Projekt wart miliony złotych stanął w miejscu i nie może ruszyć, bo twój podwykonawca padł ofiarą ataku hakerskiego. Twoje dane trafiły do konkurencji, bo kontrahent źle zutylizował nośniki. Albo PM odpowiedzialny za obsługę twojej firmy postanowił zmienić pracę, a zastępstwa ani widu. To scenariusze, na które narażonych jest wiele firm. Mogą generować gigantyczne koszty. Z opałów czasem udaje się wyjść obronną ręką, ale rozsądniej jest się przed nimi zabezpieczyć. W jaki sposób? Na przykład korzystając z usług firmy posiadającej certyfikat bezpieczeństwa ISO.

Dane odgrywają w biznesie kluczową rolę. Podobnie jak ich bezpieczeństwo. Znaczenie tego faktu wciąż umyka wielu firmom, które nie asekurują się (a przy okazji swoich klientów) w dostatecznym stopniu przed zagrożeniami. Dotyczy to m.in. software house'ów, które często realizują przedsięwzięcia warte miliony złotych. Wyciek dokumentów, złamanie haseł czy utrata danych to chleb powszedni w branży IT. Tego typu incydenty stanowią ogromne ryzyko zarówno dla wykonawców, jak i zleceniodawców. Grożą też naruszeniem ciągłości projektów, a nawet koniecznością ich zawieszenia. Jednocześnie większości podobnych sytuacji można zapobiec. I nie chodzi tu o porady mądrego po szkodzie, ale zestaw dobrych praktyk ujętych w normie ISO/IEC 27001. Firmy mogące pochwalić się certyfikatem potwierdzającym ich stosowanie to najlepszy wybór dla klientów, którzy przywiązują wagę do bezpieczeństwa swoich projektów.

Certyfikat ISO/IEC 27001 – gwarancja bezpieczeństwa danych

Zacznijmy od sprawy zasadniczej. Certyfikat ISO to nie odznaka honorowa, pochwała za dobre sprawowanie ani druk ozdobny z lakową pieczęcią. Wiadomo, że firmy chwalą się rozmaitymi świadectwami jakości dla celów wizerunkowych. Z wiarygodnością tego typu dokumentów bywa różnie. W tym przypadku chodzi jednak o certyfikat, który nakłada na jego posiadacza szereg konkretnych wymagań. Wytyczne zawarte w normie ISO/IEC 27001 obejmują kluczowe aspekty funkcjonowania firmy, a dostosowanie organizacji do tych standardów zajmuje od kilku miesięcy do nawet kilku lat. W dodatku nie chodzi o zadania do „odklepania” i zapomnienia. Certyfikowaną spółkę każdego roku odwiedza audytor, który sprawdza zgodność praktyk ze standardami bezpieczeństwa. Szansa na ukrycie niedoróbek jest nikła.

Kontroler nie tylko analizuje procedury i dokumentację, ale również przeprowadza wyrywkowe rozmowy z pracownikami. Audytor nie poluje na potknięcia firmy w celu jej „przyszpilenia” – wymaga jednak uczciwości. Wszelkie potencjalnie groźne sytuacje muszą zostać odnotowane w tzw. Rejestrze incydentów (wraz z określeniem działań korygujących). Innymi słowy firma musi być w stu procentach rzetelna i transparentna. W przeciwnym razie certyfikat przepada, a proces jego uzyskania trzeba powtórzyć. Dla posiadacza ISO to motywacja do przestrzegania standardów. Dla firmy, która rozważa go w charakterze wykonawcy – gwarancja, że kontrahent w odpowiedzialny sposób podchodzi do bezpieczeństwa danych i obsługi projektów.

Procedury i rejestry, czyli jak uniknąć kłopotów?

