och ting vara mycket svårare tack vare närvaron av "aktiva försvarare och defensiva verktyg". Förberedelser för en post-mytos-era Under tiden rekommenderade AISI säkerhetsteam att fokusera på grunderna: "regelbunden tillämpning av säkerhetsuppdateringar, robusta åtkomstkontroller, säkerhetskonfiguration och omfattande loggning." Den pekade också på defensiv användning av frontlinje-AI för saker som: Systemhärdning, via kontinuerlig skanning, upptäckt av brister och felkonfigurationer, kartläggning av attackvägar och testning av utnyttjandemöjligheter Förbättring av hotdetektering och utredning genom prioritering, identifiering av mönster i loggar och skriva rapportsammanfattningar Automatisering av svarsåtgärder som att blockera trafik, karantänprocesser och återkalla användaråtkomst Bridewells tekniska chef, Martin Riley, tillägger att CISO:er bör börja med kontinuerlig hantering av hotexponering (CTEM) så snart som möjligt. "Inventering av tillgångar, prioritering av attackytor, kontrollvalidering och mobilisering för åtgärdande." Om du inte har kontinuerlig insyn i din exponering flyger du i blindo”, säger han till IO (tidigare ISMS.online). "För det andra, stresstesta din upptäckt mot hot du aldrig sett tidigare." Investera i anomalibaserad detektion och djup nätverkstelemetri. Signaturbaserade metoder kommer inte att fånga AI-genererade exploitkedjor.” CISO:er måste också förbereda sina team för en period av ”varaktig operativ intensitet”, varnar Riley. ”CSA-dokumentet lyfte med rätta fram utbrändhet som en operativ risk.” IT-chefer behöver planera kapacitet, begära personalstyrka och påskynda användningen av AI-agenter inom sina egna team för att hålla jämna steg, menar han. "Slutligen, hårdna grunderna." Segmentering, utgående filtrering, phishing-resistent MFA och djupgående försvar. Dessa kontroller ökar kostnaden för utnyttjande oavsett hur sårbarheten upptäcktes. Mognad är inte något man bygger upp över en natt. Dags att investera är nu.” Befintliga ramverk som grund Jeff Williams, grundare av OWASP och teknisk chef för Contrast Security, menar att befintliga standarder och ramverk för bästa praxis som ISO 27001 och NIST CSF kan spela en roll i övergången till en post-Mythos-värld. ”Befintliga ramverk kan vara till hjälp här, men främst som en lista över konceptuella önskade resultat.” De kräver styrning, synlighet, kontroll, detektering, respons och kontinuerlig förbättring, säger han till IO. ”Men i en post-Mythos-värld där både utvecklare och angripare hyperaccelereras med AI, måste nästan varje aktivitet som dessa ramverk innebär omformas för att driva dessa resultat med AI-förbättrade arbetsflöden.” Det handlar inte om att göra samma arbete snabbare, utan snarare om att omvandla ”periodisk, manuell, standardiserad säkerhet” till något som är ”mer kontinuerligt, mer maskinläsbart och mer försvarbart”, fortsätter han. ”CTEM, AI-assisterad detektion, runtime-säkerhet och kontinuerlig observation är hur man omvandlar dessa ramverksidéer till ett verkligt garantifall för att säkerheten faktiskt är korrekt och effektiv inom både utveckling och drift”, menar Williams. Pukar Hamal, grundare och VD för SecurityPal AI, ser även en roll för ISO 27001, NIST CSF, SOC 2 och till och med Cyber ​​Essentials. ”De är fortfarande bra utgångspunkter eftersom de tvingar fram den grundläggande disciplin som de flesta organisationer fortfarande saknar: en inventering av vad man äger, en uppfattning om vem som får röra det och ett dokumenterat sätt att reagera när något går sönder”, säger han till IO. ”Inget av detta försvinner i en värld efter Mythos.” ITSO:er kommer dock att behöva bygga sin säkerhetsstrategi efter Mythos kring kontinuerlig säkring, inte periodisk attestering. ”De smartaste säkerhetsledarna jag pratar med använder redan ISO 27001 som golvnivå och bygger i tysthet själva det andra lagret”, avslutar han. Utöka din kunskap Podcast: Nätfiske för problem Avsnitt #08: Guide till säker programvara, säkrare företag: Att säkra AI-attackytan Blogg: Varför tillsynsmyndigheter och investerare förväntar sig att företag ska hantera en trippelrisk
Läs mer
ISO 27001

