Приликом доношења било које стратешки важне одлуке за компанију, запослени пролазе кроз основни одбрамбени механизам, добро познат као 5 фаза реаговања на промене (Е. Кублер-Росс). Еминентни психолог је једном описао емоционалне реакције, истичући 5 кључних фаза емоционалног одговора: порицање, љутња, погодба, депресија и, коначно, Усвајање. Припремили смо серију чланака посвећених ИСО 27001 сертификацији, где ћемо погледати сваку од фаза. Данас ћемо говорити о првом од њих – порицању.
Добијање ИСО 27001 сертификата „за представу” је веома сумњиво задовољство, јер захтева дугу и скупу припрему. Штавише, како показује , овај стандард је изузетно непопуларан у Руској Федерацији: до данас је само 70 компанија сертификовано за усклађеност. Истовремено, ово је један од најпопуларнијих стандарда у иностранству, који задовољава растуће захтеве пословања у области информационе безбедности.
Наша компанија пружа читав низ услуга оутсоурцинга за рачуноводствене функције: рачуноводствено и пореско рачуноводство, обрачун зарада и кадровска администрација. Заузимамо једну од водећих тржишних позиција, посебно због чињенице да нам стране компаније са филијалама у Русији поверавају своје поверљиве информације. Ово се односи не само на финансијске процесе наших клијената, већ и на личне податке са којима радимо свакодневно. С тим у вези, питање информационе безбедности је један од наших приоритета.
Често, све пословне процесе руских одељења контролишу и декларишу седишта страних компанија, те стога морају бити у складу са интерним стандардима групе. Недавно су неки од наших кључних клијената почели да ревидирају своје безбедносне политике у правцу њиховог пооштравања. Наравно, то је због глобалних трендова у све већем броју сајбер напада и губитака повезаних са инцидентима нарушавања безбедности информација.Уколико је потребно спровести мере заштите, политике и процедуре у циљу повећања информационе безбедности компаније, можете без ИСО /ИЕЦ 27001 сертификат, чиме се штеди много новца, времена и живаца.
Данас су захтеви за постојећу информациону безбедност у компанији почели да се појављују на тендерима страних купаца. Неки, да би поједноставили своју верификацију и уједначили приступ, постављају обавезан критеријум евалуације – присуство сертификације ИСО/ИЕЦ 27001.
Ево шта смо видели: Чини се да је један од наших кључних међународних клијената сертификованих по овом стандарду значајно ојачао свој глобални тим за безбедност информација. Како смо знали за ово? Одлучили су да изврше ревизију нашег система управљања безбедношћу информација, јер им пружамо рачуноводствене услуге и кадровску администрацију – и, сходно томе, безбедност наших информационих система им је критично важна. Претходна ревизија је обављена пре 3 године - тада је све прошло прилично безболно.
Овог пута нас је напао пријатељски тим Индијанаца који су спретно открили неколико десетина недостатака у нашем систему управљања безбедношћу. Процес ревизије је личио на точак Самсаре – чинило се да у принципу немају циљ да постигну било какву коначну тачку у оквиру ревизије. Био је то бесконачан низ питања, коментара, наших коментара и доказа о њиховој реалности, конференцијских позива и дугих филозофских разговора у покушајима да се препозна нагласак клијентовог ИТ безбедносног тима. Иначе, ревизија се наставља са различитим степеном интензитета до данас – временом смо се са тим помирили. Дакле, потреба за сертификацијом је настала сама од себе.
Можда се можемо задовољити са ИСО 9001?
Сви који су мање-више упућени у питање сертификације по било ком од ИСО стандарда разумеју да је основа за сваки од њих ИСО 9001 „Систем управљања квалитетом“. Ово је можда најпопуларнији сертификат тренутно у целој линији ИСО стандарда. Нисмо га имали - и одлучили смо да га не добијемо. За то је било неколико разлога:
- упитна економска ефикасност компаније која има овај сертификат;
- наши унутрашњи процеси су, углавном, већ били близу овом стандарду;
- Добијање овог сертификата захтевало би додатно време и новац.
Сходно томе, одлучили смо да одмах применимо ИСО 27001, а да не почнемо са „лакшим“ 9001.
Или можда још увек није потребно?
Гледајући унапред, много пута смо се враћали на питање да ли је препоручљиво да га набавимо. Почели смо да проучавамо питање са свих страна, јер нисмо имали апсолутно никакву стручност. А ево и заблуда које су нас натерале да још једном размислимо о овом питању.
Заблуда #1.
Надали смо се да ће нам стандард пружити детаљну контролну листу, листу политика и других статутарних докумената. У стварности се показало да је ИСО/ИЕЦ 27001 скуп захтева за сам систем управљања безбедношћу информација и процес који се гради. На основу њих је било потребно самостално одлучити шта да напишемо/имплементирамо у нашој компанији да бисмо испунили захтеве стандарда.
Заблуда #2.
Искрено смо веровали да ће нам бити довољно да сами проучимо један документ и спроведемо га за релативно кратко време. У стварности, читајући документ, схватили смо за колико сродних стандарда се наш стандард „приања“, са колико стандарда треба да се упознамо (барем површно). „Трешња“ на торти био је недостатак актуелних текстова стандарда у јавном домену – морали су да се купе на званичном сајту ИСО-а.
Заблуда #3.
Били смо уверени да ћемо пронаћи све што нам је потребно да се припремимо за сертификацију у отвореним изворима. Заиста је било доста материјала о ИСО 27001 на Интернету, али им је доста недостајало специфичности. Практично није било лако разумљивих инструкција корак по корак за припрему за сертификацију, као ни стварних случајева компанија које су имплементирале овај стандард.
Заблуда #4.
Писаћемо политике, али оне неће радити! Па, истина је, наша компанија већ има превише правила, нико се неће придржавати још 3 туцета нових политика. У стварности, срећом, наши запослени су одговорно прихватили задатак савладавања нових правила и успешно положили проверу познавања докумената система управљања безбедношћу информација.
Заблуда #5.
У то време нисмо могли јасно да проценимо какву бисмо корист имали од наших напора. У то време, број захтева за овим сертификатом није био толико велики, а кључног и најзахтевнијег клијента смо имали много пре сертификације. Искуство је показало да смо се снашли без стандарда.
У неком тренутку смо схватили да хаотично затварамо једну или другу насталу празнину због захтева клијента. Сваки пут смо смислили неке нове политике или решења. И коначно смо самостално дошли до закључка да би било много лакше систематизовати процес, што би нам чак уштедело много трошкова рада у будућности. Стандард је имао за циљ да поједностави овај задатак.
Сада, две године касније, видимо тренд повећања броја захтева и интересовања за ово питање од стране великих међународних клијената.
Коначна одлука.
У закључку, желимо да кажемо да су наши лидери у индустрији добили ИСО/ИЕЦ 27001 сертификат, што је приморало све друге велике добављаче (укључујући и нас) да размисле о овом питању. Без сумње, лепа линија у маркетиншким материјалима компаније - на веб страници, на друштвеним мрежама, у рекламним брошурама итд. – може се сматрати пријатним бонусом, али да ли је вредно трошити толико средстава за то? Сами смо одлучили да је за нас ово више од лепе линије и укључили смо се у овај пројекат.
Извор: ввв.хабр.цом