Quando prendono qualsiasi decisione strategicamente importante per l'azienda, i dipendenti seguono un meccanismo di difesa di base, noto come le 5 fasi di risposta al cambiamento (di E. Kübler-Ross). Un eminente psicologo una volta descrisse le reazioni emotive, evidenziando 5 fasi chiave della risposta emotiva: negazione, rabbia, vendita all'asta, депрессия и, наконец, adozione. Abbiamo preparato una serie di articoli dedicati alla certificazione ISO 27001, in cui esamineremo ciascuna fase. Oggi parleremo del primo di essi: la negazione.
Ottenere un certificato ISO 27001 “per spettacolo” è un piacere molto dubbio, perché richiede una preparazione lunga e costosa. Inoltre, come mostra , questo standard è estremamente impopolare nella Federazione Russa: ad oggi solo 70 aziende hanno ottenuto la certificazione di conformità. Allo stesso tempo, questo è uno degli standard più apprezzati all'estero, in grado di soddisfare le crescenti esigenze delle aziende nel campo della sicurezza delle informazioni.
La nostra azienda fornisce una gamma completa di servizi in outsourcing per le funzioni contabili: contabilità e contabilità fiscale, buste paga e amministrazione del personale. Occupiamo una delle posizioni leader sul mercato, soprattutto perché le aziende straniere con filiali in Russia si affidano a noi con le loro informazioni riservate. Ciò vale non solo per i processi finanziari dei nostri clienti, ma anche per i dati personali con cui lavoriamo quotidianamente. A questo proposito, la questione della sicurezza informatica è una delle nostre priorità.
Spesso tutti i processi aziendali delle divisioni russe sono controllati e dichiarati dalle sedi centrali delle società straniere e pertanto devono rispettare gli standard interni a livello di gruppo. Recentemente, alcuni dei nostri principali clienti hanno iniziato a rivedere le proprie politiche di sicurezza per renderle più restrittive. Naturalmente, ciò è dovuto alle tendenze globali nel crescente numero di attacchi informatici e perdite associate a violazioni della sicurezza delle informazioni.Se è necessario implementare misure di protezione, politiche e procedure volte ad aumentare la sicurezza delle informazioni dell'azienda, è possibile fare a meno dell'ISO /Certificazione IEC 27001, risparmiando così molto denaro, tempo e nervi.
Oggi i requisiti per la sicurezza delle informazioni esistenti nell'azienda hanno cominciato a comparire nelle gare d'appalto di clienti stranieri. Alcuni, per semplificare la verifica e unificare l'approccio, stabiliscono un criterio di valutazione obbligatorio: la presenza della certificazione ISO/IEC 27001.
Ecco cosa abbiamo visto: uno dei nostri principali clienti internazionali certificati secondo questo standard sembra aver rafforzato in modo significativo il proprio team globale di sicurezza delle informazioni. Come lo sapevamo? Hanno deciso di verificare il nostro sistema di gestione della sicurezza delle informazioni, perché forniamo loro servizi di contabilità e amministrazione del personale e, di conseguenza, la sicurezza dei nostri sistemi informativi è di fondamentale importanza per loro. L'audit precedente è avvenuto 3 anni fa: tutto si è svolto in modo abbastanza indolore.
Questa volta, un'amichevole squadra di indiani ci ha attaccato, portando alla luce diverse dozzine di difetti nel nostro sistema di gestione della sicurezza. Il processo di audit somigliava alla ruota del Samsara: sembrava che in linea di principio non avessero l'obiettivo di raggiungere alcun punto finale nell'ambito dell'audit. È stata una serie infinita di domande, commenti, i nostri commenti e prove della loro realtà, teleconferenze e lunghe conversazioni filosofiche nel tentativo di riconoscere l’accento del team di sicurezza IT del cliente. A proposito, l'audit continua ancora oggi con vari gradi di intensità: nel tempo siamo venuti a patti con questo. Pertanto, la necessità di certificazione è sorta da sola.
Forse possiamo accontentarci della ISO 9001?