Tänk på gapet: Salesforce-incidenten och molnriskernas föränderliga natur

Efter att ShinyHunters hackerkollektiv utnyttjade "alltför tillåtande" Salesforce-gästanvändarkonfigurationer för att få åtkomst till data från upp till 400 organisationer, hur kan företag stärka motståndskraften? Av Kate O'Flaherty I mars utfärdade Salesforce en varning till kunder om att hackerkollektivet ShinyHunters utnyttjade felkonfigurationer på offentliga Experience Cloud-webbplatser för att komma åt känslig data och hålla företag som gisslan. Angriparna tydligen beväpnade sig med en modifierad version av öppen källkodsverktyget AuraInspector, ursprungligen utvecklat av Mandiant, för att utföra massskanning och hitta konfigurationsluckor för att attackera upp till 400 organisationer. Som en del av Salesforce Aura-ramverket för att identifiera säkerhetsfelkonfigurationer på Experience Cloud-webbplatser, skapade angriparna en version av verktyget som "kan gå utöver identifiering för att faktiskt extrahera data", varnade Salesforce i en rekommendation. ”Det här är den moderna angriparstrategin”, säger Dean Garvey-North, teknisk chef på Microlise. ”Använd legitima verktyg, rikta in dig på konfigurationssvagheter snarare än plattformssårbarheter och arbeta i internetskala.” Med motståndare som utnyttjade kunder med ”alltför tillåtande gästanvändarinställningar” var Salesforce inte skyldig till händelsen – åtminstone inte ur ett juridiskt perspektiv. Händelsen är ett utmärkt exempel på hur molnkonfiguration, identitetsexponering och modeller för delat ansvar skapar nya och ofta missförstådda riskområden. Hur kan organisationer minska exponeringen och stärka motståndskraften i molndrivna miljöer där risken ofta ligger i gapet mellan plattformens kapacitet och kundkonfigurationen? Felkonfigurationer Som Salesforce-incidenten visar fortsätter felkonfigurationer, särskilt kring gäståtkomst och identitetsbehörigheter, att vara en ständig källa till dataexponering. Felkonfigurationer kvarstår eftersom organisationer ofta prioriterar användbarhet och snabb digital distribution framför säkerhet. Detta ger oavsiktligt oautentiserade externa användare "breda, interna databehörigheter" snarare än att strikt tillämpa en åtkomstmodell med "minst behörighet", säger Dray Agha, senior chef för säkerhetsoperationer på Huntress. Användbarhet och säkerhet är "i spänning genom design", och konfigurationsbeslut som fattas vid implementeringstillfället omprövas sällan, säger Microlises Garvey-North. "Salesforce Experience Cloud-portaler använder en dedikerad gästanvändarprofil som gör det möjligt för oautentiserade besökare att se offentliga sidor eller skicka in formulär utan att logga in." När den profilen är felkonfigurerad med alltför många behörigheter blir data som inte är avsedda att vara offentliga direkt sökbara, utan att inloggning krävs.” Problemet är strukturellt, säger Garvey-North. ”Plattformar levereras med tillåtande standardinställningar för att minska friktionen för nya kunder.” Implementeringsteam optimerar för att få saker att fungera. Säkerhetsgranskningar sker vid olika tidpunkter.” Men molnkonfiguration är inte statisk: ”Varje ny portal, integration eller funktionslansering är en potentiell ny exponeringsyta”, påpekar Garvey-North. ”Utan kontinuerlig konfigurationsövervakning litar du i princip på att ingenting har förändrats sedan din senaste granskning.” Vems skuld är det? Salesforce är ett exempel på hur funktioner utformade