Lorsqu'ils prennent une décision stratégiquement importante pour l'entreprise, les salariés passent par un mécanisme de défense de base, bien connu sous le nom de 5 étapes de réponse au changement (par E. Kübler-Ross). Un éminent psychologue a un jour décrit les réactions émotionnelles, en soulignant 5 étapes clés de la réponse émotionnelle : négation, colère, marchandage, dépression et enfin Adoption. Nous avons préparé une série d'articles dédiés à la certification ISO 27001, où nous examinerons chacune des étapes. Aujourd’hui, nous parlerons du premier d’entre eux : le déni.
Obtenir un certificat ISO 27001 « pour le spectacle » est un plaisir très douteux, car cela demande une préparation longue et coûteuse. De plus, comme cela le montre , cette norme est extrêmement impopulaire dans la Fédération de Russie : à ce jour, seules 70 entreprises ont été certifiées conformes. Dans le même temps, il s’agit de l’une des normes les plus populaires à l’étranger, répondant aux exigences croissantes des entreprises dans le domaine de la sécurité de l’information.
Notre société propose une gamme complète de services d'externalisation des fonctions comptables : comptabilité et comptabilité fiscale, paie et administration du personnel. Nous occupons l'une des positions de leader sur le marché, notamment grâce au fait que les entreprises étrangères ayant des succursales en Russie nous confient leurs informations confidentielles. Cela s’applique non seulement aux processus financiers de nos clients, mais également aux données personnelles avec lesquelles nous travaillons quotidiennement. À cet égard, la question de la sécurité de l’information est l’une de nos priorités.
Souvent, tous les processus commerciaux des divisions russes sont contrôlés et déclarés par les sièges sociaux des sociétés étrangères et doivent donc être conformes aux normes internes du groupe. Récemment, certains de nos principaux clients ont commencé à réviser leurs politiques de sécurité dans le sens de les renforcer. Bien entendu, cela est dû aux tendances mondiales du nombre croissant de cyberattaques et de pertes associées aux incidents de violation de la sécurité de l'information. S'il est nécessaire de mettre en œuvre des mesures de protection, des politiques et des procédures visant à accroître la sécurité des informations de l'entreprise, vous pouvez vous passer de l'ISO. /Certification IEC 27001, économisant ainsi beaucoup d'argent, de temps et de nerfs.
Aujourd'hui, les exigences relatives à la sécurité des informations existantes dans l'entreprise ont commencé à apparaître dans les appels d'offres des clients étrangers. Certains, afin de simplifier leur vérification et d'unifier la démarche, fixent un critère d'évaluation obligatoire : la présence de la certification ISO/IEC 27001.
Voici ce que nous avons constaté : l'un de nos principaux clients internationaux certifiés selon cette norme semble avoir considérablement renforcé son équipe mondiale de sécurité de l'information. Comment avons-nous su cela ? Ils ont décidé d'auditer notre système de gestion de la sécurité de l'information, car nous leur fournissons des services de comptabilité et d'administration du personnel - et, par conséquent, la sécurité de nos systèmes d'information est d'une importance cruciale pour eux. L'audit précédent a eu lieu il y a 3 ans - cette fois-là, tout s'est déroulé sans problème.
Cette fois, une équipe amicale d’Indiens nous a attaqués, mettant habilement au jour plusieurs dizaines de failles dans notre système de gestion de la sécurité. Le processus d'audit ressemblait à la roue du Samsara - il semblait qu'en principe ils n'avaient aucun objectif d'atteindre un point final dans le cadre de l'audit. C’était une suite interminable de questions, de commentaires, de nos commentaires et de preuves de leur réalité, de conférences téléphoniques et de longues conversations philosophiques pour tenter de reconnaître l’accent de l’équipe de sécurité informatique du client. Soit dit en passant, l'audit se poursuit encore aujourd'hui avec divers degrés d'intensité - au fil du temps, nous y sommes parvenus. Ainsi, le besoin de certification s’est imposé de lui-même.
Peut-être pouvons-nous nous contenter de la norme ISO 9001 ?
