Bármilyen, a vállalat számára stratégiailag fontos döntés meghozatalakor az alkalmazottak egy alapvető védekezési mechanizmuson mennek keresztül, amely jól ismert a változásra való reagálás 5 szakasza (E. Kübler-Ross). Egy kiváló pszichológus egyszer leírta az érzelmi reakciókat, kiemelve az érzelmi reakció 5 fő szakaszát: tagadás, harag, alku, depresszió és végül, Örökbefogadás. Cikksorozatot készítettünk az ISO 27001 tanúsításnak szentelve, ahol áttekintjük az egyes szakaszokat. Ma ezek közül az elsőről – a tagadásról – fogunk beszélni.
Az ISO 27001 „kiállításra” tanúsítvány megszerzése nagyon kétes öröm, mert hosszú és költséges előkészületet igényel. Sőt, ahogy az látszik is , ez a szabvány rendkívül népszerűtlen az Orosz Föderációban: a mai napig csak 70 vállalat kapott megfelelőségi tanúsítványt. Ugyanakkor ez az egyik legnépszerűbb szabvány külföldön, amely megfelel az üzleti élet növekvő információbiztonsági igényeinek.
Cégünk teljes körű outsourcing szolgáltatást nyújt számviteli feladatokhoz: számvitel és adószámfejtés, bérszámfejtés és személyi ügyintézés. Az egyik vezető piaci pozíciót foglaljuk el, különösen amiatt, hogy az oroszországi fiókteleppel rendelkező külföldi cégek bizalmas információikat ránk bízzák. Ez nem csak ügyfeleink pénzügyi folyamataira vonatkozik, hanem azokra a személyes adatokra is, amelyekkel napi szinten dolgozunk. E tekintetben az információbiztonság kérdése az egyik prioritásunk.
Az orosz részlegek minden üzleti folyamatát gyakran külföldi vállalatok központi irodái ellenőrzik és deklarálják, ezért meg kell felelniük a belső csoportszintű szabványoknak. A közelmúltban néhány kulcsfontosságú ügyfelünk elkezdte felülvizsgálni biztonsági szabályzatát a szigorítás irányába. Ennek oka természetesen a globális trendek a növekvő számú kibertámadások és az információbiztonsági incidensekkel összefüggő veszteségek terén.Ha szükséges a vállalat információbiztonságának növelését célzó védelmi intézkedések, irányelvek és eljárások bevezetése, akkor ISO nélkül is meg lehet tenni /IEC 27001 tanúsítás, így rengeteg pénzt, időt és idegeket takarít meg.
Mára a vállalatnál meglévő információbiztonsági követelmények megjelennek a külföldi ügyfelek pályázataiban. Néhányan az ellenőrzés egyszerűsítése és a megközelítés egységesítése érdekében kötelező értékelési kritériumot határoznak meg - az ISO/IEC 27001 tanúsítvány meglétét.
Íme, amit láttunk: Az egyik kulcsfontosságú nemzetközi ügyfelünk, aki e szabvány szerint tanúsított, úgy tűnik, jelentősen megerősítette globális információbiztonsági csapatát. Honnan tudtunk erről? Azért döntöttek információbiztonsági irányítási rendszerünk auditálása mellett, mert számviteli szolgáltatást és személyi adminisztrációt biztosítunk számukra – ennek megfelelően információs rendszereink biztonsága kiemelten fontos számukra. Az előző auditra 3 éve került sor - akkor minden egészen fájdalommentesen ment.
Ezúttal egy barátságos indiai csapat támadt meg minket, ügyesen feltárva több tucat hiányosságot a biztonsági rendszerünkben. Az ellenőrzési folyamat a Samsara kerekére hasonlított – úgy tűnt, elvileg nem volt céljuk, hogy az audit részeként valamilyen végső pontot elérjenek. Kérdések, megjegyzések, észrevételeink és valóságuk bizonyítékai, konferenciahívások és hosszadalmas filozófiai beszélgetések végtelen sora volt, hogy felismerjük az ügyfél IT-biztonsági csapatának akcentusát. Az ellenőrzés egyébként a mai napig változó intenzitással folytatódik - az idők során már meg is békültünk. Így önmagában felmerült a tanúsítás igénye.
Talán beérjük az ISO 9001-gyel?
Mindenki, aki többé-kevésbé jártas az ISO szabványok valamelyike szerinti tanúsítás kiadásában, megérti, hogy mindegyik alapja az ISO 9001 „Minőségirányítási rendszer” tanúsítvány. Ez jelenleg talán a legnépszerűbb tanúsítvány az ISO szabványok teljes sorában. Nekünk nem volt – és úgy döntöttünk, hogy nem kapjuk meg. Ennek több oka is volt:
- az ezzel a tanúsítvánnyal rendelkező társaság megkérdőjelezhető gazdasági hatékonysága;
- belső folyamataink nagyrészt már közel álltak ehhez a színvonalhoz;
- Ennek a tanúsítványnak a megszerzése több időt és pénzt igényel.