för användbarhet, såsom publika portaler, API:er och gäståtkomst, introducerar nya och ofta underskattade säkerhetsrisker. Dessa funktioner förändrar ofta traditionella säkerhetsantaganden, säger Dana Simberkoff, chef för risk, integritet och informationssäkerhet på AvePoint. ”Användbarhetsdriven design flyttar ofta risken, i tysthet, från plattformen till kunden.” Det kan då vara utmanande att avgöra var ansvaret ligger mellan molnleverantörer och kunder – särskilt när incidenter härrör från konfigurationsproblem snarare än sårbarheter i centrala plattformar. Angriparna sade att en "Salesforce-begränsning" möjliggjorde incidenten. Ändå har Salesforce själva varit tydliga: Det här är inte en plattformssårbarhet, utan ett problem med hur kunder har konfigurerat gästanvändarbehörigheter, säger Garvey-North. Molnleverantörer säkrar plattformen, men kunderna är ansvariga för hur den konfigureras – inklusive identitet, behörigheter och dataexponering. ”Det är där de flesta organisationer brister”, säger Stew Parkin, global CTO för Assured Data Protection. ”De förlitar sig slutligen på tidpunktsgranskningar i miljöer som ständigt förändras.” Modellen med delat ansvar är ”väletablerad i teorin och ständigt missförstådd i praktiken”, tillägger Garvey-North från Microlise. "Molnleverantörer säkrar infrastrukturen och plattformen." Kunderna är ansvariga för vad de lägger på den, hur de konfigurerar åtkomst och hur de styr den över tid. Gapet, och där de flesta intrången nu finns, ligger i konfigurationslagret.” Automatisering möjliggör attacker Samtidigt växer angriparnas kapacitet och använder automatisering och legitima verktyg för att identifiera och utnyttja svagheter i hundratals organisationer samtidigt. Mandiants tekniska chef bekräftade att Shiny Hunters använde AuraInspector för att automatisera sårbarhetsskanningar i stor skala i Salesforce-miljöer. ”När försvarare tänker på molnrisker tenderar de fortfarande att tänka i termer av enskilda incidenter”, säger Garvey-North. Men angripare tänker i termer av yta. ”Varje felkonfigurationsmönster som finns i tusentals organisationer är en enda automatiserad kampanj borta från massutnyttjande”, säger Garvey-North. Samtidigt ökar taktiker som iscensatta läckor och vishing-kampanjer effekterna av den här typen av incidenter. ShinyHunters satte en offentlig tidsfrist och varnade för att stulna data skulle släppas om inte offren uppfyllde utpressningskraven. Gruppen bedrev parallella vishing-operationer, där de utgav sig för att vara IT-personal och dirigerade anställda till webbplatser för insamling av autentiseringsuppgifter för att samla in autentiseringsuppgifter för enkel inloggning och flerfaktorsautentisering (MFA-koder). Kombinationen är avsiktlig, säger Garvey-North: ”Stjäl data via felkonfiguration, samla in autentiseringsuppgifter via social ingenjörskonst och utpressa sedan med hjälp av båda.” Det kommer i en tid av ökande regulatoriska förväntningar kring dataskydd, åtkomstkontroll och ansvarsskyldighet. Med många territorier nu infört dataskyddslagar, och med ökningen av grupptalan, är förebyggande av exponering av data nu ofta den viktigaste drivkraften för betalning av utpressningskrav. ”Även om det uppenbarligen inte rekommenderas, är det ofta billigare att betala för att förhindra att informationen släpps än att drabbas av böter och juridiska avgifter som uppstår vid utlämnande”, säger Tony Gee, huvudkonsult inom cybersäkerhet på 3B Data Security. Överbrygga