Podejmując jakąkolwiek strategicznie ważną dla firmy decyzję, pracownicy przechodzą przez podstawowy mechanizm obronny, zwany 5 etapami reagowania na zmianę (wg E. Kübler-Ross). Wybitny psycholog opisał kiedyś reakcje emocjonalne, podkreślając 5 kluczowych etapów reakcji emocjonalnej: zaprzeczenie, gniew, okazja, depresja i wreszcie Przyjęcie. Przygotowaliśmy cykl artykułów poświęconych certyfikacji ISO 27001, w których przyjrzymy się każdemu z etapów. Dziś porozmawiamy o pierwszym z nich – zaprzeczeniu.
Uzyskanie certyfikatu ISO 27001 „na pokaz” jest przyjemnością bardzo wątpliwą, gdyż wymaga długich i kosztownych przygotowań. Co więcej, jak widać , standard ten jest wyjątkowo niepopularny w Federacji Rosyjskiej: dotychczas tylko 70 firm uzyskało certyfikat zgodności. Jednocześnie jest to jeden z najpopularniejszych standardów za granicą, spełniający rosnące wymagania biznesu w zakresie bezpieczeństwa informacji.
Nasza firma świadczy pełen zakres usług outsourcingowych w zakresie funkcji księgowych: księgowość i podatkowa, kadrowo-płacowa. Zajmujemy jedną z wiodących pozycji na rynku, w szczególności ze względu na fakt, że zagraniczne firmy posiadające oddziały w Rosji powierzają nam swoje poufne informacje. Dotyczy to nie tylko procesów finansowych naszych klientów, ale także danych osobowych, z którymi pracujemy na co dzień. W tym kontekście kwestia bezpieczeństwa informacji jest jednym z naszych priorytetów.
Często wszystkie procesy biznesowe oddziałów rosyjskich są kontrolowane i deklarowane przez centrale spółek zagranicznych, dlatego muszą być zgodne z wewnętrznymi standardami całej grupy. W ostatnim czasie część naszych kluczowych klientów zaczęła rewidować swoje polityki bezpieczeństwa w kierunku ich zaostrzenia. Jest to oczywiście spowodowane światowymi trendami rosnącej liczby cyberataków i strat związanych z incydentami naruszenia bezpieczeństwa informacji.W przypadku konieczności wdrożenia środków ochrony, polityk i procedur mających na celu zwiększenie bezpieczeństwa informacji firmy, można obejść się bez ISO /IEC 27001, oszczędzając w ten sposób mnóstwo pieniędzy, czasu i nerwów.
Dziś wymagania dotyczące istniejącego bezpieczeństwa informacji w firmie zaczęły pojawiać się w przetargach od klientów zagranicznych. Niektóre, aby uprościć ich weryfikację i ujednolicić podejście, ustalają obowiązkowe kryterium oceny – obecność certyfikatu ISO/IEC 27001.
Oto, co zaobserwowaliśmy: Wygląda na to, że jeden z naszych kluczowych międzynarodowych klientów certyfikowanych zgodnie z tym standardem znacznie wzmocnił swój globalny zespół ds. bezpieczeństwa informacji. Skąd o tym wiedzieliśmy? Zdecydowali się na audyt naszego systemu zarządzania bezpieczeństwem informacji, ponieważ świadczymy dla nich usługi księgowe i administrację personelem, a zatem bezpieczeństwo naszych systemów informatycznych jest dla nich niezwykle ważne. Poprzedni audyt odbył się 3 lata temu - wtedy wszystko przebiegło w miarę bezboleśnie.
Tym razem zaatakowała nas zaprzyjaźniona ekipa Hindusów, zręcznie odkrywając kilkadziesiąt niedociągnięć w naszym systemie zarządzania bezpieczeństwem. Proces audytu przypominał koło Samsary – wydawało się, że w zasadzie nie miały one na celu dotarcia w ramach audytu do żadnego końcowego punktu. Był to niekończący się ciąg pytań, komentarzy, naszych komentarzy i dowodów na ich prawdziwość, telekonferencje i długie filozoficzne rozmowy w celu rozpoznania akcentu zespołu ds. bezpieczeństwa IT klienta. Notabene audyt trwa z różną intensywnością do dziś – z czasem się z tym pogodziliśmy. Zatem potrzeba certyfikacji pojawiła się sama.
Może wystarczy nam ISO 9001?
Każdy mniej lub bardziej obeznany w kwestii certyfikacji według którejkolwiek z norm ISO rozumie, że podstawą każdej z nich jest certyfikat ISO 9001 „System Zarządzania Jakością”. Jest to chyba najpopularniejszy obecnie certyfikat w całej linii norm ISO. Nie mieliśmy tego i postanowiliśmy tego nie mieć. Powodów było kilka:
- wątpliwa efektywność ekonomiczna firmy posiadającej ten certyfikat;
- nasze wewnętrzne procesy w większości były już zbliżone do tego standardu;
- Uzyskanie takiego certyfikatu wymagałoby dodatkowego czasu i pieniędzy.
