Pred časom sem v pogovoru z direktorjem nekega podjetja omenil, da bi bilo koristno, če bi se malce podrobneje spoznali z ISO standardi. Pa mi z nasmeškom odvrne: “Ah, to ni za nas. Mi tega ne potrebujemo.”

Slika Gerd Altmann s Pixabay

Ker sem želel razumeti, od kje izvira tako mnenje, sem nadaljeval: “Zanimivo, mi lahko poveste kaj več?”

“Pa, naše stranke tega ne zahtevajo. Zato nekako ne vidimo smisla oziroma potrebe.”

Pa je to smisel standardov? Da jih organizacija vpelje zato, da zadovolji zahteve kake pomembnejše stranke?

Vprašal sem se, zakaj bi pa stranki bilo pomembno, če njen dobavitelj zadostuje zahtevam nekega standarda? Začutil sem, da bi z nadaljevanjem pogovora lahko hitro zašla v potencialno neprijetno debato. Ker bi s tem verjetno zbudil le odpor, nisem želel nadaljevati.

V čem je smisel standardov?

Pa vendar se mi zdi vprašanje in temeljitejši razmislek v tej smeri precej na mestu. Zakaj neko podjetje želi oziroma vidi potrebo v upoštevanju določenega standarda? Želi poslovati bolj optimalno in organizirano? Mogoče želi pri svojem poslovanju manj izgub? Biti prepoznan kot kompetenten in zaupanja vreden partner?

Zakaj bi to želeli od svojih partnerjev? Da so ti bolje organizirani in zanesljivi? Da bolje obvladujejo svoje procese ter kakovost izdelkov in storitev?

A niso prav to glavni pokazatelji kvalitetne organizacije, ki bi jih želel dosegati in izkazovati vsak, ne glede na zahteve nekega standarda, ali pričakovanja strank?

Mogoče so neki organizaciji v določeni fazi razvoja vse zahteve standarda in z doseganjem zahtevanega nivoja povezani stroški res odveč. To pa še ne pomeni, da teh ni smiselno pregledati in preveriti, kje lahko organizacija svoje poslovanje izboljša.

Informacijska varnost

V standardu ISO 27001, na primer, so navedeni glavni stebri informacijske varnosti, ter podrobneje razdelane zahteve in postopki, kako doseči nek minimalen nivo varnosti.

Ste prepričani, da tega ne potrebujete? Se vam zdi bolje, da sami preverite, ali boste raje počakali, da to namesto vas opravi kak hacker? Saj prostore organizacije verjetno zaklepate in se niste odločili počakati, da vam kdo smiselnost tega predstavi malce bolj praktično in utemeljeno.

Tveganja

Vse organizacije se srečujejo z vprašanji, če (svojim merilom) zadovoljivo naslavljajo vsa poslovna tveganja. Pri tem se pogosto pojavi vprašanje, če so katera tveganja spregledali.

Organizacija ugotovi, da obstajajo določena tveganja s področja informacijske varnosti. Ta so, nasprotno od razširjenega prepričanja, zelo obsežna in pogosta.

Za osnovno oceno tveganj je najbolj enostavno pregledati kak predmetni standard ali ogrodje za upravljanje. Ta naslavlja glavna področja, pri katerih organizacija lahko sama oceni smiselnost zahtev in navodil, ter opredeli svoj nivo varnosti.

Standardi niso zanimivi samo za večje organizacije!

Zakaj bi se torej morala organizacija sploh certificirati za določen standard? Če v tem ne vidi dodane vrednosti, se ne rabi. Preveri lahko najnujnejše zahteve in usmeritve, se po teh smiselno orientira, ter določi ukrepe za znižanje posameznih tveganj. In to velja za kateri koli standard – varovanje okolja, zdravja, informacij, kakovosti, neprekinjeno poslovanje, …

Pred časom sem nekje zasledil komentar, da je upoštevanje standardov smiselno za večje organizacije. Da si male tega ne morejo privoščiti.

Če se mora organizacija certificirati, to verjetno poslovno upraviči s primernim obsegom poslovanja. Kljub temu pa sem prepričan, da večina manjših prav tako do neke smiselne mere upošteva nekatera od istih osnovnih pravil, ki jih predpisujejo standardi.

