เมื่อทำการตัดสินใจที่สำคัญเชิงกลยุทธ์สำหรับบริษัท พนักงานจะต้องผ่านกลไกการป้องกันขั้นพื้นฐาน ซึ่งรู้จักกันในนาม 5 ขั้นตอนของการตอบสนองต่อการเปลี่ยนแปลง (โดย E. Kübler-Ross) นักจิตวิทยาผู้มีชื่อเสียงเคยบรรยายถึงปฏิกิริยาทางอารมณ์ โดยเน้น 5 ขั้นตอนสำคัญของการตอบสนองทางอารมณ์: การปฏิเสธ, ความกริ้ว, ต่อรอง, พายุดีเปรสชัน และในที่สุด การรับเป็นบุตรบุญธรรม. เราได้เตรียมบทความหลายชุดเกี่ยวกับการรับรอง ISO 27001 ซึ่งเราจะพิจารณาแต่ละขั้นตอน วันนี้เราจะพูดถึงสิ่งแรก – การปฏิเสธ
การได้รับใบรับรอง ISO 27001 “เพื่อการแสดง” ถือเป็นเรื่องน่ายินดีอย่างยิ่ง เนื่องจากต้องใช้เวลาเตรียมการที่ยาวนานและมีราคาแพง ยิ่งกว่านั้นดังที่แสดงให้เห็น มาตรฐานนี้ไม่ได้รับความนิยมอย่างมากในสหพันธรัฐรัสเซีย จนถึงปัจจุบัน มีเพียง 70 บริษัทเท่านั้นที่ได้รับการรับรองการปฏิบัติตามข้อกำหนด ในเวลาเดียวกัน นี่เป็นหนึ่งในมาตรฐานที่ได้รับความนิยมมากที่สุดในต่างประเทศ ซึ่งตอบสนองความต้องการที่เพิ่มขึ้นของธุรกิจในด้านการรักษาความปลอดภัยข้อมูล
บริษัทของเราให้บริการด้านบัญชีภายนอกแบบครบวงจร: การบัญชีและการบัญชีภาษี บัญชีเงินเดือน และการบริหารงานบุคคล เราครองตำแหน่งผู้นำทางการตลาดแห่งหนึ่ง โดยเฉพาะอย่างยิ่งเนื่องจากการที่บริษัทต่างชาติที่มีสาขาในรัสเซียไว้วางใจเราในเรื่องข้อมูลที่เป็นความลับของพวกเขา สิ่งนี้ไม่เพียงแต่ใช้กับกระบวนการทางการเงินของลูกค้าของเราเท่านั้น แต่ยังรวมถึงข้อมูลส่วนบุคคลที่เราร่วมงานด้วยในแต่ละวันด้วย ในเรื่องนี้ประเด็นด้านความปลอดภัยของข้อมูลถือเป็นเรื่องสำคัญประการหนึ่งของเรา
บ่อยครั้งที่กระบวนการทางธุรกิจทั้งหมดของแผนกในรัสเซียได้รับการควบคุมและประกาศโดยสำนักงานใหญ่ของบริษัทต่างประเทศ ดังนั้นจึงต้องปฏิบัติตามมาตรฐานภายในกลุ่มทั้งหมด เมื่อเร็วๆ นี้ ลูกค้าหลักบางรายของเราได้เริ่มแก้ไขนโยบายความปลอดภัยของตนเพื่อให้เข้มงวดยิ่งขึ้น แน่นอนว่านี่เป็นเพราะแนวโน้มทั่วโลกในจำนวนการโจมตีทางไซเบอร์ที่เพิ่มขึ้นและความสูญเสียที่เกี่ยวข้องกับเหตุการณ์การละเมิดความปลอดภัยของข้อมูล หากจำเป็น ต้องใช้มาตรการป้องกัน นโยบาย และขั้นตอนที่มุ่งเป้าไปที่การเพิ่มความปลอดภัยของข้อมูลของบริษัท คุณสามารถทำได้โดยไม่ต้องใช้ ISO /การรับรอง IEC 27001 ซึ่งช่วยประหยัดเงิน เวลา และความเครียดได้มาก
ปัจจุบัน ข้อกำหนดด้านความปลอดภัยของข้อมูลที่มีอยู่ในบริษัทเริ่มปรากฏในการประมูลจากลูกค้าต่างประเทศ เพื่อให้การตรวจสอบง่ายขึ้นและรวมแนวทางให้เป็นหนึ่งเดียว ให้กำหนดเกณฑ์การประเมินภาคบังคับ นั่นคือ มีใบรับรอง ISO/IEC 27001
