Pred časom sem v pogovoru z direktorjem nekega podjetja omenil, da bi bilo koristno, če bi se malce podrobneje spoznali z ISO standardi. Pa mi z nasmeškom odvrne: “Ah, to ni za nas. Mi tega ne potrebujemo.”
Ker sem želel razumeti, od kje izvira tako mnenje, sem nadaljeval: “Zanimivo, mi lahko poveste kaj več?”
“Pa, naše stranke tega ne zahtevajo. Zato nekako ne vidimo smisla oziroma potrebe.”
Pa je to smisel standardov? Da jih organizacija vpelje zato, da zadovolji zahteve kake pomembnejše stranke?
Vprašal sem se, zakaj bi pa stranki bilo pomembno, če njen dobavitelj zadostuje zahtevam nekega standarda? Začutil sem, da bi z nadaljevanjem pogovora lahko hitro zašla v potencialno neprijetno debato. Ker bi s tem verjetno zbudil le odpor, nisem želel nadaljevati.
Danes se sicer po lanskoletnih poplavah, vojni in zelo dinamičnem dogajanju na področju kibernetskih vdorov v informacijske sisteme stvari precej spreminjajo. Izvajalci bistvenih storitev (področja našteta na povezavi v 4. členu) skladno z novo NIS2 direktivo vstopajo na področje obveznega upravljanja neprekinjenega poslovanja.
Področni standard (ISO 22301) in zahteve informacijske varnosti (ISO 27001) med drugim zahtevajo, da bodo morali izvajalci zelo skrbno nadzirati svoje dobavne verige. To pomeni, da bodo ti – vključno z najmanj vsemi večjimi mednarodnimi korporacijami (avtomobilska, farmacevtska, finančna industrija,…) – postavljali zelo stroge zahteve tudi do svojih podizvajalcev.
Kaj to pomeni?
Če je, na primer, manjše proizvodno podjetje zaradi poplavljenega obrata lahko hudo upočasnilo ali zaustavilo proizvodnjo avtomobilskega giganta, slednji in ostali takšne lekcije ne bodo pozabili.
Od svojih dobaviteljev (materiala, izdelkov ali storitev) bodo zahtevali skladnost z najmanj enim izmed obeh standardov, ali(in) pa bodo vsebino obeh temeljito in redno preverjali.
V Sloveniiji število mikro podjetij, ki prejemajo stroge zahteve naročnikov, že narašča. Večina si niti predstavlja ne, kako se lotiti takega (sorazmerno precejšnjega organizacijskega in finančnega) zalogaja.
V čem je smisel standardov?
Še vedno ostaja vprašanje in temeljitejši razmislek v tej smeri precej na mestu. Zakaj neko (resno) podjetje želi oziroma vidi potrebo v upoštevanju določenega standarda? Ker se bolje trži in prodaja? Ali želi poslovati bolj optimalno in organizirano? Mogoče pri svojem poslovanju zmanjšati tveganja in izgube? Biti prepoznan kot kompetenten in zaupanja vreden partner?
Zakaj bi to želeli od svojih partnerjev? Da so ti bolje organizirani in zanesljivi? Da bolje obvladujejo svoje procese ter kakovost izdelkov in storitev?
A niso prav to glavni pokazatelji kvalitetne organizacije, ki bi jih želel dosegati in izkazovati vsak, ne glede na zahteve nekega standarda, ali pričakovanja strank?
Mogoče so neki organizaciji v določenih začetnih fazah razvoja številne zahteve standardov in z doseganjem zahtevanega nivoja povezani stroški res odveč. To pa še ne pomeni, da teh ni smiselno pregledati in preveriti, kje lahko organizacija svoje poslovanje izboljša. Enako velja za stopnjo integracije standarda.
Informacijska varnost
V standardu ISO 27001, na primer, so navedeni glavni stebri informacijske varnosti, ter podrobneje razdelane zahteve in postopki, kako doseči nek minimalen nivo varnosti.
Ste prepričani, da tega ne potrebujete? Se vam zdi bolje, da sami preverite, ali boste raje počakali, da to namesto vas opravi kak hacker? Saj prostore organizacije ponoči verjetno zaklepate. In najbrž ne rabite, da vam smiselnost tega kdo predstavi na malce bolj praktičen in utemeljen način?
Tveganja
Vse organizacije se srečujejo z vprašanji, če (svojim merilom) zadovoljivo naslavljajo vsa poslovna tveganja. Pri tem se pogosto pojavi vprašanje, če so katera tveganja spregledali.
Organizacija ugotovi, da obstajajo določena tveganja s področja informacijske varnosti. Ta so, nasprotno od razširjenega prepričanja, zelo obsežna in pogosta.
Za osnovno oceno tveganj je najbolj enostavno pregledati kak predmetni standard ali ogrodje za upravljanje. Ta naslavlja glavna področja, pri katerih organizacija lahko sama oceni smiselnost zahtev in navodil, ter opredeli svoj nivo varnosti.
Standardi niso zanimivi samo za večje organizacije
Če pustimo nove, prihajajoče zahteve večjih, bi se marsikatera (manjša) organizacija lahko vprašala, zakaj začeti razmišljati o kakem standardu. Večina v teh ne vidi dodane vrednosti. To pa večinoma zato, ker ne razumejo standarda.
