Pri akomkoľvek strategicky dôležitom rozhodnutí pre spoločnosť prechádzajú zamestnanci základným obranným mechanizmom, dobre známym ako 5 fáz reakcie na zmenu (od E. Kübler-Ross). Jeden významný psychológ raz opísal emocionálne reakcie, pričom zdôraznil 5 kľúčových štádií emocionálnej reakcie: popretie, hnev, zjednávať, depresie a napokon, Adopcia. Pripravili sme sériu článkov venovaných certifikácii ISO 27001, kde sa pozrieme na každú z fáz. Dnes si povieme o prvom z nich – popieraní.
Získanie certifikátu ISO 27001 „na výstavu“ je veľmi pochybné potešenie, pretože si vyžaduje dlhú a nákladnú prípravu. Navyše, ako sa ukazuje , táto norma je v Ruskej federácii mimoriadne nepopulárna: k dnešnému dňu bolo certifikovaných iba 70 spoločností, ktoré spĺňajú požiadavky. Zároveň ide o jeden z najpopulárnejších štandardov v zahraničí, spĺňajúci rastúce nároky biznisu v oblasti informačnej bezpečnosti.
Naša spoločnosť poskytuje celý rad outsourcingových služieb pre účtovné funkcie: účtovníctvo a daňové účtovníctvo, mzdovú agendu a personálnu agendu. Zastávame jednu z vedúcich pozícií na trhu, najmä vďaka tomu, že nám zahraničné spoločnosti s pobočkami v Rusku zverujú svoje dôverné informácie. To platí nielen pre finančné procesy našich klientov, ale aj pre osobné údaje, s ktorými denne pracujeme. V tomto smere je problematika informačnej bezpečnosti jednou z našich priorít.
Všetky obchodné procesy ruských divízií sú často kontrolované a deklarované centrálami zahraničných spoločností, a preto musia spĺňať interné celoskupinové štandardy. Nedávno niektorí z našich kľúčových klientov začali revidovať svoje bezpečnostné zásady smerom k ich sprísneniu. Samozrejme, je to dané celosvetovými trendmi v narastajúcom počte kybernetických útokov a strát spojených s incidentmi narušenia informačnej bezpečnosti Ak je potrebné implementovať ochranné opatrenia, politiky a postupy zamerané na zvýšenie informačnej bezpečnosti spoločnosti, vystačíte si s ISO /certifikácia IEC 27001, čím ušetríte veľa peňazí, času a nervov.
Dnes sa v tendroch od zahraničných zákazníkov začali objavovať požiadavky na existujúcu informačnú bezpečnosť v spoločnosti. Niektorí si v záujme zjednodušenia overovania a zjednotenia prístupu stanovujú povinné hodnotiace kritérium – prítomnosť certifikácie ISO/IEC 27001.
Tu je to, čo sme videli: Zdá sa, že jeden z našich kľúčových medzinárodných klientov certifikovaných podľa tohto štandardu výrazne posilnil svoj tím globálnej informačnej bezpečnosti. Ako sme sa o tom dozvedeli? Rozhodli sa pre audit nášho systému riadenia informačnej bezpečnosti, pretože im poskytujeme účtovné služby a personálnu administratívu – a preto je bezpečnosť našich informačných systémov pre nich mimoriadne dôležitá. Predošlý audit prebehol pred 3 rokmi - vtedy išlo všetko úplne bezbolestne.
Tentoraz na nás zaútočil priateľský tím Indov, ktorí šikovne odhalili niekoľko desiatok nedostatkov v našom systéme riadenia bezpečnosti. Proces auditu pripomínal koleso Samsary – zdalo sa, že v zásade nemali za cieľ dosiahnuť nejaký konečný bod v rámci auditu. Bol to nekonečný reťazec otázok, komentárov, našich komentárov a dôkazov o ich realite, konferenčných hovorov a siahodlhých filozofických rozhovorov v snahe rozpoznať akcent klienta IT bezpečnostného tímu. Mimochodom, audit pokračuje s rôznou intenzitou dodnes – časom sme sa s tým zmierili. Potreba certifikácie teda vyvstala sama osebe.
Možno si vystačíme s ISO 9001?
