Κατά τη λήψη οποιασδήποτε στρατηγικής σημαντικής απόφασης για την εταιρεία, οι εργαζόμενοι περνούν από έναν βασικό μηχανισμό άμυνας, γνωστό ως τα 5 στάδια αντίδρασης στην αλλαγή (από την E. Kübler-Ross). Ένας διαπρεπής ψυχολόγος περιέγραψε κάποτε τις συναισθηματικές αντιδράσεις, επισημαίνοντας 5 βασικά στάδια συναισθηματικής απόκρισης: άρνηση, θυμός, παζάρι, κατάθλιψη και, τέλος, Υιοθεσία. Έχουμε ετοιμάσει μια σειρά άρθρων αφιερωμένη στην πιστοποίηση ISO 27001, όπου θα εξετάσουμε κάθε ένα από τα στάδια. Σήμερα θα μιλήσουμε για το πρώτο από αυτά - την άρνηση.
Η απόκτηση πιστοποιητικού ISO 27001 «για επίδειξη» είναι μια πολύ αμφίβολη ευχαρίστηση, γιατί απαιτεί μακρά και δαπανηρή προετοιμασία. Επιπλέον, όπως φαίνεται , αυτό το πρότυπο είναι εξαιρετικά μη δημοφιλές στη Ρωσική Ομοσπονδία: μέχρι σήμερα, μόνο 70 εταιρείες έχουν πιστοποιηθεί για συμμόρφωση. Ταυτόχρονα, πρόκειται για ένα από τα πιο δημοφιλή πρότυπα στο εξωτερικό, καλύπτοντας τις αυξανόμενες απαιτήσεις των επιχειρήσεων στον τομέα της ασφάλειας πληροφοριών.
Η εταιρεία μας παρέχει ένα πλήρες φάσμα υπηρεσιών outsourcing για λογιστικές λειτουργίες: λογιστική και φορολογική λογιστική, μισθοδοσία και διαχείριση προσωπικού. Κατέχουμε μία από τις κορυφαίες θέσεις στην αγορά, ιδίως λόγω του γεγονότος ότι ξένες εταιρείες με υποκαταστήματα στη Ρωσία μας εμπιστεύονται τις εμπιστευτικές τους πληροφορίες. Αυτό δεν ισχύει μόνο για τις οικονομικές διαδικασίες των πελατών μας, αλλά και για τα προσωπικά δεδομένα με τα οποία συνεργαζόμαστε σε καθημερινή βάση. Από αυτή την άποψη, το θέμα της ασφάλειας των πληροφοριών είναι μία από τις προτεραιότητές μας.
Συχνά, όλες οι επιχειρηματικές διαδικασίες των ρωσικών τμημάτων ελέγχονται και δηλώνονται από τα κεντρικά γραφεία ξένων εταιρειών και, ως εκ τούτου, πρέπει να συμμορφώνονται με εσωτερικά πρότυπα σε όλο τον όμιλο. Πρόσφατα, ορισμένοι από τους βασικούς πελάτες μας άρχισαν να αναθεωρούν τις πολιτικές ασφαλείας τους προς την κατεύθυνση της αυστηροποίησής τους. Φυσικά, αυτό οφείλεται στις παγκόσμιες τάσεις στον αυξανόμενο αριθμό επιθέσεων και απωλειών στον κυβερνοχώρο που σχετίζονται με περιστατικά παραβίασης της ασφάλειας πληροφοριών. Εάν είναι απαραίτητο να εφαρμοστούν μέτρα προστασίας, πολιτικές και διαδικασίες που στοχεύουν στην αύξηση της ασφάλειας πληροφοριών της εταιρείας, μπορείτε να το κάνετε χωρίς ISO Πιστοποίηση /IEC 27001, εξοικονομώντας έτσι πολλά χρήματα, χρόνο και νεύρα.
Σήμερα, απαιτήσεις για υφιστάμενη ασφάλεια πληροφοριών στην εταιρεία έχουν αρχίσει να εμφανίζονται σε διαγωνισμούς από ξένους πελάτες. Ορισμένοι, προκειμένου να απλοποιήσουν την επαλήθευση τους και να ενοποιήσουν την προσέγγιση, έθεσαν ένα υποχρεωτικό κριτήριο αξιολόγησης - την παρουσία πιστοποίησης ISO/IEC 27001.