Tous ceux qui sont plus ou moins avertis en matière de certification selon l'une des normes ISO comprennent que la base de chacune d'elles est le certificat ISO 9001 « Système de gestion de la qualité ». Il s’agit peut-être actuellement du certificat le plus populaire de toute la gamme des normes ISO. Nous ne l’avions pas – et nous avons décidé de ne pas l’obtenir. Il y avait plusieurs raisons à cela :
- l'efficacité économique discutable de l'entreprise possédant ce certificat ;
- nos processus internes, pour la plupart, étaient déjà proches de cette norme ;
- L’obtention de ce certificat nécessiterait du temps et de l’argent supplémentaires.
Nous avons donc décidé de mettre en œuvre immédiatement la norme ISO 27001, sans commencer par la norme 9001, « plus légère ».
Ou peut-être que ce n’est toujours pas nécessaire ?
Pour l’avenir, nous sommes revenus à plusieurs reprises sur la question de savoir s’il est conseillé de l’obtenir. Nous avons commencé à étudier la question sous tous les angles, car nous n'avions absolument aucune expertise. Et voici les idées fausses qui nous ont fait repenser à cette question.
Idée fausse n°1.
Nous espérions que la norme nous fournirait une liste de contrôle détaillée, une liste de politiques et d'autres documents statutaires. En réalité, il s'est avéré que la norme ISO/IEC 27001 est un ensemble d'exigences concernant le système de gestion de la sécurité de l'information lui-même et le processus en cours de construction. Sur cette base, il était nécessaire de décider de manière indépendante ce qu'il fallait écrire/mettre en œuvre dans notre entreprise pour se conformer aux exigences de la norme.
Idée fausse n°2.
Nous pensions sincèrement qu'il nous suffirait d'étudier nous-mêmes un document et de le mettre en œuvre dans un délai relativement court. En réalité, en lisant le document, nous avons réalisé à combien de normes connexes notre norme « s'accroche », à combien de normes nous devons nous familiariser (au moins superficiellement). La « cerise » sur le gâteau était le manque de textes normatifs à jour dans le domaine public : ils devaient être achetés sur le site officiel de l'ISO.
Idée fausse n°3.
Nous étions convaincus que nous trouverions tout ce dont nous avions besoin pour préparer la certification en open source. Il existait effectivement de nombreux documents sur la norme ISO 27001 sur Internet, mais ils manquaient plutôt de détails. Il n'y avait pratiquement pas d'instructions étape par étape faciles à comprendre pour se préparer à la certification, ni de cas réels d'entreprises ayant mis en œuvre cette norme.
Idée fausse n°4.
Nous rédigerons des politiques, mais elles ne fonctionneront pas ! Eh bien, c'est vrai, notre entreprise a déjà trop de règles, personne ne se conformera à trois douzaines de nouvelles politiques. En réalité, heureusement, nos employés ont pris la tâche de maîtriser les nouvelles règles de manière responsable et ont réussi les tests de connaissance des documents du système de gestion de la sécurité de l'information.
Idée fausse n°5.
À cette époque, nous ne pouvions pas évaluer clairement les bénéfices que nous retirerions de nos efforts. À cette époque, le nombre de demandes pour ce certificat n’était pas si important et nous avions notre client clé et le plus exigeant bien avant la certification. L'expérience a montré que nous avons réussi sans norme.
À un moment donné, nous avons réalisé que nous comblions de manière chaotique l’une ou l’autre lacune émergente en raison des exigences du client. Chaque fois, nous avons proposé de nouvelles politiques ou solutions. Et nous sommes finalement arrivés à la conclusion indépendante qu'il serait beaucoup plus facile de systématiser le processus, ce qui nous permettrait même d'économiser beaucoup de coûts de main-d'œuvre à l'avenir. La norme visait à simplifier cette tâche.
Aujourd'hui, deux ans plus tard, nous constatons une tendance croissante du nombre de demandes et d'intérêt pour cette problématique de la part de grands clients internationaux.
Décision finale.
En conclusion, nous tenons à dire que nos leaders de l'industrie ont reçu la certification ISO/IEC 27001, ce qui a obligé tous les autres grands fournisseurs (dont nous) à réfléchir à cette question. Sans aucun doute, une belle ligne dans les supports marketing de l'entreprise - sur le site Internet, sur les réseaux sociaux, dans les brochures publicitaires, etc. – peut être considéré comme un bonus agréable, mais cela vaut-il la peine de dépenser autant de ressources pour cela ? Nous avons décidé nous-mêmes que pour nous, c'était plus qu'une belle ligne et nous nous sommes impliqués dans ce projet.
Source: habr.com