Şirket için stratejik açıdan önemli herhangi bir karar alırken çalışanlar, değişime yanıt vermenin 5 aşaması olarak bilinen (E. Kübler-Ross tarafından) temel bir savunma mekanizmasından geçerler. Seçkin bir psikolog bir zamanlar duygusal tepkileri tanımlayarak duygusal tepkinin 5 temel aşamasını vurguladı: ret, öfke, açık artırma, депрессия ve sonunda Benimseme. ISO 27001 belgelendirmesine yönelik, aşamaların her birine bakacağımız bir dizi makale hazırladık. Bugün bunlardan ilki olan inkardan bahsedeceğiz.
"Gösteri amaçlı" bir ISO 27001 sertifikası almak çok şüpheli bir zevktir çünkü uzun ve pahalı bir hazırlık gerektirir. Üstelik gösterdiği gibi , bu standart Rusya Federasyonu'nda son derece popüler değil: bugüne kadar yalnızca 70 şirkete uygunluk sertifikası verildi. Aynı zamanda bu, bilgi güvenliği alanında iş dünyasının artan taleplerini karşılayan, yurt dışında da en popüler standartlardan biridir.
Şirketimiz muhasebe fonksiyonları için çok çeşitli dış kaynak hizmetleri sunmaktadır: muhasebe ve vergi muhasebesi, bordro ve personel yönetimi. Özellikle Rusya'da şubeleri bulunan yabancı şirketlerin gizli bilgileri konusunda bize güvenmeleri nedeniyle pazarda lider konumlardan birini işgal ediyoruz. Bu sadece müşterilerimizin finansal süreçleri için değil, aynı zamanda günlük olarak üzerinde çalıştığımız kişisel veriler için de geçerlidir. Bu bağlamda bilgi güvenliği konusu önceliklerimiz arasında yer alıyor.
Çoğu zaman, Rusya'daki bölümlerin tüm iş süreçleri yabancı şirketlerin merkez ofisleri tarafından kontrol edilir ve ilan edilir ve bu nedenle bunların grup çapındaki iç standartlara uyması gerekir. Son zamanlarda bazı önemli müşterilerimiz güvenlik politikalarını sıkılaştırma yönünde revize etmeye başladılar. Elbette bu, artan sayıda siber saldırı ve bilgi güvenliği ihlali olaylarıyla ilişkili kayıplardaki küresel eğilimlerden kaynaklanmaktadır. Şirketin bilgi güvenliğini artırmaya yönelik koruma önlemleri, politikalar ve prosedürlerin uygulanması gerekiyorsa, ISO olmadan da yapabilirsiniz. /IEC 27001 sertifikası sayesinde paradan, zamandan ve sinirlerden büyük tasarruf sağlar.
Günümüzde şirketteki mevcut bilgi güvenliğine yönelik gereksinimler, yabancı müşterilerden gelen ihalelerde de karşımıza çıkmaya başladı. Bazıları, doğrulamalarını basitleştirmek ve yaklaşımı birleştirmek için zorunlu bir değerlendirme kriteri belirledi: ISO/IEC 27001 sertifikasının varlığı.
Gördüklerimiz şu: Bu standarda göre sertifikalandırılmış önemli uluslararası müşterilerimizden birinin, küresel bilgi güvenliği ekibini önemli ölçüde güçlendirdiği görülüyor. Bunu nasıl bildik? Bilgi güvenliği yönetim sistemimizi denetlemeye karar verdiler çünkü onlara muhasebe hizmetleri ve personel yönetimi sağlıyoruz ve buna bağlı olarak bilgi sistemlerimizin güvenliği onlar için kritik önem taşıyor. Bir önceki denetim 3 yıl önce yapılmıştı; o zamanlar her şey oldukça sorunsuz geçmişti.
Bu sefer dost canlısı bir Kızılderili ekibi bize saldırdı ve güvenlik yönetimi sistemimizdeki birkaç düzine eksikliği ustaca ortaya çıkardı. Denetim süreci Samsara'nın çarkına benziyordu; prensipte denetimin bir parçası olarak herhangi bir nihai noktaya ulaşma hedefleri yokmuş gibi görünüyordu. Müşterinin BT güvenlik ekibinin aksanını tanımaya yönelik sonsuz bir dizi soru, yorum, yorumlarımız ve bunların gerçekliğine dair kanıtlar, konferans görüşmeleri ve uzun felsefi konuşmalardan oluşuyordu. Bu arada, denetim bugüne kadar değişen yoğunluklarda devam ediyor - zamanla bunu kabul ettik. Böylece sertifika ihtiyacı da kendiliğinden ortaya çıktı.
Belki ISO 9001 ile idare edebiliriz?