Δείτε τι είδαμε: Ένας από τους βασικούς διεθνείς πελάτες μας που έχει πιστοποιηθεί με αυτό το πρότυπο φαίνεται να έχει ενισχύσει σημαντικά την παγκόσμια ομάδα ασφάλειας πληροφοριών του. Πώς το γνωρίζαμε αυτό; Αποφάσισαν να ελέγξουν το σύστημα διαχείρισης ασφάλειας πληροφοριών, επειδή τους παρέχουμε λογιστικές υπηρεσίες και διαχείριση προσωπικού - και, κατά συνέπεια, η ασφάλεια των συστημάτων πληροφοριών μας είναι εξαιρετικά σημαντική για αυτούς. Ο προηγούμενος έλεγχος έγινε πριν από 3 χρόνια - τότε όλα πήγαν αρκετά ανώδυνα.
Αυτή τη φορά, μια φιλική ομάδα Ινδών μας επιτέθηκε, αποκαλύπτοντας επιδέξια πολλές δεκάδες ελλείψεις στο σύστημα διαχείρισης ασφαλείας μας. Η διαδικασία ελέγχου έμοιαζε με τον τροχό του Samsara - φαινόταν ότι, κατ' αρχήν, δεν είχαν στόχο να φτάσουν σε κάποιο τελικό σημείο ως μέρος του ελέγχου. Ήταν μια ατελείωτη σειρά από ερωτήσεις, σχόλια, τα σχόλιά μας και αποδείξεις της πραγματικότητάς τους, τηλεδιασκέψεις και μακροσκελείς φιλοσοφικές συνομιλίες σε προσπάθειες αναγνώρισης της προφοράς της ομάδας ασφάλειας πληροφορικής του πελάτη. Παρεμπιπτόντως, ο έλεγχος συνεχίζεται με ποικίλους βαθμούς έντασης μέχρι σήμερα - με την πάροδο του χρόνου, έχουμε συμβιβαστεί με αυτό. Έτσι, η ανάγκη για πιστοποίηση έχει προκύψει από μόνη της.
Ίσως μπορούμε να αρκεστούμε στο ISO 9001;
Όλοι όσοι είναι λίγο πολύ έξυπνοι στο θέμα της πιστοποίησης σύμφωνα με οποιοδήποτε από τα πρότυπα ISO καταλαβαίνουν ότι η βάση για καθένα από αυτά είναι το πιστοποιητικό ISO 9001 «Σύστημα Διαχείρισης Ποιότητας». Αυτό είναι ίσως το πιο δημοφιλές πιστοποιητικό αυτή τη στιγμή σε ολόκληρη τη σειρά των προτύπων ISO. Δεν το είχαμε - και αποφασίσαμε να μην το πάρουμε. Υπήρχαν διάφοροι λόγοι για αυτό:
- την αμφισβητήσιμη οικονομική αποδοτικότητα της εταιρείας που διαθέτει αυτό το πιστοποιητικό·
- Οι εσωτερικές μας διαδικασίες, ως επί το πλείστον, ήταν ήδη κοντά σε αυτό το πρότυπο.
- Η απόκτηση αυτού του πιστοποιητικού θα απαιτούσε επιπλέον χρόνο και χρήμα.
Ως εκ τούτου, αποφασίσαμε να εφαρμόσουμε αμέσως το ISO 27001, χωρίς να ξεκινήσουμε με τον «αναπτήρα» 9001.
Ή μήπως δεν είναι ακόμα απαραίτητο;
Κοιτάζοντας το μέλλον, έχουμε επανέλθει πολλές φορές στο ερώτημα εάν είναι σκόπιμο να το αποκτήσουμε. Αρχίσαμε να μελετάμε το θέμα από όλες τις πλευρές, γιατί δεν είχαμε καμία απολύτως τεχνογνωσία. Και εδώ είναι οι λανθασμένες αντιλήψεις που μας έκαναν να σκεφτούμε για άλλη μια φορά αυτό το θέμα.
Παρανόηση #1.
Ελπίζαμε ότι το πρότυπο θα μας παρείχε μια λεπτομερή λίστα ελέγχου, μια λίστα πολιτικών και άλλα νομοθετικά έγγραφα. Στην πραγματικότητα, αποδείχθηκε ότι το ISO/IEC 27001 είναι ένα σύνολο απαιτήσεων για το ίδιο το σύστημα διαχείρισης ασφάλειας πληροφοριών και τη διαδικασία που χτίζεται. Με βάση αυτά, ήταν απαραίτητο να αποφασίσουμε ανεξάρτητα τι θα γράψουμε/εφαρμόσουμε στην εταιρεία μας για να συμμορφωθούμε με τις απαιτήσεις του προτύπου.
Παρανόηση #2.
