Pri sprejemanju katere koli strateško pomembne odločitve za podjetje gredo zaposleni skozi osnovni obrambni mehanizem, znan kot 5 stopenj odzivanja na spremembe (avtor E. Kübler-Ross). Ugledni psiholog je nekoč opisal čustvene reakcije in izpostavil 5 ključnih stopenj čustvenega odziva: zanikanje, jeza, kupčija, depresija in, končno, Posvojitev. Pripravili smo serijo člankov, posvečenih certificiranju ISO 27001, kjer bomo pogledali vsako od stopenj. Danes bomo govorili o prvem od njih - zanikanju.
Pridobitev certifikata ISO 27001 "za ogled" je zelo dvomljiv užitek, saj zahteva dolgo in drago pripravo. Še več, kot kaže , je ta standard v Ruski federaciji izjemno nepriljubljen: do danes je bilo le 70 podjetij certificiranih za skladnost. Hkrati je to eden najbolj priljubljenih standardov v tujini, ki izpolnjuje vse večje zahteve gospodarstva na področju informacijske varnosti.
Naše podjetje ponuja celotno paleto storitev zunanjega izvajanja računovodskih funkcij: računovodstvo in davčno računovodstvo, obračun plač in kadrovska administracija. Zavzemamo enega vodilnih položajev na trgu, predvsem zaradi dejstva, da nam tuja podjetja s podružnicami v Rusiji zaupajo svoje zaupne podatke. To ne velja le za finančne procese naših strank, ampak tudi za osebne podatke, s katerimi delamo vsakodnevno. V zvezi s tem je vprašanje informacijske varnosti ena naših prednostnih nalog.
Pogosto vse poslovne procese ruskih oddelkov nadzirajo in deklarirajo sedeži tujih podjetij, zato morajo biti v skladu z notranjimi standardi celotne skupine. V zadnjem času so nekatere naše ključne stranke začele revidirati svoje varnostne politike v smeri njihove zaostritve. Seveda je to posledica globalnih trendov naraščajočega števila kibernetskih napadov in izgub, povezanih z incidenti kršitev informacijske varnosti.Če je treba izvajati zaščitne ukrepe, politike in postopke, namenjene povečanju informacijske varnosti podjetja, lahko storite brez ISO /IEC 27001 certifikat, s čimer prihranite veliko denarja, časa in živcev.
Danes so se v ponudbah tujih naročnikov začele pojavljati zahteve po obstoječi informacijski varnosti v podjetju. Nekateri, da bi poenostavili svoje preverjanje in poenotili pristop, določijo obvezno merilo ocenjevanja - prisotnost certifikata ISO/IEC 27001.
Videli smo naslednje: zdi se, da je ena od naših ključnih mednarodnih strank, certificiranih po tem standardu, znatno okrepila svojo ekipo za globalno informacijsko varnost. Kako smo vedeli za to? Za revizijo našega sistema upravljanja informacijske varnosti so se odločili, ker jim zagotavljamo računovodske storitve in kadrovsko administracijo – zato jim je varnost naših informacijskih sistemov kritična. Prejšnja revizija je bila pred 3 leti - takrat je vse potekalo precej neboleče.
Tokrat nas je napadla prijazna ekipa Indijcev, ki je spretno odkrila več deset pomanjkljivosti v našem sistemu upravljanja varnosti. Revizijski proces je spominjal na kolo samsare – zdelo se je, da načeloma nimajo cilja, da bi v okviru revizije dosegli kakšno končno točko. To je bil neskončen niz vprašanj, komentarjev, naših komentarjev in dokazov o njihovi resničnosti, konferenčnih klicev in dolgih filozofskih pogovorov v poskusih prepoznavanja naglasa naročnikove IT varnostne ekipe. Mimogrede, revizija se z različno intenzivnostjo nadaljuje vse do danes - s časom smo se s tem sprijaznili. Tako se je potreba po certificiranju pojavila sama od sebe.
Mogoče se lahko zadovoljimo z ISO 9001?
