Prilikom donošenja bilo koje strateški važne odluke za kompaniju, zaposleni prolaze kroz osnovni odbrambeni mehanizam, poznat kao 5 faza reagovanja na promjene (E. Kübler-Ross). Eminentni psiholog je jednom opisao emocionalne reakcije, ističući 5 ključnih faza emocionalnog odgovora: poricanje, ljutnja, cjenkati se, depresija i, konačno, Usvajanje. Pripremili smo seriju članaka posvećenih ISO 27001 sertifikaciji, gdje ćemo pogledati svaku od faza. Danas ćemo govoriti o prvom od njih – poricanju.
Dobijanje ISO 27001 sertifikata „za izložbu“ je veoma sumnjivo zadovoljstvo, jer zahteva dugu i skupu pripremu. Štaviše, kako pokazuje , ovaj standard je izuzetno nepopularan u Ruskoj Federaciji: do danas je samo 70 kompanija certificirano za usklađenost. Istovremeno, ovo je jedan od najpopularnijih standarda u inostranstvu, koji zadovoljava rastuće zahteve poslovanja u oblasti informacione bezbednosti.
Naša kompanija pruža punu paletu outsourcing usluga za računovodstvene funkcije: računovodstvo i porezno računovodstvo, obračun plaća i kadrovsku administraciju. Zauzimamo jednu od vodećih tržišnih pozicija, posebno zbog činjenice da nam strane kompanije sa filijalama u Rusiji poveravaju svoje poverljive informacije. Ovo se ne odnosi samo na finansijske procese naših klijenata, već i na lične podatke sa kojima radimo na dnevnoj bazi. S tim u vezi, pitanje informacione sigurnosti je jedan od naših prioriteta.
Često sve poslovne procese ruskih divizija kontrolišu i deklarišu centrale stranih kompanija, te stoga moraju biti u skladu sa internim standardima grupe. Nedavno su neki od naših ključnih klijenata počeli da revidiraju svoje sigurnosne politike u pravcu njihovog pooštravanja. Naravno, to je zbog globalnih trendova sve većeg broja cyber napada i gubitaka povezanih sa incidentima narušavanja informacione sigurnosti.Ukoliko je potrebno implementirati mjere zaštite, politike i procedure u cilju povećanja informacione sigurnosti kompanije, možete bez ISO-a. /IEC 27001 certifikat, čime se štedi mnogo novca, vremena i živaca.
Danas su se na tenderima stranih kupaca počeli pojavljivati zahtjevi za postojećom informatičkom sigurnošću u kompaniji. Neki su, da bi pojednostavili svoju verifikaciju i ujednačili pristup, postavili obavezan kriterijum evaluacije – prisustvo ISO/IEC 27001 sertifikata.
Evo šta smo vidjeli: Čini se da je jedan od naših ključnih međunarodnih klijenata certificiranih za ovaj standard značajno ojačao svoj globalni tim za sigurnost informacija. Kako smo znali za ovo? Odlučili su da izvrše reviziju našeg sistema upravljanja bezbednošću informacija, jer im pružamo računovodstvene usluge i kadrovsku administraciju - i, shodno tome, bezbednost naših informacionih sistema im je kritično važna. Prethodna revizija je obavljena prije 3 godine - tada je sve prošlo prilično bezbolno.
Ovog puta nas je napao prijateljski tim Indijanaca, koji je vješto otkrio nekoliko desetina nedostataka u našem sistemu upravljanja sigurnošću. Proces revizije je ličio na točak Samsare – činilo se da u principu nemaju cilj da postignu bilo kakvu konačnu tačku kao dio revizije. Bio je to beskonačan niz pitanja, komentara, naših komentara i dokaza njihove realnosti, konferencijskih poziva i dugih filozofskih razgovora u pokušaju da se prepozna naglasak klijentovog IT sigurnosnog tima. Inače, revizija se nastavlja sa različitim stepenom intenziteta do danas – s vremenom smo se pomirili s tim. Dakle, potreba za sertifikacijom je nastala sama od sebe.
Možda se možemo zadovoljiti sa ISO 9001?
