Intervju sa Goranom Đoreskim: Tvrtke moraju same pisati svoju ISO 27001 dokumentaciju

Intervju vodio Dejan Košutić, 5. rujna, 2013. godine

DK: Prošlo je već više od godinu i pol od kako ste se certificirali po ISO 27001 – kakvi su dojmovi? Je li se to zapravo isplatilo?

GĐ: Pa definitivno se isplatilo iz tog razloga što se pokazalo da ISO 27001 certifikacija nije toliko tržišna prednost koliko must have. Pozadina priče je u tome što se mi nastojimo obraćati onim tržištima koja su regulatorno zahtjevna. Znači to su farmaceuti, telekomunikacije, financijska industrija, možda u budućnosti proizvodnja hrane ili takvi korisnici, a oni su svi skupa izuzetno regulirani i zapravo u razgovoru s njima, ISO 27001 je nešto što oni očekuju da bi uopće nastavili razgovarati sa vama. Tako da ne bih rekao da se isplati u smislu da je on nama donio korisnike nego nam je zapravo otvorio put u neko tržište u koje uopće ne bismo imali ulaz.

DK: Zašto potencijalni klijenti toliko stavljaju naglasak na ISO 27001, zašto je taj standard prihvaćen kao nešto što je potrebno?

GĐ: Često puta kod njih taj ISO 27001 nije ono što je dovoljno. On je nužan ali ne i dovoljan. Ali oni zapravo sa tim ISO 27001 uspostavljaju nekakvu početnu razinu, nešto kao: “E sada počinjemo razgovarati.” Ako tvrtka ima ISO 27001 onda je pretpostavka da su neki osnovni kriteriji zadovoljeni, a onda nakon toga zapravo oni traže svoje specifične nadogradnje. Pored toga, ISO 27001 im skraćuje proces audita – audit ne traje 6 dana nego 2.

DK: Dakle, ISO 27001 se smatra da je zapravo baseline.

GĐ: Tako je, baseline.

DK: Da li se pojavljuje još neki drugi standard koji bi bio baseline kod tih potencijalnih kupaca?

GĐ: Ne, ja bih rekao da je tu glavni ISO 27001. Naime, financijske organizacije obično gledaju PSI DSS, ali budući da smo infrastrukturni data centar onda mi isporučujući infrastrukturu ne ulazimo u njihove podatke i transakcije, i onda kada bi se gledala certifikacija za PSI DSS nama je out of scope cijeli onaj dio koji nema veze sa infrastrukturom. Tako da oni računaju kod PSI DSS-a da smo to mi zadovoljili sa ISO 27001 – ona poglavlja u PSI DSS-u koja su relevantna uz infrastrukturu da smo ih na taj način pokrili. Za ISO 9001 nas nisu pitali jer su više manje podrazumijevali da ako imamo ISO 27001 da je onaj dio od 9001 koji je njima bitan već uključen.

DK: Ako dobro razumijem vaš biznis vi više manje iznajmljujete infrastrukturu, znači ne baratate podacima?

GĐ: Najčešće je tako, da.

DK: Koliko je onda za vas kao pružatelja infrastrukturnih usluga ISO 27001 koristan s obzirom da se taj standard fokusira na informacije?

GĐ: Ja bih rekao da se ISO 27001 ne bazira samo na informacije nego se on bazira i na sve ono što tu informacije čuva, prenosi, omogućava da bude dostupne, da budu autentične itd. Zapravo informacije same za sebe su ništa, one ne mogu postojati izvan infrastrukture.

DK: U zadnje vrijeme trend ide sve više u smjeru clouda; koliko je tu ISO 27001 koristan ili koliko je on zapravo prepreka? Naime, prepreka bi mogao biti zato što firme koje koriste cloud usluge zapravo gube kontrolu nad svojim podacima.

GĐ: Zapravo ne. Ako razmišljamo o cloudu na način na koji se on postavlja na neke velike međunarodne providere – bio to Amazon AWS ili Rackspace ili slično – oni su taj svoj cloud visoko industrijalizirali, i imaju standardni set proizvoda koji ciljaju uvijek na više manje jednake šablone; takva priča je napravljena na način da imaju data centre po svijetu između kojih migriraju virtualne servere i zapravo iz te perspektive stvar zaista izgleda tako da korisnici nemaju kontrolu nad podacima. Ne znaš gdje su zato što su danas možda u Johannesburgu a sutra će možda biti u Munchenu, i nemaš utjecaj na strukturu mreže itd. To je cloud.