synlighetsklyftan Incidenter som Salesforce-attackerna belyser en ihållande utmaning: Organisationer är alltmer beroende av molnplattformar, men säkerhetsansvaret är distribuerat och inte alltid tydligt förstådd. Företag behöver gå bortom att anta att molnplattformssäkerhet är tillräcklig, mot en mer kontinuerlig, systembaserad strategi för konfigurationshantering, identitetsstyrning och säkring. Traditionell säkerhet förlitar sig starkt på statiska, punktvisa granskningar som ”helt missar de subtila, kontinuerliga konfigurationsförändringarna och API-exponeringarna som kännetecknar moderna molnrisker”, säger Huntress Agha. Detta lämnar ”en farlig synlighetslucka där legitima funktioner i hemlighet missbrukas”, varnar han. Med detta i åtanke finns det några praktiska steg som säkerhets- och efterlevnadschefer bör vidta för att förbättra synligheten och kontrollen över identitets-, åtkomst- och konfigurationsinställningar. Enligt Agha måste chefer övergå till en säkerhetspolicy som "privat som standard" genom att aktivt granska behörigheter för externa gästprofiler, inaktivera oautentiserad åtkomst till offentliga API-system om det inte är absolut nödvändigt och implementera kontinuerlig övervakning av händelseloggar för att fånga upp onormala datafrågor. ”Var otroligt nyfiken på den infrastruktur som används och anta att leverantören inte har implementerat säkerhet som standard”, råder han. ”Undersök de säkerhetsalternativ som finns tillgängliga i konfigurationen av tredjepartsverktyg.” En viktig defensiv kontroll är stark due diligence hos leverantörer och kontinuerlig riskhantering med tredjepart, säger Gee på 3B Data Security. Han rekommenderar en metod för datadelning med minsta möjliga privilegier, där endast nödvändiga data delas med tredje part. Microlises Garvey-North råder att ställa leverantörer de frågor som man själv skulle ställa till sin egen infrastruktur: ”Vilka är era säkra standardkonfigurationer, hur upptäcker ni avvikande åtkomst på plattformsnivå och hur ser er informationsprocess ut när något går fel?” Samtidigt är det grundläggande att ha en robust svarsprocess för att begränsa risken för böter och stämningar, säger Gee. ”Att visa stark cybermotståndskraft har setts som en avgörande faktor för bötesbeloppet.” Att inte göra någonting och förlita sig på den snygga tredjepartsmarknadsföringen är inte ett giltigt försvar och leder ofta till högre böter och lätta grupptalan.” Samtidigt hjälper ramverk som ISO 27001 till genom att kräva rigorösa, kontinuerliga riskbedömningar och systematiska policyer för åtkomstkontroll. Detta hjälper till att omvandla molnsäkerhet från en "ställ in och glöm"-ruta till en "kontinuerligt styrd process som anpassar komplexa miljöer till motståndskraftiga standarder", säger Agha. Där ISO 27001 verkligen tillför värde i komplexa digitala miljöer är i att tvinga fram organisatorisk tydlighet: Vem äger varje kontroll, hur acceptabel risk ser ut och hur incidenter eskaleras och lärs av dem, säger Garvey-North. ”Den styrningsstrukturen blir bindeväven mellan er säkerhetstekniska kapacitet och er riskaptit på styrelsenivå.” Utan det har du verktyg utan ansvarsskyldighet.” Utöka din kunskap Blogg: Minsta motståndets väg: Varför djupgående försvar är det bästa svaret på molnhot Podcast: Nätfiske för problem Avsnitt #10: De stora cybersäkerhetsfrågorna som företag står inför Webbinarium: Kraften i ISO 27017 och 27018: Säkra din molnmiljö
Läs mer
ISO 27001

