Bij het nemen van een strategisch belangrijke beslissing voor het bedrijf doorlopen medewerkers een basisverdedigingsmechanisme, bekend als de 5 fasen van reageren op verandering (door E. Kübler-Ross). Een eminente psycholoog beschreef ooit emotionele reacties, waarbij hij de vijf belangrijkste stadia van emotionele reacties benadrukte: ontkenning, toorn, koopje, депрессия и, наконец, Adoptie. We hebben een reeks artikelen opgesteld die gewijd zijn aan de ISO 27001-certificering, waarin we elk van de fasen zullen bekijken. Vandaag zullen we het hebben over de eerste daarvan: ontkenning.
Het verkrijgen van een ISO 27001-certificaat “voor de show” is een zeer twijfelachtig genoegen, omdat het een lange en dure voorbereiding vergt. Bovendien, zoals blijkt is deze norm uiterst impopulair in de Russische Federatie: tot nu toe zijn slechts 70 bedrijven gecertificeerd voor naleving. Tegelijkertijd is dit een van de meest populaire standaarden in het buitenland, die voldoet aan de groeiende eisen van het bedrijfsleven op het gebied van informatiebeveiliging.
Ons bedrijf biedt een volledig scala aan outsourcingdiensten voor boekhoudkundige functies: boekhouding en belastingadministratie, loonadministratie en personeelsadministratie. Wij bekleden een van de leidende marktposities, vooral vanwege het feit dat buitenlandse bedrijven met vestigingen in Rusland ons hun vertrouwelijke informatie toevertrouwen. Dit geldt niet alleen voor de financiële processen van onze klanten, maar ook voor de persoonsgegevens waarmee wij dagelijks werken. In dit opzicht is de kwestie van informatiebeveiliging een van onze prioriteiten.
Vaak worden alle bedrijfsprocessen van Russische divisies gecontroleerd en verklaard door de hoofdkantoren van buitenlandse bedrijven, en daarom moeten ze voldoen aan interne groepsbrede normen. Onlangs zijn enkele van onze belangrijkste klanten begonnen hun beveiligingsbeleid te herzien in de richting van aanscherping ervan. Dit is uiteraard te wijten aan de wereldwijde trends in het groeiende aantal cyberaanvallen en verliezen die verband houden met incidenten met inbreuken op de informatiebeveiliging. Als het nodig is om beschermingsmaatregelen, beleid en procedures te implementeren die gericht zijn op het vergroten van de informatiebeveiliging van het bedrijf, kunt u zonder ISO /IEC 27001-certificering, waardoor veel geld, tijd en zenuwen worden bespaard.
Tegenwoordig verschijnen er eisen aan de bestaande informatiebeveiliging in het bedrijf in aanbestedingen van buitenlandse klanten. Sommigen stellen, om hun verificatie te vereenvoudigen en de aanpak te verenigen, een verplicht evaluatiecriterium vast: de aanwezigheid van ISO/IEC 27001-certificering.
Dit is wat we hebben gezien: Een van onze belangrijkste internationale klanten die volgens deze norm is gecertificeerd, lijkt zijn wereldwijde informatiebeveiligingsteam aanzienlijk te hebben versterkt. Hoe wisten wij hiervan? Ze besloten ons informatiebeveiligingsbeheersysteem te auditeren, omdat we hen boekhouddiensten en personeelsadministratie leveren - en daarom is de veiligheid van onze informatiesystemen voor hen van cruciaal belang. De vorige audit vond 3 jaar geleden plaats, toen verliep alles vrij pijnloos.
Deze keer viel een bevriend team van Indiërs ons aan, waarbij ze behendig enkele tientallen tekortkomingen in ons beveiligingsbeheersysteem aan het licht brachten. Het auditproces leek op het stuur van Samsara; het leek erop dat ze in principe geen doel hadden om een eindpunt te bereiken als onderdeel van de audit. Het was een eindeloze reeks vragen, opmerkingen, onze opmerkingen en bewijs van hun realiteit, telefonische vergaderingen en langdurige filosofische gesprekken in pogingen om het accent van het IT-beveiligingsteam van de klant te herkennen. Overigens gaat de audit tot op de dag van vandaag met wisselende intensiteit door - in de loop van de tijd zijn we hiermee in het reine gekomen. De behoefte aan certificering is dus vanzelf ontstaan.
Misschien kunnen we volstaan met ISO 9001?