สิ่งที่เราได้เห็น: หนึ่งในลูกค้าต่างประเทศรายสำคัญของเราที่ได้รับการรับรองมาตรฐานนี้ ดูเหมือนจะได้เสริมความแข็งแกร่งให้กับทีมรักษาความปลอดภัยข้อมูลทั่วโลกอย่างมีนัยสำคัญ เรารู้เรื่องนี้ได้อย่างไร? พวกเขาตัดสินใจตรวจสอบระบบการจัดการความปลอดภัยของข้อมูลของเรา เนื่องจากเราให้บริการด้านบัญชีและการบริหารงานบุคคลแก่พวกเขา ดังนั้นความปลอดภัยของระบบข้อมูลของเราจึงมีความสำคัญอย่างยิ่งต่อพวกเขา การตรวจสอบครั้งก่อนเกิดขึ้นเมื่อ 3 ปีที่แล้ว - ครั้งนั้นทุกอย่างดำเนินไปด้วยความยากลำบาก
คราวนี้ ทีมชาวอินเดียที่เป็นมิตรโจมตีเรา โดยค้นพบข้อบกพร่องหลายประการในระบบการจัดการความปลอดภัยของเราอย่างช่ำชอง กระบวนการตรวจสอบคล้ายกับวงล้อแห่งสังสารวัฏ - โดยหลักการแล้วพวกเขาไม่มีเป้าหมายที่จะไปถึงจุดสุดท้ายใด ๆ ในฐานะส่วนหนึ่งของการตรวจสอบ มันเป็นคำถาม ความคิดเห็น ความคิดเห็นของเรา และหลักฐานมากมายที่ไม่มีที่สิ้นสุดเกี่ยวกับความเป็นจริง การประชุมทางโทรศัพท์ และการสนทนาเชิงปรัชญาที่ยืดเยื้อ เพื่อพยายามจดจำสำเนียงของทีมรักษาความปลอดภัยด้านไอทีของลูกค้า อย่างไรก็ตาม การตรวจสอบยังคงดำเนินต่อไปในระดับความเข้มข้นที่แตกต่างกันจนถึงทุกวันนี้ - เมื่อเวลาผ่านไป เราก็ได้ตกลงกับเรื่องนี้แล้ว ดังนั้นความต้องการการรับรองจึงเกิดขึ้นด้วยตัวมันเอง
บางทีเราอาจจะทำอะไรกับ ISO 9001 ได้บ้าง?
ทุกคนที่เชี่ยวชาญไม่มากก็น้อยในเรื่องการรับรองตามมาตรฐาน ISO ใด ๆ เข้าใจว่าพื้นฐานสำหรับแต่ละมาตรฐานคือใบรับรอง ISO 9001 “ระบบการจัดการคุณภาพ” นี่อาจเป็นใบรับรองที่ได้รับความนิยมมากที่สุดในมาตรฐาน ISO ทั้งหมดในปัจจุบัน เราไม่มีมัน - และเราตัดสินใจที่จะไม่รับมัน มีสาเหตุหลายประการสำหรับสิ่งนี้:
- ประสิทธิภาพทางเศรษฐกิจที่น่าสงสัยของบริษัทที่มีใบรับรองนี้
- กระบวนการภายในของเราส่วนใหญ่ใกล้เคียงกับมาตรฐานนี้แล้ว
- การได้รับใบรับรองนี้จะต้องใช้เวลาและเงินเพิ่มเติม
ดังนั้นเราจึงตัดสินใจนำมาตรฐาน ISO 27001 ไปใช้ทันที โดยไม่ต้องเริ่มต้นด้วยมาตรฐาน “ที่เบากว่า” 9001
หรืออาจจะยังไม่จำเป็น?
เมื่อมองไปข้างหน้า เราได้ย้อนกลับมาหลายครั้งเพื่อถามว่าควรได้รับสิ่งนี้หรือไม่ เราเริ่มศึกษาปัญหานี้จากทุกด้าน เนื่องจากเราไม่มีความเชี่ยวชาญเลย และนี่คือความเข้าใจผิดที่ทำให้เราคิดถึงปัญหานี้อีกครั้ง
ความเข้าใจผิด #1.
เราหวังว่ามาตรฐานนี้จะให้รายการตรวจสอบโดยละเอียด รายการนโยบาย และเอกสารทางกฎหมายอื่นๆ แก่เรา ในความเป็นจริง ปรากฎว่า ISO/IEC 27001 เป็นชุดข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูลและกระบวนการที่กำลังสร้างขึ้น จากข้อมูลเหล่านี้ จำเป็นต้องตัดสินใจอย่างอิสระว่าจะเขียน/นำไปใช้อะไรในบริษัทของเราเพื่อให้สอดคล้องกับข้อกำหนดของมาตรฐาน
ความเข้าใจผิด #2.