Πιστεύαμε ειλικρινά ότι θα μας αρκούσε να μελετήσουμε ένα έγγραφο και να το εφαρμόσουμε μόνοι μας σε σχετικά σύντομο χρονικό διάστημα. Στην πραγματικότητα, διαβάζοντας το έγγραφο, συνειδητοποιήσαμε σε πόσα σχετικά πρότυπα «προσκολλάται» το πρότυπό μας, με πόσα πρότυπα πρέπει να εξοικειωθούμε (τουλάχιστον επιφανειακά). Το «κεράσι» στην τούρτα ήταν η έλλειψη υφιστάμενων κειμένων προτύπων στο δημόσιο τομέα - έπρεπε να αγοραστούν στον επίσημο ιστότοπο ISO.
Παρανόηση #3.
Ήμασταν σίγουροι ότι θα βρίσκαμε όλα όσα χρειαζόμασταν για να προετοιμαστούμε για πιστοποίηση σε ανοιχτούς πόρους. Υπήρχαν πράγματι πάρα πολλά υλικά για το ISO 27001 στο Διαδίκτυο, αλλά μάλλον έλειπαν σε λεπτομέρειες. Πρακτικά δεν υπήρχαν εύκολα κατανοητές οδηγίες βήμα προς βήμα για την προετοιμασία για πιστοποίηση, καθώς και πραγματικές περιπτώσεις εταιρειών που είχαν εφαρμόσει αυτό το πρότυπο.
Παρανόηση #4.
Θα γράψουμε πολιτικές, αλλά δεν θα λειτουργήσουν! Λοιπόν, είναι αλήθεια, η εταιρεία μας έχει ήδη πάρα πολλούς κανόνες, κανείς δεν θα συμμορφωθεί με άλλες 3 δωδεκάδες νέες πολιτικές. Στην πραγματικότητα, ευτυχώς, οι υπάλληλοί μας ανέλαβαν υπεύθυνα το καθήκον να κατακτήσουν τους νέους κανόνες και πέρασαν με επιτυχία το τεστ γνώσης των εγγράφων του συστήματος διαχείρισης ασφάλειας πληροφοριών.
Παρανόηση #5.
Εκείνη την εποχή, δεν μπορούσαμε να εκτιμήσουμε με σαφήνεια τι οφέλη θα είχαμε από τις προσπάθειές μας. Εκείνη την εποχή, ο αριθμός των αιτημάτων για αυτό το πιστοποιητικό δεν ήταν τόσο μεγάλος και είχαμε τον βασικό και πιο απαιτητικό πελάτη μας πολύ πριν από την πιστοποίηση. Η εμπειρία έδειξε ότι τα καταφέραμε χωρίς πρότυπο.
Κάποια στιγμή, συνειδητοποιήσαμε ότι κλείναμε χαοτικά το ένα ή το άλλο αναδυόμενο κενό λόγω των απαιτήσεων του πελάτη. Κάθε φορά καταλήγαμε σε κάποιες νέες πολιτικές ή λύσεις. Και τελικά καταλήξαμε ανεξάρτητα στο συμπέρασμα ότι θα ήταν πολύ πιο εύκολο να συστηματοποιήσουμε τη διαδικασία, κάτι που θα μας εξοικονομούσε ακόμη και πολύ κόστος εργασίας στο μέλλον. Το πρότυπο είχε σκοπό να απλοποιήσει αυτήν την εργασία.
Τώρα, δύο χρόνια μετά, βλέπουμε μια αυξανόμενη τάση στον αριθμό των αιτημάτων και του ενδιαφέροντος για αυτό το θέμα από μεγάλους διεθνείς πελάτες.
Τελική απόφαση.
Εν κατακλείδι, θα θέλαμε να πούμε ότι οι ηγέτες του κλάδου μας έχουν λάβει πιστοποίηση ISO/IEC 27001, η οποία ανάγκασε όλους τους άλλους μεγάλους παρόχους (συμπεριλαμβανομένων και εμάς) να σκεφτούν αυτό το ζήτημα. Αναμφίβολα, μια όμορφη γραμμή στο υλικό μάρκετινγκ της εταιρείας - στον ιστότοπο, στα κοινωνικά δίκτυα, σε διαφημιστικά φυλλάδια κ.λπ. – μπορεί να θεωρηθεί ένα ευχάριστο μπόνους, αλλά αξίζει να ξοδέψετε τόσους πολλούς πόρους για αυτό; Αποφασίσαμε μόνοι μας ότι για εμάς αυτό είναι κάτι περισσότερο από μια όμορφη σειρά, και εμπλακήκαμε σε αυτό το έργο.
Πηγή: www.habr.com