Prilikom donošenja bilo koje strateški važne odluke za tvrtku, zaposlenici prolaze kroz osnovni obrambeni mehanizam, dobro poznat kao 5 faza odgovora na promjenu (autor: E. Kübler-Ross). Eminentni psiholog jednom je opisao emocionalne reakcije, ističući 5 ključnih faza emocionalnog odgovora: poricanje, srdžba, cjenkati se, depresija i, konačno, Posvajanje. Pripremili smo niz članaka posvećenih ISO 27001 certificiranju, gdje ćemo pogledati svaku od faza. Danas ćemo govoriti o prvom od njih – poricanju.
Dobivanje certifikata ISO 27001 "za pokazivanje" vrlo je sumnjivo zadovoljstvo, jer zahtijeva dugu i skupu pripremu. Štoviše, kako pokazuje , ovaj je standard izuzetno nepopularan u Ruskoj Federaciji: do danas je samo 70 tvrtki certificirano za sukladnost. Ujedno, ovo je jedan od najpopularnijih standarda u inozemstvu, koji zadovoljava sve veće zahtjeve poslovanja u području informacijske sigurnosti.
Naša tvrtka pruža cijeli niz vanjskih usluga za računovodstvene funkcije: računovodstvo i porezno računovodstvo, obračun plaća i administraciju osoblja. Zauzimamo jednu od vodećih pozicija na tržištu, posebice zbog činjenice da nam strane tvrtke s podružnicama u Rusiji povjeravaju svoje povjerljive informacije. To se ne odnosi samo na financijske procese naših klijenata, već i na osobne podatke s kojima radimo svakodnevno. U tom smislu pitanje informacijske sigurnosti jedan je od naših prioriteta.
Često su svi poslovni procesi ruskih odjela kontrolirani i deklarirani od strane sjedišta stranih kompanija, pa stoga moraju biti u skladu s internim standardima cijele grupe. Nedavno su neki od naših ključnih klijenata počeli revidirati svoje sigurnosne politike u smjeru njihovog pooštravanja. Naravno, to je zbog globalnih trendova sve većeg broja kibernetičkih napada i gubitaka povezanih s incidentima kršenja informacijske sigurnosti.Ako je potrebno primijeniti mjere zaštite, politike i postupke usmjerene na povećanje informacijske sigurnosti tvrtke, možete učiniti bez ISO /IEC 27001 certifikat, čime se štedi mnogo novca, vremena i živaca.
Danas su se zahtjevi za postojeću informacijsku sigurnost u tvrtki počeli pojavljivati u natječajima stranih kupaca. Neki, kako bi pojednostavili svoju provjeru i unificirali pristup, postavili su obvezni kriterij ocjenjivanja - prisutnost certifikata ISO/IEC 27001.
Evo što smo vidjeli: Čini se da je jedan od naših ključnih međunarodnih klijenata certificiran prema ovom standardu značajno ojačao svoj tim za globalnu informacijsku sigurnost. Kako smo znali za ovo? Odlučili su se na reviziju našeg sustava upravljanja informacijskom sigurnošću, jer im pružamo računovodstvene usluge i kadrovsku administraciju - pa im je, sukladno tome, sigurnost naših informacijskih sustava kritično važna. Prethodna revizija održana je prije 3 godine - tada je sve prošlo prilično bezbolno.
Ovaj put nas je napala prijateljska ekipa Indijaca, vješto otkrivši nekoliko desetaka nedostataka u našem sustavu upravljanja sigurnošću. Proces revizije nalikovao je kotaču Samsare - činilo se da u principu nemaju cilj doći do neke konačne točke u sklopu revizije. Bio je to beskonačan niz pitanja, komentara, naših komentara i dokaza njihove realnosti, konferencijskih poziva i dugotrajnih filozofskih razgovora u pokušajima prepoznavanja naglaska IT sigurnosnog tima klijenta. Inače, revizija se različitim intenzitetom nastavlja do danas - s vremenom smo se pomirili s tim. Dakle, potreba za certificiranjem se nametnula sama od sebe.
Možda se možemo zadovoljiti ISO 9001?