Ennek megfelelően úgy döntöttünk, hogy azonnal bevezetjük az ISO 27001-et anélkül, hogy a „könnyebb” 9001-gyel kezdenénk.
Vagy talán még mindig nem szükséges?
Előretekintve sokszor visszatértünk ahhoz a kérdéshez, hogy célszerű-e beszerezni. Elkezdtük tanulmányozni a kérdést minden oldalról, mert egyáltalán nem volt hozzáértésünk. És itt vannak azok a tévhitek, amelyek miatt ismét elgondolkodtunk ezen a kérdésen.
Tévhit #1.
Reméltük, hogy a szabvány részletes ellenőrző listát, irányelvek listáját és egyéb jogszabályi dokumentumokat tartalmaz majd. A valóságban kiderült, hogy az ISO/IEC 27001 magára az információbiztonsági irányítási rendszerre és a kiépülő folyamatra vonatkozó követelményrendszer. Ezek alapján önállóan kellett eldönteni, hogy mit írjunk/beépítsünk cégünkben, hogy megfeleljünk a szabvány követelményeinek.
Tévhit #2.
Őszintén hittük, hogy elég lesz egy dokumentumot áttanulmányozni és viszonylag rövid időn belül önállóan megvalósítani. A valóságban a dokumentum olvasása közben rájöttünk, hogy szabványunk mennyi kapcsolódó szabványhoz „kapaszkodik”, hány szabványt kell megismernünk (legalábbis felületesen). A „cseresznye” a tortán az volt, hogy nem voltak nyilvánosan elérhető szabványszövegek – ezeket az ISO hivatalos webhelyén kellett megvásárolni.
Tévhit #3.
Bíztunk benne, hogy mindent megtalálunk, ami a nyílt forráskódú tanúsításra való felkészüléshez szükséges. Az ISO 27001-ről valóban elég sok anyag volt az interneten, de ezek eléggé hiányoztak a konkrétumokból. Gyakorlatilag nem voltak könnyen érthető, lépésről-lépésre szóló utasítások a tanúsításra való felkészüléshez, valamint valós esetek a szabványt alkalmazó vállalatokról.
Tévhit #4.
Szabályzatot fogunk írni, de nem fognak működni! Nos, igaz, cégünknek már túl sok szabálya van, senki sem fog betartani további 3 tucat új szabályzatot. A valóságban szerencsére munkatársaink felelősségteljesen vállalták az új szabályok elsajátítását, és sikeresen letették az információbiztonsági irányítási rendszer dokumentumainak ismerete vizsgát.
Tévhit #5.
Ekkor még nem tudtuk egyértelműen felmérni, hogy erőfeszítéseinkből milyen előnyök származnak majd. Ekkor még nem volt olyan nagy a kérelmek száma erre a tanúsítványra, és már jóval a tanúsítás előtt megvolt a legfontosabb és legigényesebb ügyfelünk. A tapasztalatok azt mutatják, hogy szabvány nélkül is megbirkóztunk.
Egy ponton rájöttünk, hogy az ügyfél igényei miatt kaotikusan zárjuk be az egyik vagy másik kialakuló rést. Minden alkalommal új irányelvekkel vagy megoldásokkal álltunk elő. És végül önállóan arra a következtetésre jutottunk, hogy sokkal egyszerűbb lenne rendszerezni a folyamatot, amivel akár rengeteg munkaerőköltséget is megspórolnánk a jövőben. A szabvány célja ennek a feladatnak az egyszerűsítése volt.
Most, két évvel később növekvő tendenciát látunk a nagy nemzetközi ügyfelektől érkező kérések és érdeklődés számában.
Végső döntés.
Végezetül szeretném elmondani, hogy iparági vezetőink megkapták az ISO/IEC 27001 tanúsítványt, ami minden nagyobb szolgáltatót (köztük minket is) arra késztetett, hogy elgondolkodjanak ezen a témán. Kétségtelenül egy gyönyörű sor a cég marketinganyagaiban - a webhelyen, a közösségi hálózatokon, a reklámfüzetekben stb. – kellemes bónusznak tekinthető, de megéri ennyi erőforrást költeni rá? Úgy döntöttünk, hogy számunkra ez több, mint egy szép vonal, és mi is bekapcsolódtunk ebbe a projektbe.
Forrás: will.com