Vsi, ki se bolj ali manj spoznate na področje certificiranja po katerem koli od standardov ISO, razumete, da je osnova za vsakega izmed njih certifikat ISO 9001 »Sistem vodenja kakovosti«. To je trenutno morda najbolj priljubljen certifikat v celotni vrsti standardov ISO. Nismo ga imeli – in odločili smo se, da ga ne bomo dobili. Za to je bilo več razlogov:
- vprašljiva ekonomska učinkovitost podjetja s tem certifikatom;
- naši notranji procesi so bili večinoma že blizu tega standarda;
- Pridobitev tega certifikata bi zahtevala dodaten čas in denar.
V skladu s tem smo se odločili za takojšnjo implementacijo ISO 27001, ne da bi začeli z "lažjim" 9001.
Ali morda še vedno ni potrebno?
Če pogledamo naprej, smo se večkrat vrnili k vprašanju, ali ga je priporočljivo pridobiti. Zadevo smo začeli preučevati z vseh strani, saj nismo imeli prav nobenega strokovnega znanja. In tu so napačne predstave, zaradi katerih smo ponovno razmišljali o tem vprašanju.
Napačno prepričanje #1.
Upali smo, da nam bo standard zagotovil podroben kontrolni seznam, seznam politik in drugih zakonskih dokumentov. V resnici se je izkazalo, da je ISO/IEC 27001 niz zahtev za sam sistem upravljanja varnosti informacij in proces, ki se gradi. Na njihovi podlagi se je bilo treba samostojno odločiti, kaj napisati/implementirati v našem podjetju, da bo ustrezalo zahtevam standarda.
Napačno prepričanje #2.
Iskreno smo verjeli, da bo dovolj, da preučimo en dokument in ga v razmeroma kratkem času sami realiziramo. V resnici smo ob prebiranju dokumenta ugotovili, koliko sorodnih standardov se »oklepa« naš standard, s koliko standardi se moramo (vsaj površno) seznaniti. "Češnja" na torti je bilo pomanjkanje trenutnih besedil standardov v javni domeni - kupiti jih je bilo treba na uradni spletni strani ISO.
Napačno prepričanje #3.
Prepričani smo bili, da bomo v odprtih virih našli vse, kar potrebujemo za pripravo na certificiranje. Na internetu je bilo res veliko materialov o ISO 27001, vendar so bili precej pomanjkljivi. Praktično ni bilo enostavno razumljivih navodil po korakih za pripravo na certificiranje, pa tudi resničnih primerov podjetij, ki so uvedla ta standard.
Napačno prepričanje #4.
Napisali bomo pravilnike, pa ne bodo delovali! No, res je, naše podjetje ima že preveč pravil, nihče ne bo upošteval še 3 ducate novih politik. V resnici pa so naši zaposleni k sreči odgovorno vzeli nalogo obvladovanja novih pravil in uspešno opravili preizkus poznavanja dokumentov sistema upravljanja varovanja informacij.
Napačno prepričanje #5.
Takrat nismo mogli jasno oceniti, kakšne koristi bi imeli od naših prizadevanj. Takrat povpraševanja po tem certifikatu še ni bilo tako veliko, ključno in najzahtevnejšo stranko pa smo imeli veliko pred certifikacijo. Izkušnje so pokazale, da nam je uspelo brez standarda.
Na neki točki smo spoznali, da zaradi zahtev naročnika kaotično zapiramo eno ali drugo nastajajočo vrzel. Vsakič smo prišli do novih politik ali rešitev. In končno smo neodvisno prišli do zaključka, da bi bilo proces veliko lažje sistemizirati, kar bi nam v prihodnosti celo prihranilo veliko stroškov dela. Standard je bil namenjen poenostavitvi te naloge.
Sedaj, dve leti kasneje, opažamo trend naraščanja števila povpraševanj in zanimanja za to problematiko večjih mednarodnih strank.
Končna odločitev.
Za zaključek bi radi povedali, da so naši vodilni v panogi prejeli certifikat ISO/IEC 27001, kar je vse ostale večje ponudnike (vključno z nami) prisililo k razmišljanju o tem vprašanju. Nedvomno lepa vrstica v marketinških materialih podjetja - na spletni strani, na družbenih omrežjih, v reklamnih brošurah itd. – se lahko šteje za prijeten bonus, toda ali je vredno porabiti toliko sredstev zanj? Sami smo se odločili, da je to za nas več kot le lepa linija, in smo se vključili v ta projekt.
Vir: www.habr.com