Iedereen die min of meer verstand heeft van certificering volgens een van de ISO-normen, begrijpt dat de basis voor elk van deze normen het ISO 9001 “Quality Management System”-certificaat is. Dit is momenteel misschien wel het meest populaire certificaat in de hele lijn van ISO-normen. We hadden het niet - en we besloten het niet te krijgen. Hiervoor waren verschillende redenen:
- de twijfelachtige economische efficiëntie van het bedrijf met dit certificaat;
- onze interne processen lagen voor het grootste deel al dicht bij deze norm;
- Het verkrijgen van dit certificaat zou extra tijd en geld vergen.
Daarom hebben we besloten om ISO 27001 onmiddellijk te implementeren, zonder te beginnen met de “lichtere” 9001.
Of is het misschien nog steeds niet nodig?
Vooruitkijkend zijn we vaak teruggekomen op de vraag of het raadzaam is om het te verkrijgen. We begonnen de kwestie van alle kanten te bestuderen, omdat we absoluut geen expertise hadden. En hier zijn de misvattingen die ons opnieuw over deze kwestie hebben doen nadenken.
Misvatting #1.
We hoopten dat de standaard ons een gedetailleerde checklist, een lijst met beleid en andere wettelijke documenten zou opleveren. In werkelijkheid bleek dat ISO/IEC 27001 een reeks eisen is voor het informatiebeveiligingsmanagementsysteem zelf en het proces dat wordt gebouwd. Op basis daarvan was het noodzakelijk om zelfstandig te beslissen wat we in ons bedrijf moesten schrijven/implementeren om aan de eisen van de standaard te voldoen.
Misvatting #2.
We geloofden oprecht dat het voor ons voldoende zou zijn om één document te bestuderen en het in relatief korte tijd zelf te implementeren. Tijdens het lezen van het document realiseerden we ons in werkelijkheid aan hoeveel gerelateerde standaarden onze standaard ‘vasthoudt’, met hoeveel standaarden we vertrouwd moeten raken (althans oppervlakkig). De kers op de taart was het ontbreken van actuele standaardteksten in het publieke domein - deze moesten worden gekocht op de officiële ISO-website.
Misvatting #3.
We hadden er alle vertrouwen in dat we alles zouden vinden wat we nodig hadden om ons voor te bereiden op certificering in open source. Er was inderdaad heel veel materiaal over ISO 27001 op internet te vinden, maar het ontbrak nogal aan details. Er waren vrijwel geen eenvoudig te begrijpen stapsgewijze instructies voor de voorbereiding op certificering, evenals echte voorbeelden van bedrijven die deze standaard hadden geïmplementeerd.
Misvatting #4.
Wij zullen beleid schrijven, maar dat zal niet werken! Nou, het is waar, ons bedrijf heeft al te veel regels, niemand zal nog eens dertig nieuwe beleidsregels naleven. In werkelijkheid hebben onze medewerkers gelukkig de taak op zich genomen om de nieuwe regels op een verantwoorde manier onder de knie te krijgen en zijn ze met succes geslaagd voor de tests op kennis van informatiebeveiligingsbeheersysteemdocumenten.
Misvatting #5.
Destijds konden we niet duidelijk inschatten welke voordelen onze inspanningen zouden opleveren. Destijds was het aantal aanvragen voor dit certificaat niet zo groot en hadden we onze belangrijkste en meest veeleisende klant al lang vóór de certificering. De ervaring leert dat we het zonder standaard redden.
Op een gegeven moment realiseerden we ons dat we chaotisch een of ander opkomend gat aan het dichten waren vanwege de eisen van de klant. Elke keer kwamen we met nieuw beleid of nieuwe oplossingen. En uiteindelijk kwamen we onafhankelijk van elkaar tot de conclusie dat het veel gemakkelijker zou zijn om het proces te systematiseren, wat ons in de toekomst zelfs veel arbeidskosten zou besparen. De standaard was bedoeld om deze taak te vereenvoudigen.
Nu, twee jaar later, zien we een stijgende trend in het aantal verzoeken en belangstelling voor dit onderwerp van grote internationale opdrachtgevers.
Laatste beslissing.
Concluderend zouden we willen zeggen dat onze marktleiders de ISO/IEC 27001-certificering hebben ontvangen, wat alle andere grote leveranciers (inclusief wij) heeft gedwongen om over deze kwestie na te denken. Ongetwijfeld een mooie lijn in het marketingmateriaal van het bedrijf - op de website, op sociale netwerken, in reclamebrochures, enz. – kan als een prettige bonus worden beschouwd, maar is het de moeite waard om er zoveel middelen voor uit te geven? Wij hebben voor onszelf besloten dat dit voor ons meer is dan alleen een mooie lijn en zijn bij dit project betrokken geraakt.
Bron: www.habr.com