Quandu pigliate ogni decisione strategicamente impurtante per a cumpagnia, l'impiegati passanu per un mecanismu di difesa di basa, ben cunnisciutu com'è 5 tappe di risponde à u cambiamentu (da E. Kübler-Ross). Un psicologu eminente hà descrittu una volta e reazioni emotive, mettendu in risaltu 5 tappe chjave di a risposta emotiva: nigazione, rabbia, affare, diprissioni e, finarmenti, Adozione. Avemu preparatu una seria di articuli dedicati à a certificazione ISO 27001, induve guardemu ogni tappa. Oghje parlemu di u primu di elli - negazione.
Ottene un certificatu ISO 27001 "per spettaculu" hè un piacè assai dubbitu, perchè esige una preparazione longa è caru. Inoltre, cum'è mostra , stu standard hè estremamente impopulare in a Federazione Russa: finu à a data, solu 70 cumpagnie sò stati certificati per u cumpletu. À u listessu tempu, questu hè unu di i standard più populari à l'esteru, risponde à e crescente richieste di l'affari in u campu di a sicurità di l'infurmazioni.
A nostra sucetà furnisce una gamma completa di servizii di outsourcing per e funzioni di cuntabilità: contabilità è contabilità fiscale, paghe è amministrazione di u persunale. Occupemu una di e pusizioni principali di u mercatu, in particulare per u fattu chì e cumpagnie straniere cù filiali in Russia ci cunfidanu cù e so informazioni cunfidenziale. Questu ùn hè micca solu per i prucessi finanziarii di i nostri clienti, ma ancu per i dati persunali chì travagliammu ogni ghjornu. In questu sensu, u tema di a sicurità di l'infurmazioni hè una di e nostre priorità.
Spessu, tutti i prucessi di cummerciale di e divisioni russe sò cuntrullati è dichjarati da i sedi di l'imprese straniere, è per quessa devenu esse conformi à i normi interni di u gruppu. Ricertamenti, alcuni di i nostri clienti chjave anu cuminciatu à rivisà e so pulitiche di sicurezza in a direzzione di stringhje. Di sicuru, questu hè dovutu à i tendenzi glubale in u crescente numeru di attacchi cibernetici è perditi assuciati cù incidenti di violazione di a sicurità di l'infurmazioni Se hè necessariu implementà misure di prutezzione, pulitiche è prucedure destinate à aumentà a sicurezza di l'infurmazioni di a cumpagnia, pudete fà senza ISO. Certificazione / IEC 27001, risparmiendu cusì assai soldi, tempu è nervi.
Oghje, i requisiti per a sicurità di l'infurmazioni esistenti in a cumpagnia sò cuminciati à apparisce in offerte da i clienti stranieri. Certi, per simplificà a so verificazione è unificà l'approcciu, stabiliscenu un criteriu di valutazione obligatoriu - a presenza di a certificazione ISO / IEC 27001.
Eccu ciò chì avemu vistu: Unu di i nostri clienti internaziunali chjave certificati à stu standard pare avè rinfurzatu significativamente a so squadra di sicurezza di l'infurmazioni globale. Cumu sapemu di questu? Anu decisu di audità u nostru sistema di gestione di a sicurità di l'infurmazioni, perchè li furniscemu servizii di cuntabilità è amministrazione di u persunale - è, per quessa, a sicurità di i nostri sistemi d'infurmazione hè di primura impurtante per elli. L'auditu precedente hè statu fattu 3 anni fà - quellu tempu tuttu hè andatu abbastanza senza dolore.
Sta volta, una squadra amichevule di indiani ci hà attaccatu, scupertu sapientemente parechje decine di mancanze in u nostru sistema di gestione di sicurità. U prucessu di auditu s'assumiglia à a rota di Samsara - pareva chì in principiu ùn avianu micca scopu di ghjunghje à ogni puntu finali cum'è parte di l'auditu. Era una fila infinita di dumande, cumenti, i nostri cumenti è evidenza di a so realità, e teleconferenze è lunghe conversazioni filosofiche in tentativi di ricunnosce l'accentu di a squadra di sicurità IT di u cliente. In modu, l'auditu cuntinueghja cù varii gradi di intensità finu à questu ghjornu - cù u tempu, avemu ghjuntu à patti cun questu. Cusì, a necessità di certificazione hè sviluppata da sè stessu.
Forse pudemu fà cun l'ISO 9001?
