Ao tomar qualquer decisão estrategicamente importante para a empresa, os colaboradores passam por um mecanismo básico de defesa, conhecido como os 5 estágios de resposta à mudança (por E. Kübler-Ross). Um eminente psicólogo descreveu certa vez as reações emocionais, destacando 5 estágios principais da resposta emocional: negação, raiva, pechincha, depressão e finalmente aceitação. Preparamos uma série de artigos dedicados à certificação ISO 27001, onde abordaremos cada uma das etapas. Hoje falaremos sobre o primeiro deles – a negação.
Obter um certificado ISO 27001 “para exibição” é um prazer muito duvidoso, pois requer uma preparação longa e cara. Além disso, como mostra , esta norma é extremamente impopular na Federação Russa: até o momento, apenas 70 empresas foram certificadas quanto à conformidade. Ao mesmo tempo, este é um dos padrões mais populares no exterior, atendendo às crescentes demandas dos negócios na área de segurança da informação.
Nossa empresa oferece uma gama completa de serviços de terceirização para funções contábeis: contabilidade e contabilidade tributária, folha de pagamento e administração de pessoal. Ocupamos uma das posições de liderança do mercado, em particular pelo facto de empresas estrangeiras com filiais na Rússia nos confiarem as suas informações confidenciais. Isto aplica-se não apenas aos processos financeiros dos nossos clientes, mas também aos dados pessoais com os quais trabalhamos diariamente. Neste sentido, a questão da segurança da informação é uma das nossas prioridades.
Freqüentemente, todos os processos de negócios das divisões russas são controlados e declarados pelas sedes das empresas estrangeiras e, portanto, devem cumprir os padrões internos de todo o grupo. Recentemente, alguns dos nossos principais clientes começaram a rever as suas políticas de segurança no sentido de as tornar mais rigorosas. Claro, isso se deve às tendências globais no crescente número de ataques cibernéticos e perdas associadas a incidentes de violação de segurança da informação.Se for necessário implementar medidas de proteção, políticas e procedimentos que visem aumentar a segurança da informação da empresa, você pode prescindir da ISO /Certificação IEC 27001, economizando muito dinheiro, tempo e nervosismo.
Hoje, os requisitos de segurança da informação existentes na empresa começaram a aparecer em licitações de clientes estrangeiros. Alguns, para simplificar a sua verificação e unificar a abordagem, estabelecem um critério de avaliação obrigatório – a presença da certificação ISO/IEC 27001.
Eis o que vimos: Um dos nossos principais clientes internacionais certificados segundo esta norma parece ter reforçado significativamente a sua equipa global de segurança da informação. Como soubemos disso? Eles decidiram auditar o nosso sistema de gestão de segurança da informação, porque lhes prestamos serviços de contabilidade e administração de pessoal - e, consequentemente, a segurança dos nossos sistemas de informação é extremamente importante para eles. A auditoria anterior ocorreu há 3 anos - naquela época tudo correu bem.
Desta vez, uma equipa amiga de indianos atacou-nos, desenterrando habilmente várias dezenas de deficiências no nosso sistema de gestão de segurança. O processo de auditoria lembrava a roda do Samsara - parecia que, em princípio, eles não tinham o objetivo de chegar a nenhum ponto final como parte da auditoria. Foi uma sequência interminável de perguntas, comentários, comentários nossos e evidências de sua realidade, teleconferências e longas conversas filosóficas na tentativa de reconhecer o sotaque da equipe de segurança de TI do cliente. A propósito, a auditoria continua com vários graus de intensidade até hoje - com o tempo, aceitamos isso. Assim, a necessidade de certificação surgiu por si só.
Talvez possamos nos contentar com a ISO 9001?