Hur Evolution Funding ledde till ISO 27001-certifiering

Lär dig hur Evolution-finansiering:

  • Uppnått ISO 27001 certifiering på 18 månader
  • Anpassade IO-plattformen policy- och kontrollmallar för att effektivisera efterlevnaden
  • Integrerade IO-plattformen i den dagliga verksamheten för att centralisera hanteringen av informationssäkerhet.

Evolutionsfinansiering är en FCA-reglerad motorfinansieringsmäklarfirma. Verksamheten erbjuder digitala finansieringslösningar som hjälper deras partners att bygga motorfinansieringsresor och förändra kundupplevelsen vid tecknande av motorfinansiering. Evolution Fundings omfattning och kapacitet går utöver en traditionell mäklares; deras innovativa digitala finansieringslösningar formar motorfinansieringsbranschen.

Att uppnå ISO 27001-certifiering var ett centralt mål för Evolution Funding. I takt med att verksamheten hade vuxit och förnyat sig hade den utvecklat sitt erbjudande ytterligare in i den tekniska världen, med marknadsledande finansiella programvarulösningar, leadgenereringsmöjligheter inom motorfinansiering, ett egenutvecklat digitalt finans-API och mer. Denna utveckling gjorde det avgörande att demonstrera robust informationssäkerhetshantering.

Evolution Funding-teamet behövde dock en centraliserad plattform för att implementera ISO 27001-standarden och arbeta med efterlevnadsprocessen. Ursprungligen använde de SharePoint, vilket erbjöd en stark lösning för att hantera dokumentation, men det gjorde det inte möjligt för teamet att enkelt samla in bevis eller koppla dem till sina policyer och kontroller för informationssäkerhetshanteringssystem (ISMS).

”Vi använde SharePoint för att samla allt för ISO 27001. Även om det är bra för dokumentlagring och hantering kräver ISO-standarden mycket mer än bara dokumentlagring.”

Jen Fox, GRC informationssäkerhetschef på Evolution Funding

För att effektivisera ISO 27001-certifieringsprocessen utnyttjade Evolution Funding IO-plattformen. Teamet migrerade sin befintliga dokumentation från SharePoint till IO, vilket gjorde det möjligt för dem att konsolidera sin efterlevnadshantering, säkerställa att dokument lagrades på lämpliga platser i plattformen och få en liveöversikt över sina framsteg i sin instrumentpanel.

”Att flytta vår dokumentation från olika delar av SharePoint till en enda plattform gjorde certifieringsprocessen mycket enklare.”

Jen Fox, GRC informationssäkerhetschef på Evolution Funding

Den initiala implementeringen var enkel. Jen använde plattformens användarhanteringsfunktion för att lägga till användare i relevanta projekt och tilldela olika åtkomstnivåer efter behov. Detta förenklade också processen att ge åtkomst till tredje part, såsom interna och externa revisorer.

”Att kunna lägga till de tredjeparter som stödjer oss med våra interna och externa revisioner i IO-plattformen så att de kan granska och revidera utan att behöva gå igenom allt med oss ​​är en verklig fördel.”

Jen Fox, GRC informationssäkerhetschef på Evolution Funding

Medan de arbetade sig igenom efterlevnadsprocessen använde Jen och teamet plattformens inbyggda policy- och kontrollmallar som vägledning. De använde IO:s funktioner för att "anta, anpassa, lägga till" för att skräddarsy mallar med sitt eget anpassade innehåll efter behov, och säkerställde att de var relevanta för Evolution Fundings specifika informationssäkerhetsbehov.

”När vi var osäkra på vad vi skulle skriva för en policy eller kontroll var det mycket hjälpsamt att arbeta med mallarna för att omformulera dem och göra dem till våra egna.”

Jen Fox, GRC informationssäkerhetschef på Evolution Funding

”Certifieringsprocessen för ISO 27001 har blivit riktigt enkel. Jag tror inte att vi hade tyckt att det hade varit lika enkelt att uppnå certifiering utan IO-plattformen.”

Jen Fox, GRC informationssäkerhetschef på Evolution Funding

Genom att använda IO-plattformen för att centralisera och effektivisera sin efterlevnad uppnådde Evolution Funding ISO 27001-certifiering på 18 månader. De åstadkom detta trots att företagets ursprungliga externa revisionsorgan upplevde resursutmaningar som försenade processen.

Jen berättade att IO-plattformen sparade verksamheten avsevärt mycket tid:

”Ett område där vi sparade mycket tid var revisionsprocessen – vi behövde inte sitta i Teams-möten med revisorer i flera dagar. Vi kunde fortsätta och göra vårt vanliga arbete som ett team, medan revisorn använde plattformen.”