ISO standartlarından herhangi birine göre belgelendirme konusunda az çok bilgi sahibi olan herkes, her birinin temelinin ISO 9001 “Kalite Yönetim Sistemi” belgesi olduğunu bilir. Bu belki de şu anda ISO standartlarının tamamında en popüler sertifikadır. Elimizde yoktu ve almamaya karar verdik. Bunun birkaç nedeni vardı:
- bu sertifikaya sahip şirketin şüpheli ekonomik verimliliği;
- iç süreçlerimiz çoğunlukla bu standarda yakındı;
- Bu sertifikayı almak ek zaman ve para gerektirecektir.
Bu doğrultuda “daha hafif” 27001'den yola çıkmadan, ISO 9001'i hemen hayata geçirmeye karar verdik.
Ya da belki hala gerekli değildir?
İleriye baktığımızda, bunu elde etmenin tavsiye edilebilir olup olmadığı sorusuna birçok kez döndük. Konuyu her yönüyle incelemeye başladık çünkü kesinlikle hiçbir uzmanlığımız yoktu. İşte bu konu üzerinde bir kez daha düşünmemize neden olan yanılgılar.
Yanlış Kanı #1.
Standardın bize ayrıntılı bir kontrol listesi, politikalar listesi ve diğer yasal belgeler sunacağını umuyorduk. Gerçekte, ISO/IEC 27001'in bilgi güvenliği yönetim sisteminin kendisi ve oluşturulmakta olan süreç için bir dizi gereksinim olduğu ortaya çıktı. Bunlara dayanarak, standardın gereklerine uymak için şirketimizde ne yazılacağına/uygulanacağına bağımsız olarak karar vermek gerekiyordu.
Yanlış Kanı #2.
Bir belgeyi inceleyip nispeten kısa sürede kendi başımıza uygulamamızın yeterli olacağına içtenlikle inanıyorduk. Gerçekte belgeyi okurken standartımızın ne kadar çok ilgili standarda “bağlı” olduğunu, ne kadar standarda aşina olmamız gerektiğini (en azından yüzeysel olarak) fark ettik. Pastadaki "kiraz", kamuya açık mevcut standart metinlerinin bulunmamasıydı - bunların resmi ISO web sitesinden satın alınması gerekiyordu.
Yanlış Kanı #3.
Sertifikasyona hazırlanmak için ihtiyacımız olan her şeyi açık kaynaklarda bulacağımızdan emindik. İnternette ISO 27001 ile ilgili oldukça fazla materyal vardı ancak bunların ayrıntıları oldukça eksikti. Sertifikasyona hazırlanmak için anlaşılması kolay adım adım talimatlar ve bu standardı uygulayan şirketlerin gerçek örnekleri neredeyse yoktu.
Yanlış Kanı #4.
Politika yazacağız ama işe yaramayacak! Doğru, şirketimizin zaten çok fazla kuralı var, kimse başka bir 3 düzine yeni politikaya uymayacak. Gerçekte, neyse ki çalışanlarımız yeni kurallara sorumlu bir şekilde hakim olma görevini üstlendiler ve bilgi güvenliği yönetim sistemi belgeleri hakkındaki bilgi testini başarıyla geçtiler.
Yanlış Kanı #5.
O zamanlar bu çabalarımızın bize ne gibi faydalar sağlayacağını net olarak değerlendiremiyorduk. O zamanlar bu sertifikaya yönelik taleplerin sayısı o kadar fazla değildi ve sertifikasyondan çok önce kilit ve en talepkar müşterimiz vardı. Deneyimler, standart olmadan idare ettiğimizi gösterdi.
Bir noktada, müşterinin gereksinimleri nedeniyle ortaya çıkan şu veya bu açığı kaotik bir şekilde kapattığımızı fark ettik. Her seferinde yeni politikalar veya çözümler ürettik. Ve sonunda bağımsız olarak süreci sistemleştirmenin çok daha kolay olacağı sonucuna vardık, bu da gelecekte bizi birçok işçilik maliyetinden kurtarabilirdi. Standart bu görevi basitleştirmeyi amaçlıyordu.
Şimdi, iki yıl sonra, büyük uluslararası müşterilerin bu konuya yönelik taleplerinin ve ilgilerinin sayısında bir artış eğilimi görüyoruz.
Son karar.
Sonuç olarak, sektör liderlerimizin ISO/IEC 27001 sertifikasını aldığını ve bunun da diğer tüm büyük sağlayıcıları (biz dahil) bu konu hakkında düşünmeye zorladığını söylemek isteriz. Kuşkusuz, şirketin pazarlama materyallerinde - web sitesinde, sosyal ağlarda, reklam broşürlerinde vb. - güzel bir çizgi. – hoş bir bonus olarak düşünülebilir, ancak bunun için bu kadar çok kaynak harcamaya değer mi? Bunun bizim için güzel bir çizgiden daha fazlası olduğuna kendimiz karar verdik ve bu projeye dahil olduk.
Kaynak: habr.com