Qualquer pessoa que tenha mais ou menos experiência na questão da certificação de acordo com qualquer uma das normas ISO entende que a base de cada uma delas é o certificado ISO 9001 “Sistema de Gestão da Qualidade”. Este é talvez o certificado mais popular atualmente em toda a linha de padrões ISO. Não o tínhamos - e decidimos não obtê-lo. Houve vários motivos para isso:
- a questionável eficiência económica da empresa detentora deste certificado;
- nossos processos internos, em sua maioria, já estavam próximos desse padrão;
- A obtenção deste certificado exigiria tempo e dinheiro adicionais.
Assim, decidimos implementar imediatamente a ISO 27001, sem começar pela “mais leve” 9001.
Ou talvez ainda não seja necessário?
Olhando para o futuro, voltamos muitas vezes à questão de saber se é aconselhável obtê-lo. Começamos a estudar o assunto por todos os lados, porque não tínhamos absolutamente nenhum conhecimento. E aqui estão os equívocos que nos fizeram pensar mais uma vez sobre esta questão.
Equívoco nº 1.
Esperávamos que a norma nos fornecesse uma lista de verificação detalhada, uma lista de políticas e outros documentos legais. Na realidade, descobriu-se que a ISO/IEC 27001 é um conjunto de requisitos para o próprio sistema de gestão de segurança da informação e para o processo que está sendo construído. Com base neles, foi necessário decidir de forma independente o que escrever/implementar em nossa empresa para atender aos requisitos da norma.
Equívoco nº 2.
Acreditávamos sinceramente que seria suficiente estudarmos um documento e implementá-lo por conta própria em um tempo relativamente curto. Na realidade, ao ler o documento, percebemos a quantos padrões relacionados o nosso padrão “se apega”, com quantos padrões precisamos nos familiarizar (pelo menos superficialmente). A “cereja” do bolo foi a falta de textos de normas atuais de domínio público - eles tiveram que ser adquiridos no site oficial da ISO.
Equívoco nº 3.
Estávamos confiantes de que encontraríamos tudo o que precisávamos para nos prepararmos para a certificação em código aberto. De fato, havia muitos materiais sobre a ISO 27001 na Internet, mas faltavam detalhes específicos. Praticamente não existiam instruções passo a passo de fácil compreensão para a preparação para a certificação, bem como casos reais de empresas que implementaram esta norma.
Equívoco nº 4.
Escreveremos políticas, mas elas não funcionarão! Bom, é verdade, nossa empresa já tem regras demais, ninguém vai cumprir mais 3 dezenas de novas políticas. Na realidade, felizmente, nossos funcionários assumiram a tarefa de dominar as novas regras com responsabilidade e passaram com sucesso nos testes de conhecimento dos documentos do sistema de gestão de segurança da informação.
Equívoco nº 5.
Naquela altura, não podíamos avaliar claramente quais os benefícios que obteríamos dos nossos esforços. Naquela época, o número de solicitações desse certificado não era tão grande e já tínhamos nosso cliente principal e mais exigente muito antes da certificação. A experiência mostrou que conseguimos sem um padrão.
Em algum momento, percebemos que estávamos fechando caoticamente uma ou outra lacuna emergente devido às necessidades do cliente. Cada vez que criamos algumas novas políticas ou soluções. E finalmente chegamos à conclusão de forma independente que seria muito mais fácil sistematizar o processo, o que até nos pouparia muitos custos de mão de obra no futuro. A norma pretendia simplificar esta tarefa.
Agora, dois anos depois, observamos uma tendência crescente no número de solicitações e no interesse por este tema por parte de grandes clientes internacionais.
Decisão final.
Concluindo, gostaríamos de dizer que os nossos líderes da indústria receberam a certificação ISO/IEC 27001, o que forçou todos os outros grandes fornecedores (incluindo nós) a pensar sobre esta questão. Sem dúvida, uma bela linha nos materiais de marketing da empresa – no site, nas redes sociais, nos folhetos publicitários, etc. – pode ser considerado um bônus agradável, mas vale a pena gastar tantos recursos para isso? Decidimos por nós mesmos que para nós isso é mais do que uma linha bonita e nos envolvemos neste projeto.
Fonte: habr.com