Svi koji su manje-više upućeni u pitanje sertifikacije po bilo kom od ISO standarda razumeju da je osnova za svaki od njih ISO 9001 „Sistem upravljanja kvalitetom“ sertifikat. Ovo je možda trenutno najpopularniji certifikat u cijeloj liniji ISO standarda. Nismo ga imali - i odlučili smo da ga ne dobijemo. Za to je bilo nekoliko razloga:
- upitna ekonomska efikasnost kompanije koja ima ovaj sertifikat;
- naši interni procesi su, uglavnom, već bili blizu ovom standardu;
- Dobijanje ovog sertifikata zahtevalo bi dodatno vreme i novac.
Shodno tome, odlučili smo da odmah implementiramo ISO 27001, a da ne počnemo sa „lakšim“ 9001.
Ili možda još uvijek nije potrebno?
Gledajući unaprijed, mnogo puta smo se vraćali na pitanje da li je preporučljivo nabaviti ga. Počeli smo da proučavamo problem sa svih strana, jer nismo imali apsolutno nikakvu stručnost. A evo i zabluda koje su nas navele da još jednom razmislimo o ovom pitanju.
Zabluda #1.
Nadali smo se da će nam standard pružiti detaljnu kontrolnu listu, listu politika i drugih statutarnih dokumenata. U stvarnosti se pokazalo da je ISO/IEC 27001 skup zahtjeva za sam sistem upravljanja sigurnošću informacija i proces koji se gradi. Na osnovu njih bilo je potrebno samostalno odlučiti šta napisati/implementirati u našu kompaniju da bismo ispunili zahtjeve standarda.
Zabluda #2.
Iskreno smo vjerovali da će nam biti dovoljno da sami proučimo jedan dokument i implementiramo ga u relativno kratkom roku. U stvarnosti, čitajući dokument, shvatili smo za koliko srodnih standarda se naš standard „prianja“, sa koliko standarda treba da se upoznamo (barem površno). “Trešnja” na torti bio je nedostatak aktuelnih tekstova standarda u javnom domenu – morali su se kupiti na službenoj web stranici ISO-a.
Zabluda #3.
Bili smo uvjereni da ćemo pronaći sve što nam je potrebno za pripremu za certifikaciju u otvorenim izvorima. Zaista je bilo dosta materijala o ISO 27001 na Internetu, ali im je dosta nedostajalo specifičnosti. Praktično nije bilo lako razumljivih instrukcija korak po korak za pripremu za sertifikaciju, kao ni stvarnih slučajeva kompanija koje su implementirale ovaj standard.
Zabluda #4.
Pisaćemo politike, ali one neće raditi! Pa, istina je, naša kompanija već ima previše pravila, niko se neće pridržavati još 3 tuceta novih pravila. U stvarnosti, srećom, naši zaposlenici su odgovorno prihvatili zadatak savladavanja novih pravila i uspješno prošli testiranje poznavanja dokumenata sistema upravljanja sigurnošću informacija.
Zabluda #5.
U to vrijeme nismo mogli jasno procijeniti kakve bismo koristi imali od naših napora. U to vrijeme broj zahtjeva za ovim certifikatom nije bio toliko velik, a ključnog i najzahtjevnijeg klijenta imali smo mnogo prije certifikacije. Iskustvo je pokazalo da smo se snašli bez standarda.
U nekom trenutku smo shvatili da haotično zatvaramo jedan ili drugi nastali jaz zbog zahtjeva klijenta. Svaki put smo smišljali neke nove politike ili rješenja. I konačno smo samostalno došli do zaključka da bi bilo mnogo lakše sistematizirati proces, što bi nam čak uštedjelo mnogo troškova rada u budućnosti. Standard je imao za cilj da pojednostavi ovaj zadatak.
Sada, dvije godine kasnije, vidimo trend povećanja broja zahtjeva i interesovanja za ovo pitanje od strane velikih međunarodnih klijenata.
Konačna odluka.
U zaključku, želimo reći da su naši lideri u industriji dobili ISO/IEC 27001 certifikat, što je natjeralo sve ostale velike dobavljače (uključujući i nas) da razmisle o ovom pitanju. Bez sumnje, lijepa linija u marketinškim materijalima kompanije - na web stranici, na društvenim mrežama, u reklamnim brošurama itd. – može se smatrati prijatnim bonusom, ali da li se isplati trošiti toliko sredstava za to? Sami smo odlučili da je za nas ovo više od jedne lijepe linije i uključili smo se u ovaj projekat.
izvor: www.habr.com