Skoro ostatnio napisałem o tym kto powinien wdrażać System Zarządzania Bezpieczeństwem Informacji, pora na zastanowienie się kiedy warto certyfikować SZBI na zgodność z ISO 27001.

Przede wszystkim należy jednak zastanowić się co tak naprawdę oznacza certyfikowany SZBI.
Otóż, moim zdaniem, powinien on dowodzić, że:

  • w określonym zakresie organizacja spełnia wymagania danego znormalizowanego systemu zarządzania (w naszym przypadku ISO 27001);
  • ryzyka z obszaru bezpieczeństwa informacji są właściwie zarządzane;
  • organizacja jest w stanie zademonstrować dojrzałe zarządzanie danym obszarem i swoim działaniem promuje ideę stałego doskonalenia.
To co należy zauważyć, to fakt, że certyfikowany SZBI nie zapewnia, że organizacja jest bezpieczna. Zapewnia, że organizacja weszła na ścieżkę, która kiedyś powinna doprowadzić organizację do stanu względnego bezpieczeństwa. Pojawia się tu spory problem gdy organizacja to zlepek fragmentów procesów "powiązanych sznurkiem do snopowiązarki", a zarządzanie bezpieczeństwem IT ogranicza się do akceptowania faktu posiadania kolejnych luk (co jest i tak o niebo lepsze od ignorowania faktu ich istnienia). Na szczęście dobry audytor wie jak sobie z tym poradzić, zresztą wnikliwa lektura normy daje kilka wskazówek w tym zakresie, o czym pewnie kiedyś napiszę. 

W ostatnim czasie prowadziłem kilka ciekawych rozmów o tym, jak powinny wyglądać firmy, które chcą wdrażać a następnie certyfikować SZBI. Poniżej chciałbym podsumować moje przemyślenia w tym temacie.

Przede wszystkim uważam, że wdrażaniem SZBI powinny zainteresować się dopiero te organizacje, które osiągnęły na tyle duży poziom dojrzałości zarządzania, że rozumieją, że dla skutecznego zarządzanie organizacją niezbędne jest wprowadzenie pewnych ram.
Zarządzanie polega na planowaniu tego co się chce osiągnąć, realizacji, a następnie weryfikowania czy plany są (i powinny być) realizowane, a następnie podejmowaniu odpowiednich dalszych kroków w zależności od wyników. Teoretycznie jest to banał, ale w rzeczywistości wiele, szczególnie mniejszych, organizacji koncentruje się wyłącznie na sprawności "realizacji" zapominając o pozostałych elementach.
Organizacje często chcą być dynamiczne i elastyczne i łączą to (niestety) z brakiem jakichkolwiek konkretnych celów, uporządkowanych ról i procesów, zapisów potwierdzających wykonane czynności. To nie tak!

Jedną z głównych barier dla wdrażania, opartych o normy ISO, systemów zarządzania bezpieczeństwem informacji, z którymi się spotykam jest głęboką niechęć dla biurokracji. Systemy zarządzania bardzo często kojarzą się moim rozmówcą z segregatorami dokumentów i opasłymi procedurami, które uniemożliwiają jakąkolwiek działalność.
Absolutnie się z tym nie zgadzam, niemniej częstość tego typu opinii pozwala wysnuć wniosek, że w rzeczywistości świat norm bywa tak postrzegany.

To co mogę zrobić w tej sytuacji, to współczuć wyboru konsultantów, którzy zostali zaangażowani w tworzenie takich systemów zarządzania (przepraszam za zgryźliwość, ale pewnie przedstawili najtańsze oferty) oraz odnieść się trochę do źródeł.

Marketing rządzi się swoimi prawami. Jedną z najważniejszych zasad jest budowanie popytu. Straszenie cyberzagrożeniami stało się chyba idealnym środkiem by to osiągnąć. Boimy się, że wstydliwe kwestie dotyczące naszego życia prywatnego zostaną opublikowane, że złośliwe oprogramowanie zaszyfruje zdjęcia z wakacji, że stracimy pieniądze w konta, czy że konkurencja przejmie naszych klientów lub nasze sekrety produkcyjne.

Strach jest dobrym motywatorem do zakupów. Nie powinien być jednak jedynym. Bezpieczeństwo jest bardzo ważne, ale wcześniej trzeba zapewnić możliwość swobodnego życia i funkcjonowania. Świat jest pełen niebezpieczeństw, nie tylko w cyberprzestrzeni. Nie zamyka nas to jednak w domach, ufortyfikowanych i zabezpieczonych najbardziej wyrafinowanymi systemami i przez najsilniejszych pracowników służb ochrony uzbrojonych po zęby w ciężkie karabiny maszynowe. Bezpieczeństwo NIE przede wszystkim!

W ostatnim czasie miałem okazję występować na Semaforze oraz na konferencji IIA pt. "Współpraca to się opłaca". W kolurach, mimo trochę innej publiki, rozmowy często dotyczyły bardzo podobnych kwestii. Obracały się wokół zagadnienia społecznej odpowiedzialności firm oraz niekiedy (niestety) znacznej pazerności czy to właścicieli czy też samych członków zarządów.

Pazerność właścicieli stanowi problem organiczny spółki. Niektóre z organizacji nie chcą działać w sposób etyczny, często balansują zresztą na granicy prawa. Poza naciskami społecznymi typu bojkot czy też działaniami organów nadzoru ciężko jest w takiej sytuacji coś zrobić. Wciąż dla wielu konsumentów najniższa cena jest jedynym istotnym kryterium wyboru, wciąż dla wielu właścicieli maksymalny zysk jest jedynym celem. Pojawiające się standardy branżowe z zakresu CSR pozwolą pozytywnie wskazywać na te z organizacji, które chcą przynajmniej rozpocząć prace zmierzające do bardziej odpowiedzialnego funkcjonowania.

Znacznie ciekawiej jest w sytuacji, gdy pazerność dotyczy członków Zarządu. W takiej sytuacji niekoniecznie dzieje się to za pełną zgodą Właścicieli, zgodnie z wizją prowadzenia przez nich interesów. Zaangażowanie Właścicieli jest, a przynajmniej powinno być długookresowe. Organiczne osłabianie spółki, eliminując wszelkie możliwe koszty oraz wywierając znaczną presję na krótkookresowy wynik nie koniecznie leży w ich interesie. Przedstawiciele najwyższego kierownictwa często pojawiają się jednak w organizacji jedynie na jakiś czas. Mają bardzo konkretne zadania- owskaźnikowane, ambitne, krótko lub średniookresowe. Premie za ich osiągnięcie są na tyle korzystne, że niekoniecznie pozostawiają miejsce na rozterki. Odpowiedzi na niektóre istotne pytania generują odpowiedzi, które niekoniecznie są tymi, które byśmy oczekiwali. Pytania takie jak:
  • czy warto inwestować w obszary generujące koszty a nie przekładające się BEZPOŚREDNIO na zysk?
  • czy można przymknąć oko na niektóre niezgodności z wymaganiami, tnąc tym samym koszty?
  • czy budować stabilne struktury organizacyjne i kompetencyjne, które przetrwają lata, czy koncentrować się na tym co i teraz?