Ko sem med postavljanjem sistema upravljanja informacijske varnosti v mednarodni finančni instituciji iskal vire, ideje in predloge za rešitve, sem naletel na intervju s takratnim tehničnim direktorjem (CTO) podjetja Ripple, Davidom Schwartzom.

V intervjuju je odlično pojasnil vlogo regulatorjev v finančni industriji.

Zahteve, ki jih postavljajo, niso namenjene oteževanju poslovanja reguliranih institucij, ampak gre za rešitve, ki naslavljajo probleme, ki so jih regulatorji že prepoznali in naslovili, ter jih spremljajo in nadgrajujejo.

Upoštevanje predlogov in opozoril

Zakaj torej organizacija, ki sicer ne prepozna potreb po certificiranju po določenem standardu, ne bi želela preveriti in smiselno upoštevati zahtev, ki jih ta predpisuje? Te lahko preprečijo določene probleme, ki so jih regulatorji že prepoznali in predpisali minimalne zahteve za rešitve oziroma zmanjšanje tveganj.

ISO standardi ne zahtevajo, da se morajo (certificirane!) organizacije držati njihovih zahtev do potankosti. Predpisujejo minimalne zahteve za omejitev določenih poglavitnih poslovnih tveganj, kar za organizacije pomeni, da morajo dosegati minimalni zahtevani nivo omejevanja določenega tveganja. Na kakšen način, pa standardi zgolj priporočajo.

Torej, ko neka organizacija uvede in začne strukturirano upravljati s svojimi sredstvi, lahko v standardih preveri, kaj ti predvidevajo za njihovo kvalitetno in učinkovito upravljanje.

Na neki točki, na primer, ugotovi, da nima popisanih informacijskih virov. Nadzor nad temi je zelo pomemben za primerno upravljanje in varovanje pred vsemi vrstami zlorab. Kaj vse je pri temu smiselno in potrebno upoštevati oziroma določiti, pa je predpisano v standardih.

Dobra praksa

Kljub temu je mnogo organizacij prepričanih, da so za takšne stvari premajhne. Standardiziranje njihovega poslovanja se jim zdi prezahtevno. V resnici pa je – predvsem za manjše organizacije – ‘odkrivanje tople vode’ tisto precej bolj potratno in zahtevno.

Vse organizacije se na neki točki srečajo s potrebami širjenja in optimiziranja svojih procesov. Pri temu je – ravno na začetku oziroma v manjšem obsegu poslovanja – najbolje poiskati že dostopne rešitve oziroma okvire za bolj učinkovito poslovanje.

Kot zunanji presojevalec sistemov vodenja in upravljanja imam precej podroben vpogled v poslovanje mnogih slovenskih podjetij. Imam dober vpogled v to, kje jim sistemi najbolj koristijo in kje jih omejujejo. Zato se mi zdi smiseln pregled in upoštevanje standardov do mere, ki poslovanje podjetja izboljša in pohitri, ne pa tudi omeji.

Strokovnjakov, ki dobro poznajo delovanje standardov in so pripravljeni pomagati drugim, je dovolj. Predvsem lahko pomagajo tisti, ki v svetovanju vidijo dodano vrednost k nadgradnji svojih izkušenj in razumevanja področnih standardov.

Borut Kmetič


Po formalni izobrazbi sem diplomirani varstvoslovec informacijske varnosti, sicer pa imam precej izkušenj v večjih mednarodnih IT okoljih pri upravljanju in svetovanju na področju informacijske varnosti, vodenju IT projektov in izvedbe storitev, pri upravljanju in presojanju ISO sistemov, svetovanju pri digitalizaciji poslovanja, varstvu osebnih podatkov, vodenju kakovosti, procesov in organizacijske kulture.

Sem zunanji vodilni presojevalec informacijske varnosti po ISO standardu pri mednarodni certifikacijski hiši.

Organizacijam nudim svetovanje in pomoč pri optimizaciji poslovanja, predvsem z zgoraj navedenih področij. Sicer pa se ukvarjam tudi z drugimi oblikami optimizacij (oziroma hekanja), kot so na primer biohekanje, osebna rast, raziskovanje prebojnih novih tehnologij, eksponentna organizacija, sistemsko razmišljanje in druge napredne metode.

Borut@SmartAssets.it
Borut@Medium
Borut@TheGoodMenProject