Tutti coloro che sono più o meno esperti nel rilascio della certificazione secondo uno qualsiasi degli standard ISO comprendono che la base per ciascuno di essi è il certificato ISO 9001 "Sistema di gestione della qualità". Questo è forse il certificato più popolare attualmente nell'intera linea di standard ISO. Non ce l'avevamo e abbiamo deciso di non ottenerlo. C'erano diverse ragioni per questo:
- la discutibile efficienza economica dell'azienda titolare di questo certificato;
- i nostri processi interni, per la maggior parte, erano già vicini a questo standard;
- Ottenere questo certificato richiederebbe tempo e denaro aggiuntivi.
Di conseguenza, abbiamo deciso di implementare immediatamente la ISO 27001, senza iniziare con la “più leggera” 9001.
O forse non è ancora necessario?
Guardando al futuro, siamo tornati più volte sulla questione se sia consigliabile ottenerlo. Abbiamo iniziato a studiare la questione da tutti i lati, perché non avevamo assolutamente alcuna competenza. Ed ecco le idee sbagliate che ci hanno fatto riflettere ancora una volta su questo tema.
Idea sbagliata n. 1.
Speravamo che lo standard ci fornisse una lista di controllo dettagliata, un elenco di politiche e altri documenti statutari. In realtà, si è scoperto che ISO/IEC 27001 è un insieme di requisiti per il sistema di gestione della sicurezza delle informazioni stesso e per il processo in costruzione. Sulla base di essi è stato necessario decidere autonomamente cosa scrivere/implementare nella nostra azienda per conformarsi ai requisiti della norma.
Idea sbagliata n. 2.
Credevamo sinceramente che sarebbe stato sufficiente per noi studiare un documento e implementarlo da soli in un tempo relativamente breve. In realtà, leggendo il documento, ci siamo resi conto a quante norme correlate la nostra norma “si aggrappa”, a quante norme dobbiamo familiarizzare (almeno superficialmente). La "ciliegina sulla torta" era la mancanza di testi standard attuali di dominio pubblico: dovevano essere acquistati sul sito web ufficiale dell'ISO.
Idea sbagliata n. 3.
Eravamo certi che avremmo trovato tutto ciò di cui avevamo bisogno per prepararci alla certificazione in open source. In effetti su Internet si trovavano molti materiali sulla ISO 27001, ma erano piuttosto carenti di dettagli. Non c'erano praticamente istruzioni passo passo di facile comprensione per la preparazione alla certificazione, così come casi reali di aziende che avevano implementato questo standard.
Idea sbagliata n. 4.
Scriveremo politiche, ma non funzioneranno! Beh, è vero, la nostra azienda ha già troppe regole, nessuno rispetterà altre 3 dozzine di nuove policy. In realtà, fortunatamente, i nostri dipendenti si sono assunti il compito di padroneggiare le nuove regole in modo responsabile e hanno superato con successo i test di conoscenza dei documenti del sistema di gestione della sicurezza delle informazioni.
Idea sbagliata n. 5.
A quel tempo, non potevamo valutare chiaramente quali benefici avremmo ottenuto dai nostri sforzi. A quel tempo, il numero di richieste per questo certificato non era così elevato e avevamo il nostro cliente più importante e più esigente molto prima della certificazione. L'esperienza ha dimostrato che ce la siamo cavata senza uno standard.
Ad un certo punto, ci siamo resi conto che stavamo colmando in modo caotico l’uno o l’altro divario emergente a causa delle esigenze del cliente. Ogni volta abbiamo elaborato nuove politiche o soluzioni. E alla fine siamo giunti autonomamente alla conclusione che sarebbe stato molto più semplice sistematizzare il processo, il che in futuro ci avrebbe fatto risparmiare anche molti costi di manodopera. Lo standard aveva lo scopo di semplificare questo compito.
Ora, a due anni di distanza, assistiamo ad un trend in aumento nel numero di richieste e nell’interesse per questo tema da parte di importanti clienti internazionali.
Decisione finale.
In conclusione, vorremmo dire che i nostri leader del settore hanno ricevuto la certificazione ISO/IEC 27001, che ha costretto tutti gli altri principali fornitori (incluso noi) a riflettere su questo problema. Indubbiamente, una bella linea nei materiali di marketing dell'azienda: sul sito web, sui social network, nelle brochure pubblicitarie, ecc. – può essere considerato un piacevole bonus, ma vale la pena spendere così tante risorse per ottenerlo? Abbiamo deciso da soli che per noi questa è più di una semplice linea bella e siamo stati coinvolti in questo progetto.
Fonte: habr.com