Wymagania, które narzuca ISO/IEC 27001, składają się na długą listę. Bynajmniej nie dlatego, że normę opracowywali wściekli biurokraci. Założeniem standardu jest zapewnienie maksymalnego bezpieczeństwa funkcjonowania firmy. Nie jest to łatwe, bo ludzie (w tym pracownicy) bywają zawodni, a rzeczy – złośliwe. W efekcie lista możliwych incydentów również jest długa. Wdrożenie standardu ISO ma przed nimi uchronić i zapewnić szybkie wybrnięcie z ewentualnych tarapatów. Procedury bezpieczeństwa opisane są w tzw. politykach. Są to:

• polityka fizycznego dostępu do pomieszczeń,
• polityka monitorowania systemu,
• polityka postępowania ze sprzętem i nośnikami danych,
• polityka szacowania ryzyka,
• polityka tworzenia kopii zapasowych,
• polityka zarządzania incydentami,
• polityka zasad postępowania w SZBI (system zarządzania bezpieczeństwem informacji). Certyfikat ISO nakłada również obowiązek prowadzenia rejestrów: upoważnień, czynności i – wspomniany już – incydentów. Dokumentacja obejmuje także inwentaryzację zasobów, plan ciągłości działania, szacowanie ryzyka, deklarację dostosowania i księgę SZBI.

Szacowanie ryzyka, czyli co może pójść nie tak?

Procedury bezpieczeństwa przewidziane przez normę ISO opiszemy szerzej w kolejnym tekście. Na razie rozważmy przykładowe incydenty, które mogą na razić na szwank firmę i prowadzony przez nią projekt, a także ich możliwe konsekwencje oraz środki zaradcze. Posiadacze certyfikatu bezpieczeństwa ISO tworzą własne zestawienie tego typu sytuacji, czyli tzw. szacowanie ryzyka. Część przypadków wydaje się oczywista, opracowanie niektórych wymaga odrobiny przenikliwości, a przede wszystkim wieloletniego doświadczenia w zarządzaniu spółką w branży IT.

Weźmy zagrożenia z zakresu IT i infrastruktury biurowej. Jest ich całkiem sporo: począwszy od wspólnego hasła WIFI, przez brak testów przywracania kopii zapasowych, niesprawny backup systemu finansowego, po niezamykany pokój zarządu czy włamanie do lokalu. Wszystkie te czynniki wiążą się z możliwością wycieku poufnych danych i zakłóceniem ciągłości projektów. Incydenty różnią się jednak pod względem prawdopodobieństwa wystąpienia i powagi następstw. Każdy z nich wymaga więc indywidualnej oceny pod kątem ryzyka. Jeśli jest ono wysokie, trzeba wdrożyć środki zaradcze, np. systemy backupu, indywidualne hasła dostępowe lub politykę czystego biurka (ochronę dokumentów przed wścibskim wzrokiem osób niepowołanych).

Inna kategoria zagrożeń dotyczy finansów. Przykładowo firma może zmagać się z brakiem wpływów od klientów lub utracić płynność finansową z powodu wypowiedzenia umowy kredytowej przez bank. Przyczyną kłopotów mogą być również błędne dane w systemie finansowym. Z tego typu sytuacji nie zawsze łatwo wybrnąć, ale świadomość ryzyka sprawia, że spółka jest na nie lepiej przygotowana. Wiele zagrożeń to czynniki mniejszego kalibru, jak częste zwolnienia lekarskie wśród pracowników czy brak niszczarki do dokumentów. Jednak również one mogą wywołać lawinę skutków, dlatego warto zakładać możliwość ich wystąpienia. Firma, która zdaje sobie sprawę z szerokiego spektrum zagrożeń związanych ze swoją działalnością, jest na nie lepiej przygotowana. Jest też zdecydowanie bardziej wiarygodnym i bezpiecznym partnerem biznesowym dla swoich kontrahentów.

Jeśli szukasz partnera, który zrealizuje Twój projekt z dbałością o jego bezpieczeństwo - porozmawiajmy!