Při jakémkoli strategicky důležitém rozhodnutí pro společnost procházejí zaměstnanci základním obranným mechanismem, dobře známým jako 5 fází reakce na změnu (od E. Kübler-Rosse). Jeden významný psycholog kdysi popsal emoční reakce a zdůraznil 5 klíčových fází emoční reakce: popření, hněv, vyjednávání, deprese a konečně, Přijetí. Připravili jsme sérii článků věnovaných certifikaci ISO 27001, kde se podíváme na jednotlivé fáze. Dnes si povíme o prvním z nich – popírání.
Získání certifikátu ISO 27001 „na výstavu“ je velmi pochybné potěšení, protože vyžaduje dlouhou a nákladnou přípravu. Navíc, jak se ukazuje , tato norma je v Ruské federaci extrémně nepopulární: k dnešnímu dni bylo certifikováno pouze 70 společností pro shodu. Zároveň se jedná o jeden z nejoblíbenějších standardů v zahraničí, splňující rostoucí nároky podnikání v oblasti informační bezpečnosti.
Naše společnost poskytuje celou řadu outsourcingových služeb pro účetní funkce: účetnictví a daňové účetnictví, mzdovou agendu a personální administrativu. Zaujímáme jednu z předních pozic na trhu, zejména díky tomu, že nám zahraniční společnosti s pobočkami v Rusku svěřují své důvěrné informace. To platí nejen pro finanční procesy našich klientů, ale také pro osobní údaje, se kterými denně pracujeme. V tomto ohledu je problematika informační bezpečnosti jednou z našich priorit.
Všechny obchodní procesy ruských divizí jsou často řízeny a deklarovány centrálami zahraničních společností, a proto musí splňovat interní celoskupinové standardy. V poslední době začali někteří naši klíčoví klienti revidovat své bezpečnostní zásady směrem k jejich zpřísnění. Samozřejmě je to dáno celosvětovými trendy rostoucího počtu kybernetických útoků a ztrát spojených s incidenty narušení informační bezpečnosti.Pokud je nutné zavést ochranná opatření, zásady a postupy zaměřené na zvýšení informační bezpečnosti společnosti, obejdete se bez ISO /certifikace IEC 27001, šetří tím spoustu peněz, času a nervů.
Dnes se ve výběrových řízeních od zahraničních zákazníků začaly objevovat požadavky na stávající informační bezpečnost ve firmě. Někteří si pro zjednodušení ověřování a sjednocení přístupu stanovují povinné hodnotící kritérium – přítomnost certifikace ISO/IEC 27001.
Zde je to, co jsme viděli: Zdá se, že jeden z našich klíčových mezinárodních klientů certifikovaných podle tohoto standardu významně posílil svůj tým pro globální bezpečnost informací. Jak jsme o tom věděli? Rozhodli se provést audit našeho systému řízení bezpečnosti informací, protože jim poskytujeme účetní služby a personální administrativu – a bezpečnost našich informačních systémů je proto pro ně kriticky důležitá. Předchozí audit proběhl před 3 lety - tehdy šlo vše celkem bezbolestně.
Tentokrát na nás zaútočil přátelský tým Indů, kteří obratně odhalili několik desítek nedostatků v našem systému řízení bezpečnosti. Proces auditu připomínal kolo Samsary – zdálo se, že v zásadě neměli za cíl dosáhnout v rámci auditu nějakého konečného bodu. Byla to nekonečná řada otázek, komentářů, našich komentářů a důkazů o jejich realitě, konferenčních hovorů a sáhodlouhých filozofických rozhovorů ve snaze rozpoznat přízvuk klientského IT bezpečnostního týmu. Audit mimochodem pokračuje s různou intenzitou dodnes – postupem času jsme se s tím smířili. Potřeba certifikace tedy vyvstala sama o sobě.
Možná si vystačíme s ISO 9001?
Každý, kdo se více či méně orientuje v problematice certifikace podle některé z norem ISO, chápe, že základem každé z nich je certifikát ISO 9001 „Systém managementu kvality“. V současnosti je to možná nejpopulárnější certifikát v celé řadě norem ISO. Neměli jsme ho – a rozhodli jsme se ho nezískat. Bylo pro to několik důvodů:
- pochybná ekonomická efektivnost společnosti s tímto certifikátem;
- naše interní procesy se již většinou tomuto standardu blížily;
- Získání tohoto certifikátu by vyžadovalo další čas a peníze.