Jen Fox, GRC informationssäkerhetschef på Evolution Funding

Kvartalsmöten med deras dedikerade Compliance Success Manager (CSM), Wayne, fortsätter att tillföra verkligt värde för verksamheten. Dessa möten stöder en öppen kommunikationslinje, där Wayne ofta identifierar nya lösningar för att hjälpa Evolution Funding att uppnå specifika mål inom plattformen. Till exempel krävde verksamheten nyligen en "undantagsregel från policyn" som gör det möjligt för teamet att använda specifika verktyg under en viss tid innan IO-plattformen automatiskt förhindrar återanvändning.

Verksamheten planerar att vidareutveckla användningen av IO-plattformen för compliance management. Evolution Funding är en del av en större koncern, Evolution Group, och nästa steg inkluderar att lägga till systerbolagen Creditas och Motion Finance i deras ISO 27001 ISMS.

Dessutom undersöker teamet möjligheten att antingen utöka användningsfallet för ISO 27001 eller implementera Cyber ​​Essentials för andra verksamheter inom Evolution-gruppen som kanske inte omfattas av deras befintliga ISMS.

Läs mer
ISO 27001

Atlas Air och leveranskedjeproblemet: Hur obevisade påståenden skapar verkliga risker

Ransomware-gruppen Everests påståenden om att de gjort intrång i Atlas Air och dess leverantör Tsunami Tsolutions visar hur moderna ransomware-attacker utnyttjar komplexiteten i leveranskedjan för att skapa risker – även där intrången är obekräftade. Av Kate O'Flaherty I februari hävdade Everest-ransomware-gruppen att de hade stulit 1.2 TB data från fraktflygbolaget Atlas Air. Påståendena som publicerades på ett dark web-forum av ransomware-kartellen stöddes av skärmdumpar av den påstått stulna informationen, inklusive teknisk data från Boeings flygplan. Några dagar senare hävdade hackarna att de också hade komprometterat den USA-baserade leverantören av support och informationslösningar för flyg- och rymdteknik, Tsunami Tsolutions, med hänvisning till en mindre datamängd i vad som verkade vara en samordnad attack inom leveranskedjan. Atlas Air förnekade dataintrånget och Tsunami Tsolutions svarade inte på Everests påståenden, men incidenterna visar hur moderna ransomware-attacker utnyttjar komplexitet och tvetydighet i leveranskedjan för att skapa risk – även där dataintrången är obekräftade. Hur kan organisationer stärka sin motståndskraft och försvarsförmåga inför osäkra, snabbt föränderliga hotbilder som sträcker sig bortom deras direkta kontroll? Skärmdumpsproblem Everest hävdade att de hade bevis för Atlas Air-intrånget, men de dokument som de framställde kunde lätt ha varit förfalskade. Istället för att släppa fullständiga dataexempel publicerade gruppen skärmdumpar av vad de beskrev som underhålls- och reparationsdokument, logistikregister och reservdelskataloger. Påståenden som endast utgör skärmdumpar befinner sig i en avsiktligt tvetydig zon, säger Sergiu Zaharia, PhD, CISO på Pentest-Tools.com. "Men den tvetydigheten är poängen", säger han till IO. "Everest behöver inte bevisa brottet definitivt för att skapa press." Den vill bara skapa tillräckligt med tvivel för att den anseendemässiga och avtalsenliga risken med passivitet överväger kostnaden för engagemanget. Det är en väletablerad utpressningsmekanik.” Forskarna noterade avvikelser i skärmdumparna, inklusive en hänvisning till Malaysia Airlines som inte verkade ha en direkt koppling till Atlas Air. När Everest senare tog på sig attacken mot Tsunami Tsolutions, visade skärmdumparna liknande typer av information. Detta väcker berättigade frågor om huruvida uppgifterna överhuvudtaget härstammar från Atlas Airs system, eller från en leverantör. Uppgifterna kunde till och med ha kommit från en delad plattform, eller ”en oberoende källa som gruppen samlade i ett enda påstående för maximal hävstångseffekt”, föreslår