Tutti quelli chì sò più o menu savvy in l'emissione di certificazione secondu qualsiasi standard ISO capisce chì a basa per ognunu hè u certificatu ISO 9001 "Sistema di Gestione di Qualità". Questu hè forse u certificatu più populari attualmente in tutta a linea di standard ISO. Ùn l'avemu micca - è avemu decisu di ùn avè micca. Ci era parechje ragioni per questu:
- l'efficienza economica discutibile di a cumpagnia chì hà stu certificatu;
- i nostri prucessi internu, per a maiò parte, eranu digià vicinu à stu standard;
- L'ottenimentu di stu certificatu richiederà tempu è soldi supplementari.
Per quessa, avemu decisu di implementà immediatamente ISO 27001, senza principià cù u "più ligeru" 9001.
O forse ùn hè ancu micca necessariu?
In u futuru, avemu tornatu parechje volte à a quistione di s'ellu hè cunsigliatu per ottene. Avemu cuminciatu à studià u prublema da tutti i lati, perchè ùn aviamu assolutamente micca sapè fà. È quì sò i misconceptions chì ci anu fattu pensà à sta questione una volta di più.
Misconception #1.
Speremu chì u standard ci furnisce una lista di cuntrollu detallata, una lista di pulitiche è altri documenti statutarii. In rialità, hè risultatu chì ISO / IEC 27001 hè un inseme di esigenze per u sistema di gestione di a sicurità di l'infurmazioni stessu è u prucessu chì hè custruitu. Basatu nantu à elli, era necessariu di decide indipindente ciò chì scrive / implementà in a nostra cumpagnia per rispettà i requisiti di u standard.
Misconception #2.
Avemu sinceramente cridutu chì saria abbastanza per noi di studià un documentu è implementà in un tempu relativamente cortu per noi stessu. In realtà, mentre leghje u documentu, avemu capitu quanti standardi cunnessi u nostru standard "si attacca", quanti standard avemu bisognu di familiarizà (almenu superficialmente). A "cherry" nantu à a torta era a mancanza di testi di normi attuali in u duminiu publicu - anu da esse acquistatu nantu à u situ web ufficiale ISO.
Misconception #3.
Eramu cunfidenti chì truveremu tuttu ciò chì avemu bisognu per preparà a certificazione in fonti aperti. Ci era veramente assai materiali nantu à ISO 27001 in Internet, ma eranu piuttostu mancanti di specifichi. Ùn ci era praticamente nisuna struzzioni per a preparazione per a certificazione faciule da capisce, è ancu casi reali di cumpagnie chì avianu implementatu stu standard.
Misconception #4.
Scriveremu pulitiche, ma ùn anu da travaglià ! Ebbè, hè vera, a nostra cumpagnia hà digià troppu regule, nimu ùn rispetterà altre 3 decine di novi pulitiche. In realtà, per furtuna, i nostri impiegati anu pigliatu u compitu di ammaistrà e novi regule in modu rispunsevuli è passanu cù successu a prova per a cunniscenza di i documenti di u sistema di gestione di a sicurità di l'infurmazioni.
Misconception #5.
À quellu tempu, ùn pudemu micca valutà chjaramente i beneficii chì averemu da i nostri sforzi. À quellu tempu, u numeru di dumande per stu certificatu ùn era micca cusì grande, è avemu avutu a nostra chjave è u cliente più esigenti assai prima di certificazione. L'esperienza hà dimustratu chì avemu gestitu senza standard.
À un certu puntu, avemu capitu chì stavamu caòticamente chjudendu unu o un altru gap emergente per i bisogni di u cliente. Ogni volta avemu vinutu cù qualchi pulitiche o suluzioni novi. È avemu infine ghjuntu indipindentamente à a cunclusione chì seria assai più faciule per sistematizà u prucessu, chì ci hà ancu risparmià assai di i costi di u travagliu in u futuru. U standard era destinatu à simplificà stu compitu.
Avà, dui anni dopu, vedemu una tendenza crescente in u numeru di richieste è interessu in questa questione da i principali clienti internaziunali.
Decisione finale.
In cunclusioni, vulemu dì chì i nostri capi di l'industria anu ricivutu a certificazione ISO / IEC 27001, chì hà furzatu à tutti l'altri fornituri maiò (cumpresu noi) à pensà à sta questione. Indubbiamente, una bella linea in i materiali di marketing di a cumpagnia - in u situ web, in e rete soziale, in libretti di publicità, etc. - pò esse cunsideratu un bonus piacevule, ma vale a pena spende tanti risorse per questu? Avemu decisu per noi stessi chì per noi questu hè più cà una bella linea, è avemu participatu à stu prughjettu.
Source: www.habr.com