Proto jsme se rozhodli okamžitě implementovat ISO 27001, aniž bychom začínali s „lehčím“ 9001.
Nebo to možná stále není nutné?
Při pohledu do budoucna jsme se mnohokrát vraceli k otázce, zda je vhodné si ji pořídit. Začali jsme problematiku studovat ze všech stran, protože jsme neměli absolutně žádnou odbornost. A zde jsou mylné představy, které nás přiměly znovu se nad tímto problémem zamyslet.
Mylná představa #1.
Doufali jsme, že norma nám poskytne podrobný kontrolní seznam, seznam zásad a další zákonné dokumenty. Ve skutečnosti se ukázalo, že ISO/IEC 27001 je soubor požadavků na samotný systém řízení bezpečnosti informací a budovaný proces. Na jejich základě bylo nutné samostatně rozhodnout, co v naší firmě napsat/implementovat, aby byly splněny požadavky normy.
Mylná představa #2.
Upřímně jsme věřili, že nám bude stačit nastudovat jeden dokument a realizovat jej v relativně krátké době vlastními silami. Ve skutečnosti jsme si při čtení dokumentu uvědomili, na kolika souvisejících normách naše norma „lpí“, s kolika normami se musíme (alespoň povrchně) seznámit. „Třešničkou“ na dortu byl nedostatek aktuálních textů norem ve veřejné doméně – bylo nutné je zakoupit na oficiálních stránkách ISO.
Mylná představa #3.
Byli jsme si jisti, že vše potřebné k přípravě na certifikaci najdeme v otevřených zdrojích. Materiálů k ISO 27001 bylo na internetu opravdu hodně, ale spíše postrádaly specifika. Prakticky neexistovaly žádné snadno srozumitelné návody krok za krokem pro přípravu na certifikaci, stejně jako reálné případy firem, které tento standard implementovaly.
Mylná představa #4.
Napíšeme zásady, ale nebudou fungovat! No, je to pravda, naše společnost už má příliš mnoho pravidel, nikdo nebude dodržovat další 3 tucty nových zásad. Ve skutečnosti se naštěstí naši zaměstnanci zhostili úkolu zvládnout nová pravidla zodpovědně a úspěšně prošli testováním znalosti dokumentů systému řízení bezpečnosti informací.
Mylná představa #5.
V té době jsme nedokázali jednoznačně posoudit, jaké výhody nám naše úsilí přinese. V té době nebyl počet žádostí o tento certifikát tak velký a našeho klíčového a nejnáročnějšího klienta jsme měli dávno před certifikací. Zkušenosti ukázaly, že jsme si poradili bez standardu.
V určitém okamžiku jsme si uvědomili, že chaoticky uzavíráme tu či onu vznikající mezeru kvůli požadavkům klienta. Pokaždé jsme přišli s nějakou novou politikou nebo řešením. A nakonec jsme nezávisle na sobě došli k závěru, že by bylo mnohem jednodušší proces systematizovat, což by nám v budoucnu dokonce ušetřilo spoustu mzdových nákladů. Norma měla tento úkol zjednodušit.
Nyní, o dva roky později, zaznamenáváme rostoucí trend v počtu žádostí a zájmu o tuto problematiku ze strany významných mezinárodních klientů.
Konečné rozhodnutí.
Na závěr bychom rádi řekli, že naši lídři v oboru získali certifikaci ISO/IEC 27001, což donutilo všechny ostatní významné poskytovatele (včetně nás) se nad tímto problémem zamyslet. Nepochybně krásná linie v marketingových materiálech společnosti - na webu, na sociálních sítích, v reklamních brožurách atd. – lze považovat za příjemný bonus, ale vyplatí se za něj utrácet tolik prostředků? Sami jsme se rozhodli, že pro nás je to víc než jen krásná linie a zapojili jsme se do tohoto projektu.
Zdroj: www.habr.com