Quan prenen qualsevol decisió estratègicament important per a l'empresa, els empleats passen per un mecanisme de defensa bàsic, conegut com les 5 etapes de resposta al canvi (per E. Kübler-Ross). Un psicòleg eminent va descriure una vegada les reaccions emocionals, destacant 5 etapes clau de la resposta emocional: negació, ira, negociació, depressió i finalment Adopció. Hem preparat una sèrie d'articles dedicats a la certificació ISO 27001, on veurem cadascuna de les etapes. Avui parlarem del primer d'ells: la negació.
Obtenir un certificat ISO 27001 “per espectacle” és un plaer molt dubtós, perquè requereix una preparació llarga i costosa. A més, com es mostra , aquesta norma és extremadament impopular a la Federació Russa: fins ara, només 70 empreses han estat certificades per complir. Al mateix temps, aquest és un dels estàndards més populars a l'estranger, que compleix les creixents demandes de les empreses en l'àmbit de la seguretat de la informació.
La nostra empresa ofereix una completa gamma de serveis d'externalització de funcions comptables: comptabilitat i fiscalitat, nòmines i administració de personal. Ocupem una de les posicions líders del mercat, en particular pel fet que les empreses estrangeres amb sucursals a Rússia ens confien la seva informació confidencial. Això s'aplica no només als processos financers dels nostres clients, sinó també a les dades personals amb les que treballem diàriament. En aquest sentit, el tema de la seguretat de la informació és una de les nostres prioritats.
Sovint, tots els processos empresarials de les divisions russes estan controlats i declarats per les oficines centrals d'empreses estrangeres i, per tant, han de complir els estàndards interns de tot el grup. Recentment, alguns dels nostres clients clau han començat a revisar les seves polítiques de seguretat en la direcció d'endurir-les. Per descomptat, això es deu a les tendències globals en el nombre creixent d'atacs cibernètics i pèrdues associades a incidents de violació de la seguretat de la informació. Certificació /IEC 27001, estalviant així molts diners, temps i nervis.
Avui, els requisits de seguretat de la informació existent a l'empresa han començat a aparèixer en les licitacions de clients estrangers. Alguns, per simplificar la seva verificació i unificar l'enfocament, estableixen un criteri d'avaluació obligatori: la presència de la certificació ISO/IEC 27001.
Això és el que hem vist: un dels nostres principals clients internacionals certificats segons aquest estàndard sembla haver reforçat significativament el seu equip global de seguretat de la informació. Com vam saber això? Van decidir auditar el nostre sistema de gestió de la seguretat de la informació, perquè els proporcionem serveis de comptabilitat i administració de personal i, en conseqüència, la seguretat dels nostres sistemes d'informació és fonamental per a ells. L'auditoria anterior va tenir lloc fa 3 anys; aquella vegada, tot va anar sense dolor.
Aquesta vegada, un equip amable d'indis ens va atacar, desenterrant amb habilitat diverses dotzenes de deficiències en el nostre sistema de gestió de seguretat. El procés d'auditoria s'assemblava a la roda de Samsara: semblava que en principi no tenien cap objectiu d'arribar a cap punt final com a part de l'auditoria. Va ser una sèrie interminable de preguntes, comentaris, els nostres comentaris i proves de la seva realitat, conferències telefòniques i llargues converses filosòfiques per intentar reconèixer l'accent de l'equip de seguretat informàtica del client. Per cert, l'auditoria continua amb diferents graus d'intensitat fins al dia d'avui; amb el pas del temps, ens hem adonat. Així, la necessitat de la certificació ha sorgit per si sola.
Potser ens podem conformar amb la ISO 9001?