Svatko tko se koliko-toliko razumije u problematiku certificiranja prema bilo kojoj od ISO normi razumije da je temelj svake od njih certifikat ISO 9001 “Sustav upravljanja kvalitetom”. Ovo je možda trenutno najpopularniji certifikat u cijeloj liniji ISO standarda. Nismo ga imali – i odlučili smo da ga nećemo dobiti. Za to je bilo nekoliko razloga:
- upitna ekonomska učinkovitost tvrtke koja ima ovaj certifikat;
- naši interni procesi, većinom su već bili blizu ovog standarda;
- Dobivanje ovog certifikata zahtijevalo bi dodatno vrijeme i novac.
U skladu s tim, odlučili smo odmah implementirati ISO 27001, bez početka s "lakšim" 9001.
Ili možda još uvijek nije potrebno?
Gledajući unaprijed, mnogo smo se puta vraćali na pitanje je li ga preporučljivo nabaviti. Počeli smo proučavati problem sa svih strana, jer nismo imali apsolutno nikakvu stručnost. A evo i zabluda koje su nas natjerale da još jednom razmislimo o ovoj temi.
Zabluda #1.
Nadali smo se da će nam standard pružiti detaljan kontrolni popis, popis politika i drugih zakonskih dokumenata. U stvarnosti se pokazalo da je ISO/IEC 27001 skup zahtjeva za sam sustav upravljanja informacijskom sigurnošću i proces koji se gradi. Na temelju njih bilo je potrebno samostalno odlučiti što ćemo napisati/implementirati u našoj tvrtki kako bismo zadovoljili zahtjeve norme.
Zabluda #2.
Iskreno smo vjerovali da će nam biti dovoljno proučiti jedan dokument i sami ga implementirati u relativno kratkom vremenu. U stvarnosti, čitajući dokument, uvidjeli smo na koliko srodnih standarda naš standard “lijepi”, s koliko standarda se moramo (barem površno) upoznati. „Trešnja“ na torti bio je nedostatak aktualnih tekstova normi u javnoj domeni - morali su se kupiti na službenoj web stranici ISO-a.
Zabluda #3.
Bili smo uvjereni da ćemo pronaći sve što nam je potrebno za pripremu za certifikaciju u otvorenim izvorima. Na Internetu je doista bilo dosta materijala o ISO 27001, ali su bili nedovoljno konkretni. Praktično nije bilo lako razumljivih korak-po-korak uputa za pripremu za certifikaciju, kao ni stvarnih slučajeva tvrtki koje su implementirale ovaj standard.
Zabluda #4.
Napisat ćemo politike, ali one neće funkcionirati! Pa, istina je, naša tvrtka već ima previše pravila, nitko se neće pridržavati još 3 tuceta novih pravila. U stvarnosti, srećom, naši zaposlenici odgovorno su pristupili savladavanju novih pravila i uspješno položili testiranje poznavanja dokumenata sustava upravljanja informacijskom sigurnošću.
Zabluda #5.
U to vrijeme nismo mogli jasno procijeniti kakve ćemo koristi imati od našeg truda. U to vrijeme broj zahtjeva za ovim certifikatom nije bio tako velik, a ključnog i najzahtjevnijeg klijenta imali smo mnogo prije certifikacije. Iskustvo je pokazalo da smo uspjeli bez standarda.
U nekom smo trenutku shvatili da kaotično zatvaramo jedan ili drugi jaz koji se pojavljuje zbog zahtjeva klijenta. Svaki put smo smišljali neke nove politike ili rješenja. I konačno smo samostalno došli do zaključka da bi bilo puno lakše sistematizirati proces, što bi nam čak uštedjelo puno troškova rada u budućnosti. Standard je trebao pojednostaviti ovaj zadatak.
Sada, dvije godine kasnije, vidimo trend povećanja broja zahtjeva i interesa za ovu problematiku od strane velikih međunarodnih klijenata.
Konačna odluka.
Zaključno, želimo reći da su naši lideri u industriji dobili certifikat ISO/IEC 27001, što je natjeralo sve ostale velike pružatelje (uključujući i nas) da razmišljaju o ovom pitanju. Bez sumnje, lijepa linija u marketinškim materijalima tvrtke - na web stranici, na društvenim mrežama, u reklamnim brošurama itd. – može se smatrati ugodnim bonusom, ali vrijedi li potrošiti toliko resursa za njega? Sami smo zaključili da je za nas ovo više od obične lijepe linije i uključili smo se u ovaj projekt.
Izvor: www.habr.com