Každý, kto sa viac či menej orientuje v problematike certifikácie podľa niektorej z noriem ISO, chápe, že základom každej z nich je certifikát ISO 9001 „Systém manažérstva kvality“. Toto je azda najpopulárnejší certifikát v súčasnosti v celej rade noriem ISO. Nemali sme ho – a rozhodli sme sa ho nezískať. Bolo na to niekoľko dôvodov:
- pochybná ekonomická efektívnosť spoločnosti, ktorá má tento certifikát;
- naše interné procesy sa už väčšinou blížili tomuto štandardu;
- Získanie tohto certifikátu by si vyžadovalo ďalší čas a peniaze.
Preto sme sa rozhodli okamžite implementovať ISO 27001 bez toho, aby sme začali s „ľahším“ 9001.
Alebo to možno stále nie je potrebné?
Pri pohľade do budúcnosti sme sa mnohokrát vrátili k otázke, či je vhodné si ho zaobstarať. Začali sme študovať problematiku zo všetkých strán, pretože sme nemali absolútne žiadnu odbornosť. A tu sú mylné predstavy, ktoré nás prinútili ešte raz sa nad týmto problémom zamyslieť.
Mylná predstava #1.
Dúfali sme, že norma nám poskytne podrobný kontrolný zoznam, zoznam zásad a ďalšie zákonné dokumenty. V skutočnosti sa ukázalo, že ISO/IEC 27001 je súbor požiadaviek na samotný systém manažérstva informačnej bezpečnosti a budovaný proces. Na ich základe bolo potrebné samostatne rozhodnúť, čo napíšeme/zavedieme do našej spoločnosti, aby sme splnili požiadavky normy.
Mylná predstava #2.
Úprimne sme verili, že nám postačí naštudovať si jeden dokument a realizovať ho v relatívne krátkom čase svojpomocne. V skutočnosti sme si pri čítaní dokumentu uvedomili, na koľkých súvisiacich normách naša norma „lipne“, s koľkými normami sa musíme (aspoň povrchne) oboznámiť. „Čerešničkou“ na torte bol nedostatok aktuálnych štandardných textov vo verejnej doméne – bolo potrebné ich zakúpiť na oficiálnej webovej stránke ISO.
Mylná predstava #3.
Boli sme si istí, že všetko potrebné na prípravu na certifikáciu nájdeme v otvorených zdrojoch. Na internete bolo skutočne veľa materiálov o ISO 27001, ale chýbali im špecifiká. Neexistovali prakticky žiadne zrozumiteľné podrobné pokyny na prípravu na certifikáciu, ako aj reálne prípady firiem, ktoré tento štandard implementovali.
Mylná predstava #4.
Budeme písať politiky, ale nebudú fungovať! No, je to pravda, naša spoločnosť už má príliš veľa pravidiel, nikto nebude dodržiavať ďalšie 3 tucty nových pravidiel. V skutočnosti sa naši zamestnanci našťastie zhostili úlohy zvládnuť nové pravidlá zodpovedne a úspešne prešli testovaním znalosti dokumentov systému riadenia informačnej bezpečnosti.
Mylná predstava #5.
V tom čase sme nevedeli jednoznačne posúdiť, aké výhody nám naše úsilie prinesie. V tom čase nebol počet žiadostí o tento certifikát taký veľký a nášho kľúčového a najnáročnejšieho klienta sme mali dávno pred certifikáciou. Skúsenosti ukázali, že sme si poradili bez štandardky.
V určitom bode sme si uvedomili, že chaoticky uzatvárame tú či onú vznikajúcu medzeru kvôli požiadavkám klienta. Zakaždým sme prišli s nejakými novými politikami alebo riešeniami. A nakoniec sme nezávisle dospeli k záveru, že by bolo oveľa jednoduchšie systematizovať proces, čo by nám v budúcnosti dokonca ušetrilo veľa nákladov na prácu. Norma mala túto úlohu zjednodušiť.
Teraz, po dvoch rokoch, vidíme stúpajúci trend v počte žiadostí a záujmu o túto problematiku zo strany významných medzinárodných klientov.
Konečné rozhodnutie.
Na záver by sme chceli povedať, že naši lídri v odvetví získali certifikáciu ISO/IEC 27001, čo prinútilo všetkých ostatných veľkých poskytovateľov (vrátane nás) zamyslieť sa nad touto problematikou. Nepochybne krásna línia v marketingových materiáloch spoločnosti - na webovej stránke, na sociálnych sieťach, v reklamných brožúrach atď. – možno považovať za príjemný bonus, no oplatí sa naň minúť toľko prostriedkov? Sami sme sa rozhodli, že pre nás je to viac ako len krásna línia a zapojili sme sa do tohto projektu.
Zdroj: hab.com