Atunci când iau orice decizie importantă din punct de vedere strategic pentru companie, angajații trec printr-un mecanism de apărare de bază, bine cunoscut sub numele de cele 5 etape de răspuns la schimbare (de E. Kübler-Ross). Un eminent psiholog a descris odată reacțiile emoționale, evidențiind 5 etape cheie ale răspunsului emoțional: negare, mânie, afacere, depresiune și, în sfârșit, Adopţie. Am pregătit o serie de articole dedicate certificării ISO 27001, în care vom analiza fiecare dintre etape. Astăzi vom vorbi despre prima dintre ele – negarea.
Obținerea unui certificat ISO 27001 „pentru spectacol” este o plăcere foarte dubioasă, deoarece necesită o pregătire lungă și costisitoare. Mai mult, așa cum arată , acest standard este extrem de nepopular în Federația Rusă: până în prezent, doar 70 de companii au fost certificate pentru conformitate. În același timp, acesta este unul dintre cele mai populare standarde în străinătate, răspunzând cerințelor tot mai mari ale afacerilor în domeniul securității informațiilor.
Compania noastra ofera o gama completa de servicii de outsourcing pentru functii contabile: contabilitate si contabilitate fiscala, salarizare si administrare personal. Ocupăm una dintre pozițiile de lider pe piață, în special datorită faptului că companiile străine cu filiale în Rusia ne au încredere în informațiile lor confidențiale. Acest lucru se aplică nu numai proceselor financiare ale clienților noștri, ci și datelor personale cu care lucrăm zilnic. În acest sens, problema securității informațiilor este una dintre prioritățile noastre.
Adesea, toate procesele de afaceri ale diviziilor ruse sunt controlate și declarate de sediile centrale ale companiilor străine și, prin urmare, trebuie să respecte standardele interne ale grupului. Recent, unii dintre clienții noștri cheie au început să-și revizuiască politicile de securitate în direcția înăspririi acestora. Desigur, acest lucru se datorează tendințelor globale în ceea ce privește numărul tot mai mare de atacuri cibernetice și pierderi asociate incidentelor de încălcare a securității informațiilor Dacă este necesar să se implementeze măsuri de protecție, politici și proceduri care vizează creșterea securității informațiilor companiei, puteți face fără ISO. Certificare /IEC 27001, economisind astfel o mulțime de bani, timp și nervi.
Astăzi, cerințele pentru securitatea informațiilor existente în companie au început să apară în licitațiile clienților străini. Unii, pentru a-și simplifica verificarea și a unifica abordarea, stabilesc un criteriu de evaluare obligatoriu - prezența certificării ISO/IEC 27001.
Iată ce am văzut: Unul dintre clienții noștri cheie internaționali certificați conform acestui standard pare să-și fi consolidat în mod semnificativ echipa globală de securitate a informațiilor. De unde am aflat despre asta? Ei au decis să ne auditeze sistemul de management al securității informațiilor, deoarece le oferim servicii de contabilitate și de administrare a personalului - și, în consecință, securitatea sistemelor noastre informaționale este extrem de importantă pentru ei. Auditul anterior a avut loc acum 3 ani - la acea dată totul a decurs destul de nedureros.
De data aceasta, o echipă prietenoasă de indieni ne-a atacat, descoperind cu îndemânare câteva zeci de deficiențe în sistemul nostru de management al securității. Procesul de audit semăna cu roata Samsarei - părea că, în principiu, nu aveau nici un scop de a ajunge la vreun punct final ca parte a auditului. A fost un șir nesfârșit de întrebări, comentarii, comentariile noastre și dovezi ale realității lor, teleconferințe și conversații filozofice lungi în încercarea de a recunoaște accentul echipei de securitate IT a clientului. Apropo, auditul continuă cu diferite grade de intensitate până astăzi - de-a lungul timpului, ne-am împăcat cu acest lucru. Astfel, nevoia de certificare a apărut de la sine.
Poate ne descurcăm cu ISO 9001?
