Enpresarentzat estrategikoki garrantzitsua den edozein erabaki hartzerakoan, langileek oinarrizko defentsa-mekanismo batetik igarotzen dira, aldaketei erantzuteko 5 fase gisa ezaguna (E. KΓΌbler-Rossen). Psikologo entzutetsu batek behin erreakzio emozionalak deskribatu zituen, erantzun emozionalaren 5 fase nagusi nabarmenduz: ukatzea, haserrea, merke, depresioa eta, azkenik, Adopzioa. ISO 27001 ziurtapenari eskainitako artikulu sorta prestatu dugu, non fase bakoitza aztertuko dugun. Gaur horietako lehenengoari buruz hitz egingo dugu: ukapena.
ISO 27001 ziurtagiria βikuskizunerakoβ lortzea oso plazer zalantzagarria da, prestaketa luze eta garestia eskatzen duelako. Gainera, erakusten duen moduan , estandar hau oso ezezaguna da Errusiar Federazioan: orain arte, 70 enpresa baino ez dira ziurtatuta. Aldi berean, estandar ezagunenetako bat da atzerrian, eta informazio-segurtasunaren alorreko negozioen eskakizun gero eta handiagoak asetzen ditu.
Gure enpresak outsourcing zerbitzu sorta osoa eskaintzen du kontabilitate funtzioetarako: kontabilitate eta zerga kontabilitatea, nominak eta langileen administrazioa. Merkatuko posizio nagusietako bat okupatzen dugu, batez ere Errusian sukurtsalak dituzten atzerriko enpresek konfidentziala duten informazioarekin konfiantza ematen digutelako. Hau gure bezeroen finantza-prozesuei ez ezik, egunero lan egiten ditugun datu pertsonalei ere aplikatzen zaie. Ildo horretan, informazioaren segurtasunaren gaia da gure lehentasunetako bat.
Askotan, Errusiako dibisioen negozio prozesu guztiak atzerriko enpresen egoitzak kontrolatzen eta deklaratzen dituzte, eta, beraz, talde osoko barne estandarrak bete behar dituzte. Duela gutxi, gure bezero gakoetako batzuk beren segurtasun-politikak berrikusten hasi dira, gogortzeko bidean. Jakina, informazio-segurtasunaren urratze-intzidentziarekin lotutako ziber-erasoen eta galeren kopurua gero eta handiagoa den joera globalaren ondorioz gertatzen da. Enpresaren informazioaren segurtasuna areagotzera zuzendutako babes-neurriak, politikak eta prozedurak ezartzea beharrezkoa bada, ISO gabe egin dezakezu. /IEC 27001 ziurtagiria, horrela diru, denbora eta nerbio asko aurreztuz.
Gaur egun, enpresan dagoen informazioaren segurtasunaren baldintzak agertzen hasi dira atzerriko bezeroen lizitazioetan. Batzuek, egiaztapena errazteko eta ikuspegia bateratzeko, derrigorrezko ebaluazio-irizpide bat ezartzen dute: ISO/IEC 27001 ziurtagiria egotea.
Hona hemen ikusi duguna: estandar honekin ziurtatutako nazioarteko bezero nagusietako batek bere informazio-segurtasun-talde globala nabarmen indartu duela dirudi. Nola jakin genuen hau? Gure informazioaren segurtasuna kudeatzeko sistema ikuskatzea erabaki zuten, kontabilitate zerbitzuak eta langileen administrazioa eskaintzen diegulako, eta, horrenbestez, gure informazio sistemen segurtasuna oso garrantzitsua da haientzat. Aurreko auditoria duela 3 urte egin zen; garai hartan dena nahiko minik gabe joan zen.
Oraingoan, indiar talde lagun batek eraso egin zigun, gure segurtasuna kudeatzeko sistemaren hainbat dozena hutsune trebetasunez argituz. Ikuskaritza-prozesuak Samsara-ren gurpilaren antza zuen; bazirudien printzipioz ez zutela inolako helbururik azken puntura iristeko auditoretzaren zati gisa. Galdera, iruzkin, gure iruzkinak eta haien errealitatearen froga, konferentzia-deiak eta elkarrizketa filosofiko luzeak izan ziren, bezeroaren segurtasun-taldearen azentua ezagutu nahian. Bide batez, ikuskaritzak intentsitate ezberdinekin jarraitzen du gaur egunera arte; denborarekin, horri heldu diogu. Horrela, ziurtagiriaren beharra bere kabuz sortu da.
Agian ISO 9001arekin konformatu gaitezke?
