A la hora de tomar cualquier decisión estratégicamente importante para la empresa, los empleados pasan por un mecanismo de defensa básico, muy conocido como las 5 etapas de respuesta al cambio (por E. Kübler-Ross). Un eminente psicólogo describió una vez las reacciones emocionales y destacó cinco etapas clave de la respuesta emocional: negación, enojo, regateo, depresión y, adopción. Hemos preparado una serie de artículos dedicados a la certificación ISO 27001, donde veremos cada una de las etapas. Hoy hablaremos del primero de ellos: la negación.
Obtener un certificado ISO 27001 "para espectáculo" es un placer muy dudoso, porque requiere una preparación larga y costosa. Es más, como muestra , esta norma es extremadamente impopular en la Federación Rusa: hasta la fecha, sólo 70 empresas han sido certificadas para su cumplimiento. Al mismo tiempo, este es uno de los estándares más populares en el extranjero y satisface las crecientes demandas de las empresas en el campo de la seguridad de la información.
Nuestra empresa ofrece una gama completa de servicios de subcontratación para funciones contables: contabilidad y contabilidad fiscal, administración de nóminas y personal. Ocupamos una de las posiciones líderes en el mercado, en particular debido a que las empresas extranjeras con sucursales en Rusia nos confían su información confidencial. Esto se aplica no sólo a los procesos financieros de nuestros clientes, sino también a los datos personales con los que trabajamos a diario. En este sentido, la cuestión de la seguridad de la información es una de nuestras prioridades.
A menudo, todos los procesos comerciales de las divisiones rusas son controlados y declarados por las oficinas centrales de las empresas extranjeras y, por lo tanto, deben cumplir con los estándares internos del grupo. Recientemente, algunos de nuestros clientes clave han comenzado a revisar sus políticas de seguridad para endurecerlas. Por supuesto, esto se debe a las tendencias globales en el creciente número de ciberataques y pérdidas asociadas con incidentes de violación de la seguridad de la información. Si es necesario implementar medidas, políticas y procedimientos de protección destinados a aumentar la seguridad de la información de la empresa, puede prescindir de ISO. /Certificación IEC 27001, ahorrando así mucho dinero, tiempo y nervios.
Hoy en día, los requisitos para la seguridad de la información existente en la empresa han comenzado a aparecer en las licitaciones de clientes extranjeros. Algunos, para simplificar su verificación y unificar el enfoque, establecen un criterio de evaluación obligatorio: la presencia de la certificación ISO/IEC 27001.
Esto es lo que hemos visto: Uno de nuestros principales clientes internacionales certificados según este estándar parece haber fortalecido significativamente su equipo global de seguridad de la información. ¿Cómo supimos de esto? Decidieron auditar nuestro sistema de gestión de seguridad de la información porque les brindamos servicios de contabilidad y administración de personal y, por lo tanto, la seguridad de nuestros sistemas de información es de vital importancia para ellos. La auditoría anterior se realizó hace 3 años y en aquella ocasión todo transcurrió sin problemas.
Esta vez, un equipo amistoso de indios nos atacó, descubriendo hábilmente varias docenas de deficiencias en nuestro sistema de gestión de seguridad. El proceso de auditoría se parecía a la rueda del Samsara: parecía que, en principio, no tenían ningún objetivo de llegar a ningún punto final como parte de la auditoría. Fue una serie interminable de preguntas, comentarios, nuestros comentarios y evidencia de su realidad, conferencias telefónicas y largas conversaciones filosóficas en un intento de reconocer el acento del equipo de seguridad de TI del cliente. Por cierto, la auditoría continúa con distintos grados de intensidad hasta el día de hoy; con el tiempo, hemos llegado a un acuerdo con esto. Por tanto, la necesidad de certificación ha surgido por sí sola.
¿Quizás podamos conformarnos con la norma ISO 9001?