Tothom que tingui més o menys coneixements en la qüestió de la certificació segons qualsevol de les normes ISO entén que la base de cadascuna d'elles és el certificat ISO 9001 “Sistema de Gestió de la Qualitat”. Aquest és potser el certificat més popular actualment en tota la línia de normes ISO. No el teníem, i vam decidir no aconseguir-ho. Hi havia diverses raons per a això:
- la qüestionable eficiència econòmica de l'empresa que té aquest certificat;
- els nostres processos interns, en la seva majoria, ja s'acostaven a aquest estàndard;
- L'obtenció d'aquest certificat requeriria més temps i diners.
En conseqüència, vam decidir implementar immediatament la ISO 27001, sense començar amb la 9001 "més lleugera".
O potser encara no és necessari?
De cara al futur, hem tornat moltes vegades a la qüestió de si és convenient obtenir-lo. Vam començar a estudiar el tema des de tots els costats, perquè no teníem cap experiència. I aquí teniu les idees errònies que ens van fer pensar una vegada més sobre aquest tema.
Concepció errònia #1.
Esperàvem que la norma ens proporcionés una llista de verificació detallada, una llista de polítiques i altres documents legals. En realitat, va resultar que la ISO/IEC 27001 és un conjunt de requisits per al propi sistema de gestió de la seguretat de la informació i el procés que s'està construint. A partir d'ells, va ser necessari decidir de manera independent què escriure/implementar a la nostra empresa per complir amb els requisits de la norma.
Concepció errònia #2.
Creiem sincerament que n'hi hauria prou amb estudiar un document i implementar-lo sols en relativament poc temps. En realitat, mentre llegim el document, ens vam adonar de quants estàndards relacionats "s'aferra" el nostre estàndard, amb quants estàndards hem de familiaritzar-nos (almenys superficialment). La "cirera" del pastís va ser la manca de textos estàndards actuals de domini públic: s'havien de comprar al lloc web oficial de l'ISO.
Concepció errònia #3.
Estàvem segurs que trobaríem tot el que necessitàvem per preparar la certificació en codi obert. De fet, hi havia molts materials sobre la norma ISO 27001 a Internet, però mancaven d'especificitats. Pràcticament no hi havia instruccions pas a pas fàcils d'entendre per preparar la certificació, així com casos reals d'empreses que havien implantat aquesta norma.
Concepció errònia #4.
Escriurem polítiques, però no funcionaran! Bé, és cert, la nostra empresa ja té massa normes, ningú no complirà amb altres 3 dotzenes de polítiques noves. En realitat, afortunadament, els nostres empleats van assumir la tasca de dominar les noves normes de manera responsable i van superar amb èxit les proves de coneixement dels documents del sistema de gestió de la seguretat de la informació.
Concepció errònia #5.
En aquell moment, no podíem avaluar amb claredat quins beneficis obtindríem dels nostres esforços. En aquell moment, el nombre de sol·licituds d'aquest certificat no era tan gran, i teníem la nostra clau i el client més exigent molt abans de la certificació. L'experiència va demostrar que ens vam gestionar sense un estàndard.
En algun moment, ens vam adonar que estàvem tancant de manera caòtica una o una altra bretxa emergent a causa dels requisits del client. Cada vegada vam trobar noves polítiques o solucions. I finalment, de manera independent, vam arribar a la conclusió que seria molt més fàcil sistematitzar el procés, cosa que fins i tot ens estalviaria molts costos laborals en el futur. La norma pretenia simplificar aquesta tasca.
Ara, dos anys després, veiem una tendència creixent en el nombre de peticions i l'interès per aquest tema per part dels principals clients internacionals.
Decisió final.
En conclusió, ens agradaria dir que els nostres líders del sector han rebut la certificació ISO/IEC 27001, que ha obligat a tots els altres proveïdors importants (inclosos a nosaltres) a pensar en aquest tema. Sens dubte, una línia bonica en els materials de màrqueting de l'empresa: al lloc web, a les xarxes socials, als fullets publicitaris, etc. – es pot considerar una bonificació agradable, però val la pena gastar-hi tants recursos? Vam decidir per nosaltres mateixos que per a nosaltres això és més que una bonica línia, i ens vam implicar en aquest projecte.
Font: www.habr.com