เราเชื่ออย่างจริงใจว่าการศึกษาเอกสารฉบับเดียวและนำไปปฏิบัติในเวลาอันสั้นก็เพียงพอแล้วสำหรับเรา ในความเป็นจริง ขณะที่อ่านเอกสาร เราได้ตระหนักว่ามาตรฐานที่เรา “ยึดถือ” อยู่นั้นมีกี่มาตรฐาน กี่มาตรฐานที่เราต้องทำความคุ้นเคย (อย่างน้อยก็ผิวเผิน) “เชอร์รี่” บนเค้กคือการขาดข้อความมาตรฐานปัจจุบันที่เป็นสาธารณสมบัติ - ต้องซื้อบนเว็บไซต์ ISO อย่างเป็นทางการ
ความเข้าใจผิด #3.
เรามั่นใจว่าเราจะพบทุกสิ่งที่จำเป็นเพื่อเตรียมพร้อมสำหรับการรับรองในโอเพ่นซอร์ส จริงๆ แล้วมีเนื้อหามากมายเกี่ยวกับ ISO 27001 บนอินเทอร์เน็ต แต่เนื้อหาเหล่านั้นค่อนข้างขาดความเฉพาะเจาะจง ในทางปฏิบัติแล้วไม่มีคำแนะนำทีละขั้นตอนที่เข้าใจง่ายในการเตรียมการรับรอง เช่นเดียวกับกรณีจริงของบริษัทที่นำมาตรฐานนี้ไปใช้
ความเข้าใจผิด #4.
เราจะเขียนนโยบาย แต่จะไม่ได้ผล! เป็นเรื่องจริง บริษัทของเรามีกฎเกณฑ์มากเกินไป จะไม่มีใครปฏิบัติตามนโยบายใหม่อีกกว่า 3 โหล ในความเป็นจริง โชคดีที่พนักงานของเราทำหน้าที่ควบคุมกฎใหม่อย่างรับผิดชอบและผ่านการทดสอบความรู้เกี่ยวกับเอกสารระบบการจัดการความปลอดภัยของข้อมูลได้สำเร็จ
ความเข้าใจผิด #5.
ในเวลานั้นเราไม่สามารถประเมินได้อย่างชัดเจนว่าเราจะได้รับประโยชน์อะไรจากความพยายามของเรา ในเวลานั้น จำนวนคำขอใบรับรองนี้มีไม่มากนัก และเรามีลูกค้ารายสำคัญและเป็นที่ต้องการมากที่สุดก่อนที่จะได้รับการรับรอง ประสบการณ์แสดงให้เห็นว่าเราจัดการโดยไม่มีมาตรฐาน
เมื่อถึงจุดหนึ่ง เราตระหนักได้ว่าเรากำลังปิดช่องว่างที่เกิดขึ้นใหม่อย่างไม่เป็นระเบียบเนื่องจากความต้องการของลูกค้า แต่ละครั้งที่เราเสนอนโยบายหรือวิธีแก้ปัญหาใหม่ๆ และในที่สุดเราก็ได้ข้อสรุปโดยอิสระว่าการจัดระบบกระบวนการจะง่ายกว่ามาก ซึ่งจะช่วยประหยัดค่าแรงเราได้มากในอนาคต มาตรฐานนี้มีจุดมุ่งหมายเพื่อลดความซับซ้อนของงานนี้
สองปีต่อมา เราเห็นแนวโน้มที่เพิ่มขึ้นในจำนวนคำขอและความสนใจในปัญหานี้จากลูกค้าต่างประเทศรายใหญ่
การตัดสินใจครั้งสุดท้าย.
โดยสรุป เราอยากจะบอกว่าผู้นำในอุตสาหกรรมของเราได้รับการรับรอง ISO/IEC 27001 ซึ่งทำให้ผู้ให้บริการรายใหญ่รายอื่นๆ ทั้งหมด (รวมถึงเรา) ต้องคิดเกี่ยวกับปัญหานี้ ไม่ต้องสงสัยเลยว่ามีเส้นที่สวยงามในสื่อการตลาดของบริษัท - บนเว็บไซต์ บนโซเชียลเน็ตเวิร์ก ในโบรชัวร์โฆษณา ฯลฯ – ถือได้ว่าเป็นโบนัสที่น่าพอใจ แต่มันคุ้มไหมที่จะใช้ทรัพยากรมากมายเพื่อมัน? เราตัดสินใจด้วยตัวเองว่าสำหรับเราแล้ว นี่เป็นมากกว่าแค่ลายเส้นที่สวยงาม และเรามีส่วนร่วมในโปรเจ็กต์นี้
ที่มา: will.com