Zaharia. Trovärdighetsfrågan är därför mindre binär än den verkar, säger Zaharia. ”Skärmdumparna kanske inte bevisar ett intrång i Atlas Airs kärnsystem.” Men de bevisar nästan säkert att någon, någonstans i leveranskedjan, hade dokument av den här typen tillgängliga på ett sätt som möjliggjorde utmätning.” Påståendena mot Atlas Air och Everest ransomware-gruppen illustrerar ett återkommande mönster i modern cyberutpressning: Hotaktörer publicerar skärmdumpar och djärva uttalanden, medan den utpekade organisationen förnekar att de har ådragit sig detta, säger Tracey Hannan-Jones, konsultchef för informationssäkerhet på UBDS Digital. I starkt sammankopplade sektorer som flyg- och flygfrakt kan effekterna nedströms av dessa "obevisade" incidenter fortfarande vara betydande, säger hon. Verifierbara läckor ger vanligtvis starkare signaler. Dessa inkluderar filträd, exempelarkiv, hashkoder, tidsstämplar, unika interna identifierare eller oberoende bekräftelse från berörda tredje parter, säger Hannan-Jones. Skärmdumpar "ger sällan tillräckligt för att validera ursprunget" utan offrets interna telemetri, säger hon. Verklig risk Så även om det inte finns några definitiva bevis för att ett intrång ägde rum, skapar påståendena fortfarande verkliga risker. Att förnekta ett dataintrång eliminerar inte risken, det förändrar bara dess natur, säger Dana Simberkoff, chef för risk, integritet och informationssäkerhet på AvePoint. ”När en trovärdig hotaktör offentliggör ett påstående, står organisationer inför operativa, regulatoriska och anseendemässiga konsekvenser – oavsett om det är underbyggt.” Förnekelse är inte detsamma som försäkran, tillägger Rob Demain, VD för e2e-assure. ”Atlas Airs uttalande om att deras system inte komprometterades gäller endast deras egen miljö”, påpekar han. ”Det varken bekräftar eller motbevisar huruvida data kopplade till organisationen kan finnas någon annanstans i leveranskedjan.” Detta är kärnproblemet i leveranskedjan, säger han. ”En organisation kan utöva kontroll över sina egna system, men inte nödvändigtvis över systemen hos leverantörer som kan lagra, bearbeta eller komma åt dess data.” Leveranskedjans komplexitet Med sammankopplade datamiljöer mellan operatörer, tillverkare och ingenjörspartners är flyg- och rymdsektorn ett tydligt exempel på hur tredjepartsrisker kan spridas över ett ekosystem. Flyg- och rymdsektorn är en av de mest lärorika sektorerna för detta problem eftersom dess komplexitet i leveranskedjan är "strukturell och oundviklig", enligt Zaharia. ”Ett enda flygplansprogram involverar tusentals leverantörer i dussintals länder, sammankopplade genom underhållssystem, reservdelsdatabaser, logistikplattformar och tekniska dokumentationsarkiv byggda för driftseffektivitet, inte säkerhet.” Många av dessa kopplingar bär på implicit förtroende som aldrig har validerats explicit.” Det resulterande problemet är opacitet i leveranskedjan, enligt Stew Parkin, teknisk chef på Assured Data Protection. ”Traditionell riskhantering utförd av tredje part – frågeformulär, årliga granskningar, avtalsmässiga garantier – är helt enkelt inte byggd för starkt sammankopplade ekosystem med flera beroendelager och delade plattformar.” När något liknande Atlas-incidenten inträffar stöter organisationer på problemet med att bevisa ett negativt resultat. "Det är inte enkelt att visa att data inte har använts, särskilt om exponeringen kan ha skett via en partner", säger Parkin. ”Det är i klyftan mellan vad som är känt internt och vad som med säkerhet kan kommuniceras externt som risken eskalerar snabbast.” Föränderliga regulatoriska förväntningar Frågan ställs mot en bakgrund av ökad regulatorisk granskning av leveranskedjans säkerhet, motståndskraft och ansvarsskyldighet. Nätverks- och informationssystem 2 (NIS2), lagen om digital operativ motståndskraft (DORA) och den framväxande vågen av regleringar för kritisk infrastruktur i hela EU driver ansvarsskyldigheten för leveranskedjans säkerhet från leverantören upp till operatören. ”Enligt NIS2 bär viktiga och viktiga enheter ansvar för att hantera cybersäkerhetsrisker i sina leveranskedjor, inte bara i sina egna system”, säger Zaharia från Pentest-Tools.com. ”Det är ett meningsfullt skifte från ramverk som behandlade leveranskedjesäkerhet som bästa praxis till ett som behandlar det som en efterlevnadsskyldighet med konsekvenser för verkställigheten.” Eftersom ansvarsskyldighet sträcker sig bortom en organisations egen perimeter måste företag också bevisa att de har effektiva åtgärder på plats. ”Förväntningarna skiftar från ’visa mig policyn’ till ’visa mig hur risker identifieras, övervakas och hanteras kontinuerligt’”, säger Simberkoff på AvePoint. Detta sätter press på organisationer att visa upp en fungerande modell och exempel på styrning, beslutsfattande och responsåtgärder – särskilt när incidenter involverar tredje part eller tvetydiga intrångsscenarier. Praktiska steg Hotet mot leveranskedjan är verkligt, särskilt när påståenden är obevisade. För att motverka detta problem rekommenderar experter att organisationer går bortom statiska leverantörssäkringsmodeller och istället fokuserar på kontinuerlig, systembaserad tillsyn som ger insyn i dataflöden, beroenden och incidenthantering. I praktiken innebär detta att fokusera på synlighet och integration snarare än isolerade kontroller, enligt Simberkoff. Hon rekommenderar att kartlägga dataflöden, förstå var känslig information finns och anpassa leverantörer till gemensamma säkerhets- och svarsförväntningar. I Atlas Airs sammanhang skulle förståelsen för vilka externa parter som hade legitim tillgång till Boeings underhållsdokumentation och genom vilka system vara "utgångspunkten för alla meningsfulla svar på Everest-påståendet", säger Zaharia. Det är också viktigt att validera din incidenthanteringsplan specifikt mot ett scenario där leveranskedjan är i fara, tillägger Zaharia. ”De flesta organisationer har planer för intrång i sina egna system.” Mycket färre har testat sina svar på ett scenario där intrånget sker hos en leverantör, och informationen i fråga kanske tillhör deras, eller inte, och de kriminaltekniska bevisen är ofullständiga.” Integrerade, ramverksanpassade ledningssystem, som de som är byggda kring ISO 27001, hjälper också. De tillhandahåller ett ”gemensamt språk och en gemensam struktur för att hantera risker i komplexa ekosystem”, enligt Simberkoff. ”Standarder som ISO 27001 handlar inte om efterlevnad för dess egen skull.” De gör det möjligt för team att operationalisera och möjliggör kontinuerlig synlighet, säkerhet och ansvarsskyldighet.” Detta ger en påvisbar process för att kunna säga vad man gör, och bevisa det, säger hon. ”I miljöer där risk i leveranskedjan är oundviklig hjälper dessa ramverk organisationer att gå från reaktiv kvalitetssäkring till proaktiv styrning, vilket är avgörande när man hanterar oklarheter, tredjepartsanspråk och föränderliga hotmodeller.” Expand Your Knowledge Blog: Betala lösensumman eller inte? Myndigheternas överväganden om att betala för att ta sig ur cyberbrottslighet Blogg: Leveranskedjor är komplexa, ogenomskinliga och osäkra: Tillsynsmyndigheter kräver bättre Podcast: Nätfiske för problem Avsnitt #09: Vad man inte ska göra vid en katastrof
Läs mer

ISO 27001:2022 Krav

ISO 27001:2022 Bilaga A Kontroller

Organisatoriska kontroller

Människor kontroller

Fysiska kontroller

Tekniska kontroller

Om ISO 27001

Titta på en plattformsdemo

Se hur fler än 1 000 team driver sina regelverk för efterlevnad på en 3-minuters plattformstur

Titta nu
plattformsinstrumentpanelen är helt nyskicklig

Klar att komma igång?

Boka demo