Dejan Kosutic Vrlo često slušam izjave o ISO 27001 i ne znam da li bih se smijao ili plakao. Zapravo je smiješno kako ljudi vole donositi odluke o stvarima o kojima znaju vrlo malo – evo nekih uobičajenih zabluda:
“Norma propisuje…”
“Norma propisuje da se lozinke mijenjaju svaka 3 mjeseca.” “Norma propisuje da mora postojati više dobavljača.” “Norma propisuje da lokacija za oporavak nakon havarije mora biti najmanje 50 km udaljena od glavne lokacije.” Stvarno? U normi ne piše ništa od toga. Nažalost, vrlo često čujem takve krive informacije – ljudi obično najbolje prakse smatraju zahtjevima norme. No problem je da nisu sva sigurnosna pravila primjenjiva u svim vrstama organizacija. A ljudi koji tvrde da to propisuje norma obično normu nisu ni pročitali.
“Pustit ćemo da se time bavi odjel za IT”
Ovo je omiljena izjava menadžmenta: “Informacijska sigurnost ionako se tiče samo informacijske tehnologije, zar ne?” Pa i ne baš – najvažniji elementi informacijske sigurnosti ne obuhvaćaju samo IT mjere, nego i organizacijska pitanja i upravljanje ljudskim resursima, koji su obično izvan dosega odjela za IT. Vidi također Informacijska sigurnost ili IT sigurnost.
“Implementirat ćemo normu za nekoliko mjeseci”
Mogli biste implementirati ISO 27001 za dva ili tri mjeseca, ali to neće funkcionirati – dobit ćete samo hrpu politika i procedura za koje nikoga nije briga. Implementacija informacijske sigurnosti znači da morate implementirati promjene, a za to je potrebno dosta vremena.
Da ne spominjem da morate implementirati samo one mjere koje su zaista potrebne, a analiza onoga što je zaista potrebno traje – zove se procjena rizika i obrada rizika.
“U normi se radi samo o dokumentaciji”
Dokumentacija je važan dio implementacije norme ISO 27001, ali dokumentacija nije sama sebi svrha. Poanta je da svoje aktivnosti provodite na siguran način, a dokumentacija je tu da vam pomogne. Također, zapisi koje vodite pomoći će vam da izmjerite jeste li ostvarili ciljeve informacijske sigurnosti i omogućiti da ispravite one aktivnosti čiji su rezultati ispod očekivanih.
“Jedina korist norme je marketinška”
“Ovo radimo samo da bismo dobili certifikat, zar ne?” To je (nažalost) način na koji razmišlja 80 posto tvrtki. Ne želim reći da ISO 27001 ne bi trebalo koristiti u svrhu promidžbe i prodaje, ali možete ostvariti i druge važne koristi, na primjer spriječiti da se i vama dogodi slučaj poput WikiLeaksa. Vidi također Četiri ključne koristi implementacije norme ISO 27001 i Pouke WikiLeaksa: Što je zapravo informacijska sigurnost?.
Poanta je sljedeća: pročitajte normu ISO 27001 prije nego stvorite mišljenje o njoj; ili, ako vam je suviše dosadna za čitanje (a priznajem da je), posavjetujte se s nekim tko je dobro poznaje. I pokušajte ostvariti i druge koristi osim marketinških. Drugim riječima, povećajte vjerojatnost da investicija u informacijsku sigurnost bude isplativa.
Da biste lakše implementirali i održavali ISO 27001, pogledajte Conformio softver za sukladnost.