Toți cei care sunt mai mult sau mai puțin pricepuți în problema certificării conform oricăruia dintre standardele ISO înțelege că baza pentru fiecare dintre ele este certificatul ISO 9001 „Sistem de management al calității”. Acesta este poate cel mai popular certificat în prezent din întreaga linie de standarde ISO. Nu l-am avut - și am decis să nu-l primim. Au existat mai multe motive pentru aceasta:
- eficiența economică discutabilă a companiei care deține acest certificat;
- procesele noastre interne, în cea mai mare parte, erau deja aproape de acest standard;
- Obținerea acestui certificat ar necesita timp și bani suplimentari.
În consecință, am decis să implementăm imediat ISO 27001, fără a începe cu 9001 „mai ușor”.
Sau poate că încă nu este necesar?
Privind în perspectivă, am revenit de multe ori la întrebarea dacă este indicat să-l obținem. Am început să studiem problema din toate părțile, pentru că nu aveam absolut nicio expertiză. Și iată care sunt concepțiile greșite care ne-au făcut să ne gândim încă o dată la această problemă.
Concepție greșită #1.
Am sperat că standardul ne va oferi o listă detaliată, o listă de politici și alte documente statutare. În realitate, s-a dovedit că ISO/IEC 27001 este un set de cerințe pentru sistemul de management al securității informațiilor în sine și procesul care se construiește. Pe baza acestora, a fost necesar să decidem în mod independent ce să scriem/implementam în compania noastră pentru a respecta cerințele standardului.
Concepție greșită #2.
Am crezut sincer că ar fi suficient să studiem un document și să-l implementăm singuri într-un timp relativ scurt. În realitate, citind documentul, ne-am dat seama de câte standarde conexe de care „se agăță” standardul nostru, de câte standarde trebuie să ne familiarizăm (cel puțin superficial). „Cireasa” de pe tort a fost lipsa textelor standardelor actuale din domeniul public - acestea trebuiau achiziționate de pe site-ul oficial ISO.
Concepție greșită #3.
Eram încrezători că vom găsi tot ce avem nevoie pentru a ne pregăti pentru certificare în surse deschise. Într-adevăr, existau destul de multe materiale despre ISO 27001 pe Internet, dar erau destul de lipsite de detalii. Practic, nu existau instrucțiuni pas cu pas ușor de înțeles pentru pregătirea pentru certificare, precum și cazuri reale de companii care au implementat acest standard.
Concepție greșită #4.
Vom scrie politici, dar nu vor funcționa! Ei bine, este adevărat, compania noastră are deja prea multe reguli, nimeni nu va respecta alte 3 duzini de politici noi. În realitate, din fericire, angajații noștri și-au asumat sarcina de a stăpâni cu responsabilitate noile reguli și au trecut cu succes testele de cunoaștere a documentelor sistemului de management al securității informațiilor.
Concepție greșită #5.
La acel moment, nu am putut evalua clar ce beneficii vom obține din eforturile noastre. La acea vreme, numărul de solicitări pentru acest certificat nu era atât de mare, iar noi aveam cheia și cel mai pretențios client cu mult înainte de certificare. Experiența a arătat că ne-am descurcat fără un standard.
La un moment dat, ne-am dat seama că închidem haotic unul sau altul decalaj emergent din cauza cerințelor clientului. De fiecare dată am venit cu niște politici sau soluții noi. Și în cele din urmă am ajuns independent la concluzia că ar fi mult mai ușor să sistematizăm procesul, ceea ce ne-ar economisi chiar și multe costuri cu forța de muncă în viitor. Standardul a fost menit să simplifice această sarcină.
Acum, doi ani mai târziu, observăm o tendință de creștere a numărului de solicitări și interes pentru această problemă din partea clienților importanți internaționali.
Decizia finala.
În concluzie, am dori să spunem că liderii noștri din industrie au primit certificarea ISO/IEC 27001, care i-a forțat pe toți ceilalți furnizori importanți (inclusiv pe noi) să se gândească la această problemă. Fără îndoială, o linie frumoasă în materialele de marketing ale companiei - pe site-ul web, pe rețelele sociale, în broșurile publicitare etc. – poate fi considerat un bonus plăcut, dar merită să cheltuiești atâtea resurse pentru asta? Am decis singuri că pentru noi aceasta este mai mult decât o linie frumoasă și ne-am implicat în acest proiect.
Sursa: www.habr.com