Če bi na hitro preverili najnujnejše zahteve in usmeritve, se po teh lahko smiselno orientirajo, ter določijo ukrepe za znižanje posameznih tveganj. To velja za kateri koli standard iz družine standardov sistemov vodenja – kakovosti, varovanja okolja, zdravja, informacij, osebnih podatkov, neprekinjenega poslovanja, …
Pred časom sem nekje zasledil komentar, da je upoštevanje standardov smiselno za večje organizacije. Da si male tega ne morejo privoščiti. Po prihajajočih napovedih in zahtevah bodo morale tudi začeti načrtovati.
Če se neka organizacija odloči certificirati, to verjetno poslovno upraviči s primernim obsegom poslovanja. Kljub temu pa sem prepričan, da večina manjših, ki (še) ne vidi potreb, prav tako do neke meje smiselno začne upoštevati nekatera od temeljnih osnovnih pravil, ki jih ti standardi predpisujejo.
Zakaj?
Ko sem med postavljanjem sistema upravljanja informacijske varnosti v mednarodni finančni instituciji iskal vire, ideje in predloge za rešitve, sem naletel na pogovor s takratnim tehničnim direktorjem (CTO) podjetja Ripple, Davidom Schwartzom.
V intervjuju je odlično pojasnil vlogo regulatorjev v finančni industriji.
Zahteve, ki jih postavljajo, niso namenjene oteževanju poslovanja organizacij, ampak gre za rešitve, ki naslavljajo tveganja, s katerimi so se mnogi že srečali. S kontrolami in usmeritvami želijo organizacijam pomagati, da te primerno prepoznajo, naslovijo in obvladujejo.
Upoštevanje predlogov in opozoril
Zakaj torej organizacija, ki sicer ne prepozna potreb po certificiranju po določenem standardu, ne bi želela preveriti in smiselno upoštevati zahtev, ki jih ta predpisuje? Te lahko preprečijo določene probleme, ki so jih regulatorji že prepoznali in predpisali minimalne zahteve za rešitve oziroma zmanjšanje tveganj.
ISO standardi ne zahtevajo, da se morajo (certificirane!) organizacije držati njihovih zahtev do potankosti. Predpisujejo minimalne zahteve za omejitev določenih poglavitnih poslovnih tveganj. To za organizacije pomeni, da morajo dosegati minimalni zahtevan nivo, da lahko določena tveganja omejijo. Na kak način in koliko, pa standardi zgolj priporočajo.
Torej, ko neka organizacija razmišlja in začne strukturirano upravljati s svojimi sredstvi, lahko v standardih preveri, kaj ti predvidevajo za njihovo kvalitetno in učinkovito upravljanje.
Na neki točki, na primer, ugotovi, da nima popisanih informacijskih virov. Nadzor nad temi je zelo pomemben za primerno upravljanje in varovanje pred vsemi vrstami zlorab. Kaj je pri tem smiselno upoštevati, pa je predpisano v standardih.
Dobra praksa
Kljub temu je mnogo organizacij prepričanih, da so za takšne stvari premajhne. Standardiziranje njihovega poslovanja se jim zdi prezahtevno. V resnici pa je – predvsem za manjše organizacije – ‘odkrivanje tople vode’ precej bolj potratno in zahtevno.
Vse organizacije se na neki točki srečajo s potrebami širjenja in optimiziranja svojih procesov. Pri temu je – ravno na začetku oziroma v manjšem obsegu poslovanja – najbolje poiskati že dostopne rešitve oziroma okvire za bolj učinkovito poslovanje.
Pregled in upoštevanje standardov do mere, ki poslovanje podjetja izboljša in pohitri, ne pa tudi omeji, se zdi zelo razumno.
Strokovnjaki, ki razumejo namen in delovanje standardov ter so pripravljeni pomagati drugim, so dobrodošla pomoč. Predvsem tisti, ki v svetovanju vidijo dodano vrednost k nadgradnji svojih izkušenj in razumevanja področnih standardov.
Borut Kmetič
Po formalni izobrazbi sem diplomirani varstvoslovec informacijske varnosti, sicer pa imam precej izkušenj v večjih mednarodnih IT okoljih pri upravljanju in svetovanju na področju informacijske varnosti, vodenju IT projektov in izvedbe storitev, pri upravljanju in presojanju ISO sistemov, svetovanju pri digitalizaciji poslovanja, varstvu osebnih podatkov, vodenju kakovosti, procesov in organizacijske kulture.
Sem zunanji vodilni presojevalec informacijske varnosti po ISO standardu pri mednarodni certifikacijski hiši.
Organizacijam nudim svetovanje in pomoč pri optimizaciji poslovanja, predvsem z zgoraj navedenih področij. Sicer pa se ukvarjam tudi z drugimi oblikami optimizacij (oziroma hekanja), kot so na primer biohekanje, osebna rast, raziskovanje prebojnih novih tehnologij, eksponentna organizacija, sistemsko razmišljanje in druge napredne metode.
Borut@SmartAssets.it
Borut@Medium
Borut@TheGoodMenProject