Ao tomar calquera decisión estratexicamente importante para a empresa, os empregados pasan por un mecanismo de defensa básico, coñecido como as 5 etapas de resposta ao cambio (por E. Kübler-Ross). Un psicólogo eminente describiu unha vez as reaccións emocionais, destacando 5 etapas clave da resposta emocional: negación, rabia, negociar, depresión e finalmente Adopción. Elaboramos unha serie de artigos dedicados á certificación ISO 27001, onde analizaremos cada unha das etapas. Hoxe falaremos do primeiro deles: a negación.
A obtención dun certificado ISO 27001 "para espectáculo" é un pracer moi dubidoso, porque require unha preparación longa e cara. Ademais, como mostra , este estándar é moi impopular na Federación Rusa: ata a data, só 70 empresas foron certificadas para o seu cumprimento. Ao mesmo tempo, este é un dos estándares máis populares no estranxeiro, atendendo ás crecentes demandas das empresas no campo da seguridade da información.
A nosa empresa ofrece unha gama completa de servizos de outsourcing para funcións contables: contabilidade contable e fiscal, nóminas e administración de persoal. Ocupamos unha das posicións líderes no mercado, en particular debido ao feito de que as empresas estranxeiras con sucursais en Rusia confían en nós a súa información confidencial. Isto aplícase non só aos procesos financeiros dos nosos clientes, senón tamén aos datos persoais cos que traballamos a diario. Neste sentido, o tema da seguridade da información é unha das nosas prioridades.
A miúdo, todos os procesos comerciais das divisións rusas están controlados e declarados polas sedes das empresas estranxeiras e, polo tanto, deben cumprir os estándares internos do grupo. Recentemente, algúns dos nosos clientes principais comezaron a revisar as súas políticas de seguridade para reforzalas. Por suposto, isto débese ás tendencias globais no crecente número de ciberataques e perdas asociadas a incidentes de violación da seguridade da información.Se é necesario implementar medidas de protección, políticas e procedementos destinados a aumentar a seguridade da información da empresa, pode prescindir da ISO. Certificación /IEC 27001, aforrando así moito diñeiro, tempo e nervios.
Hoxe, os requisitos para a seguridade da información existente na empresa comezaron a aparecer nas licitacións de clientes estranxeiros. Algúns, para simplificar a súa verificación e unificar o enfoque, establecen un criterio de avaliación obrigatorio: a presenza da certificación ISO/IEC 27001.
Isto é o que vimos: un dos nosos principais clientes internacionais certificados con este estándar parece que reforzou significativamente o seu equipo global de seguridade da información. Como soubemos isto? Decidiron auditar o noso sistema de xestión da seguridade da información, porque lles proporcionamos servizos de contabilidade e administración de persoal e, en consecuencia, a seguridade dos nosos sistemas de información é fundamental para eles. A auditoría anterior tivo lugar hai 3 anos; esa vez, todo foi sen dor.
Esta vez, un equipo amigable de indios atacounos, descubrindo con habilidade varias ducias de deficiencias no noso sistema de xestión de seguridade. O proceso de auditoría semellaba á roda de Samsara: parecía que en principio non tiñan como obxectivo chegar a ningún punto final como parte da auditoría. Foi unha serie interminable de preguntas, comentarios, os nosos comentarios e probas da súa realidade, conferencias telefónicas e longas conversacións filosóficas para tentar recoñecer o acento do equipo de seguridade informática do cliente. Por certo, a auditoría continúa con diferentes graos de intensidade ata hoxe; co paso do tempo, asumimos isto. Así, a necesidade de certificación xurdiu por si mesma.
Quizais poidamos conformarnos coa ISO 9001?