Ali cloud je i nešto drugo. Cloud je također ono što mi radimo, a mi smo u usporedbi sa takvim dobavljačima ono što bi bila razlika između krojenja i šivanja odjela po mjeri, i industrijskog odijela. Znači mi krojimo i šivamo po mjeri: korisnik koji dođe kod nas može sa nama dogovoriti i strukturu mreže u kojoj će mu se vrtjeti virtualni serveri, može dogovoriti način na koji će se rješavati security. Naravno to sve mora biti u okviru određenih standarda u odnosu na one velike svjetske igrače na kojim se serverima fizički može nalaziti njegova virtualna mašina, u kojim gradovima itd. Mi mu možemo točno postaviti okvire kako se će se taj njegov cloud ponašati.

DK: Dakle za razliku od ovih velikih industrijaliziranih igrača postoje manji igrači koji zapravo prilagođavaju cloud posebnim sigurnosnim potrebama?

GĐ: Da. I zapravo mislim da se u takvom setupu clouda uspjelo pomiriti sigurnost i uštede. Cloud značajno štedi resurse i zato omogućava da se sa manjom investicijom postiže jednaka razina ili veća razina redundantnosti pa onda u slučaju kvarova i tehničkih problema, taj će virtualni server nastaviti raditi na potpuno nekoj drugoj fizičkoj infrastrukturi a da nisi morao kupiti 3 ili 4 servera koji će to raditi. Znači uskladiti takav pristup sa time da ta okolina u kojoj se to sve skupa nalazi bude kontrolirana pa da ti zaista znaš da je činjenično stanje, da ti fizički server možda dijeliš sa nekakvim drugim korisnikom. Ali sa druge strane znaš da imaš potpuno zaseban mrežni segment. Da između tebe i bilo koga drugoga se nalazi firewall, da se to nalazi u ormaru u kojem ima pristup taj i taj pa ne može netko iz tog servera izvaditi disk ili ga vratiti bez kontrole itd. To zapravo daje korisnicima osjećaj da imaju onu sigurnost koju bi imali i prije samo što koriste benefite clouda.

DK: OK, sada bih da popričamo o vašim iskustvima oko dokumentacije; što je vas na neki način najviše iznenadilo? Što je ono što ste dobili a niste očekivali, a što je ono što ste očekivali a niste dobili?

GĐ: Ono što nas je iznenadilo kod implementacije je bilo to što smo mislili da ćemo dobiti nekakvu vrlo jednostavnu kuharicu i da je to nekakva špranca gdje ćemo krenuti od standarda i odraditi točku po točku po nekakvom procesu i da je to onda gotovo. Međutim, pokazalo se da uopće nije tako, nego smo zapravo morali početi od pogleda na sebe, znači to je bilo potpuno iznenađenje. Nismo dobili definiciju “ISO je to i to” nego smo dobili “Pogledajte prvo što vam treba” i “Što bi vi u kontekstu toga htjeli od ISO-a?” i onda smo mi morali sami definirati kako to implementirati unutar onih okvira koje norma propisuje.

DK: Dakle, morali ste krenuti od procjene rizika?

GĐ: Da, procjena rizika i prije toga analiza vlastitih poslovnih procesa da bi uopće znali koji su rizici. Ono što nisam očekivao je da će nam ISO u jednom dijelu olakšati operativu, jer čovjek uvijek doživljava ISO i svaka drugu certifikaciju kao još jednu “grbaču”, a sa druge strane neke stvari koje smo imali neriješene i sa kojima smo se petljali i mučili zapravo smo regulirali kroz definirane procese i sada znamo kako se to radi u svakodnevnom poslovanju.

DK: Koliko je bilo teško vaše ljude naučiti da pišu dokumente, procedure i politike?

GĐ: Nije bilo lako i to zapravo nikada nije svršena stvar. To je vječita borba. Mora se u početku postaviti pravila igre i za taj segment jer ako se to ne napravi neće inače biti dokumentacije. Znači to je vječiti proces jer se boriš da sve bude kako treba.

DK: Dobro, ali pitanje da li je dokumentacija potrebna, da li je korisna?

GĐ: To je drugi dio priče. To je zapravo ključno pitanje upotrebe ISO-a u praksi. Ja bih rekao da je dokumentacija za ISO kao vozačka dozvola. Znači ti si sada dobio dozvolu i rekli su ti da znaš voziti auto, izašao si na cestu ali zapravo shvatiš da to nije to i onda naknadno dobiješ od konzultanta cijeli niz komentara oko dokumentacije.

Koliko god ti truda uložio, a pripreme mogu trajati od 6 mjeseci ili više, dokumenti možda neće savršeno odgovarati onome što ti radiš. Budući da imaš za cilj certifikaciju, onda imaš sklonosti prihvatiti te stvari koje pišu u dokumentima iako možda nisu savršeno prilagođene tvojem svakodnevnom poslovanju. Onda se dogodi da puno toga ide na prvu certifikaciju, a certifikacijski auditor pita: “Ovo što ovdje piše, da li vi to tako radite?” I onda shvatiš da to što tamo piše nitko normalan ne bi radio.