Cualquiera que tenga más o menos conocimientos en el tema de la certificación según cualquiera de las normas ISO comprende que la base de cada una de ellas es el certificado ISO 9001 "Sistema de gestión de calidad". Este es quizás el certificado más popular actualmente en toda la línea de estándares ISO. No lo teníamos y decidimos no conseguirlo. Hubieron varias razones para esto:
- la cuestionable eficiencia económica de la empresa que posee este certificado;
- nuestros procesos internos, en su mayor parte, ya se acercaban a este estándar;
- Obtener este certificado requeriría tiempo y dinero adicionales.
En consecuencia, decidimos implementar inmediatamente la norma ISO 27001, sin comenzar con la “más ligera” 9001.
¿O tal vez todavía no es necesario?
De cara al futuro, hemos vuelto muchas veces a la pregunta de si es recomendable obtenerlo. Empezamos a estudiar el tema desde todos los ángulos, porque no teníamos absolutamente ninguna experiencia. Y aquí están los conceptos erróneos que nos hicieron pensar una vez más en este tema.
Concepto erróneo n.° 1.
Esperábamos que la norma nos proporcionara una lista de verificación detallada, una lista de políticas y otros documentos legales. En realidad, resultó que ISO/IEC 27001 es un conjunto de requisitos para el sistema de gestión de seguridad de la información en sí y el proceso que se está construyendo. En base a ellos, fue necesario decidir de forma independiente qué escribir/implementar en nuestra empresa para cumplir con los requisitos de la norma.
Concepto erróneo n.° 2.
Sinceramente creíamos que nos bastaría con estudiar un documento y aplicarlo por nuestra cuenta en un tiempo relativamente corto. En realidad, mientras leíamos el documento, nos dimos cuenta de a cuántos estándares relacionados se “aferra” nuestro estándar, a cuántos estándares debemos familiarizarnos (al menos superficialmente). La “guinda” del pastel fue la falta de textos de normas actuales de dominio público: tuvieron que adquirirse en el sitio web oficial de ISO.
Concepto erróneo n.° 3.
Estábamos seguros de que encontraríamos todo lo que necesitábamos para prepararnos para la certificación en fuentes abiertas. De hecho, había bastantes materiales sobre ISO 27001 en Internet, pero carecían de detalles específicos. Prácticamente no existían instrucciones paso a paso fáciles de entender para prepararse para la certificación, así como casos reales de empresas que hubieran implementado este estándar.
Concepto erróneo n.° 4.
Escribiremos políticas, ¡pero no funcionarán! Bueno, es cierto, nuestra empresa ya tiene demasiadas reglas, nadie cumplirá con otras 3 docenas de políticas nuevas. En realidad, afortunadamente, nuestros empleados se encargaron de dominar las nuevas reglas de manera responsable y superaron con éxito las pruebas de conocimiento de los documentos del sistema de gestión de seguridad de la información.
Concepto erróneo n.° 5.
En ese momento, no podíamos evaluar claramente qué beneficios obtendríamos de nuestros esfuerzos. En ese momento, el número de solicitudes de este certificado no era tan grande y teníamos a nuestro cliente clave y más exigente mucho antes de la certificación. La experiencia demuestra que nos las arreglamos sin estándares.
En algún momento, nos dimos cuenta de que estábamos cerrando caóticamente alguna que otra brecha emergente debido a los requisitos del cliente. Cada vez se nos ocurrieron nuevas políticas o soluciones. Y finalmente llegamos a la conclusión de que sería mucho más fácil sistematizar el proceso, lo que nos ahorraría incluso muchos costes laborales en el futuro. La norma tenía como objetivo simplificar esta tarea.
Ahora, dos años después, vemos una tendencia creciente en el número de solicitudes e interés en este tema por parte de grandes clientes internacionales.
Decisión definitiva.
En conclusión, nos gustaría decir que nuestros líderes de la industria han recibido la certificación ISO/IEC 27001, lo que ha obligado a todos los demás proveedores importantes (incluidos nosotros) a pensar en este tema. Sin duda, una hermosa línea en los materiales de marketing de la empresa: en el sitio web, en las redes sociales, en folletos publicitarios, etc. – Puede considerarse un bono agradable, pero ¿vale la pena gastar tantos recursos en ello? Decidimos por nosotros mismos que para nosotros esto es más que una simple línea hermosa y nos involucramos en este proyecto.
Fuente: habr.com