Todos os que teñan máis ou menos coñecemento na cuestión da certificación segundo algunha das normas ISO entenden que a base de cada unha delas é o certificado ISO 9001 “Sistema de Xestión da Calidade”. Este é quizais o certificado máis popular actualmente en toda a liña de normas ISO. Non o tiñamos, e decidimos non conseguilo. Houbo varias razóns para iso:
- a dubidosa eficiencia económica da empresa que teña este certificado;
- os nosos procesos internos, na súa maior parte, xa estaban próximos a este estándar;
- A obtención deste certificado requiriría tempo e diñeiro adicional.
En consecuencia, decidimos implementar de inmediato a ISO 27001, sen comezar coa 9001 "máis lixeira".
Ou quizais aínda non é necesario?
De cara ao futuro, volvemos moitas veces á cuestión de se é conveniente conseguilo. Comezamos a estudar o tema desde todos os lados, porque non tiñamos absolutamente ningunha experiencia. E aquí están os equívocos que nos fixeron pensar unha vez máis sobre esta cuestión.
Equívoco #1.
Agardabamos que a norma nos proporcionase unha lista de verificación detallada, unha lista de políticas e outros documentos legais. En realidade, resultou que a ISO/IEC 27001 é un conxunto de requisitos para o propio sistema de xestión da seguridade da información e o proceso que se está a construír. En base a eles, foi necesario decidir de forma independente que escribir/implementar na nosa empresa para cumprir cos requisitos da norma.
Equívoco #2.
Cremos sinceramente que sería suficiente para nós estudar un documento e implementalo nun tempo relativamente curto pola nosa conta. En realidade, ao ler o documento, decatámonos de cantos estándares relacionados se "aferra" o noso estándar, de cantos estándares debemos familiarizarnos (polo menos superficialmente). A "cereixa" do bolo foi a falta de textos de normas actuais no dominio público: debían mercarse no sitio web oficial da ISO.
Equívoco #3.
Estabamos seguros de que atopariamos todo o necesario para preparar a certificación en fontes abertas. De feito, había bastantes materiais sobre ISO 27001 en Internet, pero carecían de detalles específicos. Practicamente non había instrucións paso a paso fáciles de entender para preparar a certificación, así como casos reais de empresas que implementaran esta norma.
Equívoco #4.
Escribiremos políticas, pero non funcionarán! Ben, é certo, a nosa empresa xa ten demasiadas regras, ninguén cumprirá outras 3 ducias de novas políticas. En realidade, afortunadamente, os nosos empregados asumiron a tarefa de dominar as novas regras de forma responsable e superaron con éxito as probas de coñecemento dos documentos do sistema de xestión da seguridade da información.
Equívoco #5.
Nese momento, non podíamos avaliar con claridade que beneficios obteriamos dos nosos esforzos. Nese momento, o número de solicitudes deste certificado non era tan grande, e tiñamos a nosa chave e cliente máis esixente moito antes da certificación. A experiencia demostrou que conseguimos sen un estándar.
Nalgún momento, decatámonos de que estabamos pechando caóticamente unha ou outra brecha emerxente debido aos requisitos do cliente. Cada vez vimos con algunhas políticas ou solucións novas. E finalmente de xeito independente chegamos á conclusión de que sería moito máis doado sistematizar o proceso, o que incluso nos aforraría moitos custos laborais no futuro. A norma pretendía simplificar esta tarefa.
Agora, dous anos despois, observamos unha tendencia crecente no número de solicitudes e interese por este tema por parte dos principais clientes internacionais.
Decisión final.
En conclusión, queremos dicir que os nosos líderes da industria recibiron a certificación ISO/IEC 27001, o que obrigou a todos os demais provedores importantes (incluídos nós) a pensar neste problema. Sen dúbida, unha fermosa liña nos materiais de marketing da empresa: no sitio web, nas redes sociais, en folletos publicitarios, etc. – pode considerarse unha bonificación agradable, pero paga a pena gastar tantos recursos para iso? Decidimos por nós mesmos que para nós isto é algo máis que unha fermosa liña, e implicámonos neste proxecto.
Fonte: www.habr.com