W związku z tym postanowiliśmy natychmiast wdrożyć normę ISO 27001, nie zaczynając od „lżejszej” normy 9001.
A może nadal nie jest to konieczne?
Patrząc w przyszłość, wielokrotnie powracaliśmy do pytania, czy wskazane jest jego uzyskanie. Zaczęliśmy badać tę kwestię ze wszystkich stron, ponieważ nie mieliśmy absolutnie żadnej wiedzy specjalistycznej. A oto błędne przekonania, które skłoniły nas do ponownego przemyślenia tej kwestii.
Błędne przekonanie nr 1.
Mieliśmy nadzieję, że standard zapewni nam szczegółową listę kontrolną, listę polityk i innych dokumentów ustawowych. W rzeczywistości okazało się, że ISO/IEC 27001 to zbiór wymagań dotyczących samego systemu zarządzania bezpieczeństwem informacji i budowanego procesu. Na ich podstawie należało samodzielnie podjąć decyzję, co napisać/wdrożyć w naszej firmie, aby spełnić wymagania normy.
Błędne przekonanie nr 2.
Szczerze wierzyliśmy, że wystarczy nam przestudiowanie jednego dokumentu i samodzielne jego wdrożenie w stosunkowo krótkim czasie. Tak naprawdę, czytając dokument, zdaliśmy sobie sprawę, do ilu powiązanych standardów „przyczepia się” nasz standard, z iloma standardami musimy się zapoznać (przynajmniej powierzchownie). „Wisienką” na torcie był brak aktualnych tekstów norm w domenie publicznej - trzeba je było kupić na oficjalnej stronie ISO.
Błędne przekonanie nr 3.
Mieliśmy pewność, że wszystko, czego potrzebujemy do przygotowania się do certyfikacji, znajdziemy w otwartych źródłach. Materiałów na temat ISO 27001 w Internecie było rzeczywiście sporo, ale brakowało w nich konkretów. Praktycznie nie było łatwych do zrozumienia instrukcji krok po kroku dotyczących przygotowania do certyfikacji, a także rzeczywistych przypadków firm, które wdrożyły ten standard.
Błędne przekonanie nr 4.
Napiszemy zasady, ale one nie zadziałają! No cóż, to prawda, nasza firma ma już za dużo zasad, nikt nie będzie się do nich stosował kolejnych 3 tuzinów nowych polityk. W rzeczywistości na szczęście nasi pracownicy odpowiedzialnie podeszli do zadania opanowania nowych zasad i pomyślnie przeszli testy sprawdzające znajomość dokumentów systemu zarządzania bezpieczeństwem informacji.
Błędne przekonanie nr 5.
Nie potrafiliśmy wtedy jeszcze jednoznacznie ocenić, jakie korzyści odniesiemy z naszych wysiłków. W tamtym czasie liczba próśb o ten certyfikat nie była jeszcze tak duża, a kluczowego i najbardziej wymagającego klienta mieliśmy już na długo przed certyfikacją. Doświadczenie pokazało, że radziliśmy sobie bez standardów.
W pewnym momencie zdaliśmy sobie sprawę, że chaotycznie zamykamy tę czy inną pojawiającą się lukę wynikającą z wymagań klienta. Za każdym razem wymyślaliśmy jakieś nowe zasady lub rozwiązania. I w końcu samodzielnie doszliśmy do wniosku, że znacznie łatwiej byłoby usystematyzować proces, co zaoszczędziłoby nam nawet sporo kosztów pracy w przyszłości. Norma miała na celu uproszczenie tego zadania.
Teraz, dwa lata później, widzimy rosnącą tendencję w liczbie zapytań i zainteresowaniu tą problematyką ze strony największych międzynarodowych klientów.
Ostateczna decyzja.
Podsumowując, chcielibyśmy powiedzieć, że nasi liderzy branży otrzymali certyfikat ISO/IEC 27001, co zmusiło wszystkich innych głównych dostawców (w tym nas) do zastanowienia się nad tą kwestią. Niewątpliwie piękny wiersz w materiałach marketingowych firmy – na stronie internetowej, w sieciach społecznościowych, w broszurach reklamowych itp. – można uznać za przyjemny bonus, ale czy warto wydawać na niego aż tyle środków? Sami zdecydowaliśmy, że dla nas to coś więcej niż tylko piękna linia i zaangażowaliśmy się w ten projekt.
Źródło: www.habr.com