ISO arauren baten araberako ziurtapenaren gaian gutxi-asko adituak diren guztiek ulertzen dute horietako bakoitzaren oinarria ISO 9001 βKalitatea Kudeatzeko Sistemaβ ziurtagiria dela. Hau da, beharbada, ISO arauen lerro osoan gaur egun ziurtagiririk ezagunena. Ez genuen, eta ez lortzea erabaki genuen. Hainbat arrazoi zeuden horretarako:
- ziurtagiri hori duen enpresaren eraginkortasun ekonomiko zalantzagarria;
- gure barne-prozesuak, gehienetan, estandar horretatik gertu zeuden jada;
- Ziurtagiri hau lortzeak denbora eta diru gehiago eskatuko luke.
Horren arabera, ISO 27001 berehala ezartzea erabaki genuen, 9001 "arinago"tik hasi gabe.
Edo agian oraindik ez da beharrezkoa?
Aurrera begira, askotan bueltatu gara eskuratzea komeni ote den galderara. Alde guztietatik hasi ginen gaia aztertzen, ez geneukalako erabateko esperientziarik. Eta hona hemen gai honi buruz berriro pentsarazi gaituzten uste okerrak.
Uste okerra #1.
Espero genuen estandarrak kontrol-zerrenda zehatza, politiken zerrenda eta beste lege-dokumentu batzuk emango zizkigula. Egia esan, ISO/IEC 27001 informazioaren segurtasuna kudeatzeko sistemaren beraren eta eraikitzen ari den prozesuaren eskakizunen multzoa da. Horietan oinarrituta, beharrezkoa zen modu independentean erabakitzea zer idatzi/inplementatu gure enpresan arauaren eskakizunak betetzeko.
Uste okerra #2.
Zintzoki uste genuen nahikoa izango zela dokumentu bat aztertzea eta denbora laburrean gure kabuz ezartzea. Egia esan, dokumentua irakurtzean, konturatu ginen zenbat estandar erlazionatutako "atxikitzen" den gure estandarrak, zenbat estandar ezagutu behar ditugun (azaletik behintzat). Opilaren "gerezi" domeinu publikoan egungo estandar testuen falta zen - ISO webgune ofizialean erosi behar ziren.
Uste okerra #3.
Ziur geunden ziurtagiria prestatzeko behar genuen guztia iturri irekietan aurkituko genuela. Izan ere, Interneten ISO 27001 buruzko material asko zegoen, baina zehaztasunik gabe zeuden. Ia ez zegoen ziurtagiria prestatzeko urratsez urratseko argibide ulerterrazak, baita arau hori ezarri zuten enpresen kasu errealak ere.
Uste okerra #4.
Politikak idatziko ditugu, baina ez dute funtzionatuko! Beno, egia da, gure enpresak dagoeneko arau gehiegi ditu, inork ez ditu beste 3 dozena politika berri beteko. Egia esan, zorionez, gure langileek arau berriak arduraz menderatzeko zeregina hartu zuten eta arrakastaz gainditu zituzten informazioaren segurtasuna kudeatzeko sistemaren dokumentuak ezagutzeko probak.
Uste okerra #5.
Garai hartan, ezin genuen argi baloratu zer onura aterako genituzkeen gure ahaleginetatik. Garai hartan, ziurtagiri honen eskaera kopurua ez zen hain handia, eta ziurtagiria baino askoz lehenago genuen gure gakoa eta bezero zorrotzena. Esperientziak erakutsi zuen estandarrik gabe kudeatzen genuela.
Noizbait, bezeroaren eskakizunen ondorioz sortzen ari zen hutsune bat edo beste modu kaotikoan ixten ari ginela konturatu ginen. Aldi bakoitzean politika edo irtenbide berri batzuk planteatzen genituen. Eta azkenean, modu independentean, prozesua sistematizatzea askoz errazagoa izango zela ondorioztatu genuen, eta horrek etorkizunean lan-kostu asko aurreztuko lituzkeela. Arauak zeregin hori erraztu nahi zuen.
Orain, bi urte geroago, gero eta joera handiagoa ikusten dugu nazioarteko bezero nagusien gai honen inguruko eskaerak eta interesak.
Azken erabakia.
Amaitzeko, esan nahi dugu gure industriako liderrak ISO/IEC 27001 ziurtagiria jaso dutela, eta horrek beste hornitzaile nagusi guztiak (gu barne) gai honi buruz hausnartzera behartu dituela. Zalantzarik gabe, lerro eder bat konpainiaren marketin-materialetan - webgunean, sare sozialetan, publizitate liburuxketan, etab. β bonus atsegintzat har daiteke, baina merezi al du horretarako hainbeste baliabide gastatzea? Geuk erabaki genuen guretzat hau lerro eder bat baino gehiago dela, eta proiektu honetan sartu ginen.
Iturria: www.habr.com