A onda u slijedećoj nadzornoj posjeti takvih stvari ima manje jer dokumente prilagođavaš sebi jer si već stekao iskustvo. Međutim opet tu postoji ljudska potreba da što više posla napraviš za što kraće vrijeme a dokumentacija je uvijek overhead.

DK: Kako psihološki doskočiti tom problemu da ako i postoji neki potrebni dokumenti da ih ljudi, koji su po prirodi posla prilično zaposleni, ne mrze?

GĐ: Tako da se ne treba robovati formi. Ja sam prije imao iskustva sa tvrtkama u kojima je bio propisan formalni proces odobravanja nečega na način da se stvar morala tiskati u papirnatom obliku na nekoliko primjeraka onda je 12 direktora moralo to pročitati i onda je svih 12 moralo to potpisati i onda je išlo na committee – to je bio pakao. Normalno da će to ljudi doživljavati kao nekakav užas. Sa druge strane ISO 27001 dopušta u dosta velikoj mjeri da tvrtka sebi propiše što im je dovoljno dobro i onda u tom slučaju treba pojednostaviti stvar. Ne raditi alibi na način da 12 ljudi nešto mora pročitati i odobriti jer od tih 12 njih devetoricu nije briga za to, nego napraviti procedure jednostavnije i efektivnije i početi koristiti alate. Zašto bi netko nešto potpisao na papiru ako je odobravanje kroz CMS sasvim dovoljan alat. Znači imamo sljedivost i znamo da je to taj čovjek i potpisao i odobrio i ne moramo nositi javnom bilježniku da je on to odobrio. I onda to ljudi prestanu doživljavati kao muku i počnu doživljavati kao dio procesa i tada je lakše.

DK: Što je bilo najteže tijekom implementacije? Da li postoji nešto zbog čega ste htjeli odustati?

GĐ: Nismo htjeli ni zbog čega odustati zato što smo vrlo brzo shvatili da nam je to prednost. Naša motivacija je tu bila da ako se želimo baviti time moramo imati taj standard. To pitanje nikad nije bilo tema. Što je bilo najteže? Ja bih rekao da je najteže bilo procijeniti scope sustava, čime ćemo se sve unutar njega baviti i koliko detaljno ići Postoji mogućnost da kada dođe neka ISO dokumentacija koja je dimenzionirana za puno veću firmu nego što smo trebali, a neke stvari su kod nas bile puno jednostavnije i onda je trebalo mnogo stvari rezati, ali sa druge strane ako izrežeš previše onda kada gledaš da li zadovoljavaš pravila norme može se desiti da u tom silnom rezanju neke stvari jednostavno izostaviš. Tu nam je tvoja pomoć bila jako dobra u smislu da si ti bio dosta tu goal oriented i da si rekao: “Nemojte o ovome razmišljati, vama to nije bitno” ili “Ova tri dokumenta možete spojiti u operativnim procedurama” tako da je taj dio bio dosta dobar. Mislim da prilikom te implementacije, pogotovo ako firme rade same, postoje velike šanse da će ili otići preširoko ili da će otići ispod potrebne razine. Granica nije jasno vidljiva i to je zapravo bilo teško.

DK: Koliko je vanjska pomoć bitna? Gdje je optimum između dvije krajnosti – sa jedne strane da potpuno sam implementiraš standard i da nemaš niti predloške niti konzultanta, a druga krajnost je da imaš konzultanta koji ti sve radi. Gdje je tu neka sredina?

GĐ: Prva stvar koju si svaka tvrtka mora postaviti kao nekakvu premisu jest: konzultant njihov ISO neće napraviti. ISO napraviš sam ili nikako. Konzultant ne radi ISO, sam radiš ISO, a konzultant prepoznaje tvoje poslovne procese. Da bi netko razumio tvoje poslovne procese mora zaposliti brdo konzultanata a to je već posao za sebe. Znači ti sam radiš ISO, nema konzultanata. Konzultant je tu bitan u drugom dijelu a to je da konzultant puno bolje razumije normu nego ti, pa ti onda može istaknuti stvari na koje si zaboravio ili na kojima si možda pretjerao. Druga stvar koja je jako važna je da konzultant ima iskustva iz prakse – evo analogije iz prometa: u teoriji ja znam kako se prelazi preko pružnog prijelaza ali ako ja ne znam da je tipično u Hrvatskoj da se rampa često puta ne spusti dok vlak prolazi onda će biti ružno. Isto tako i konzultant u praksi zna što se drugima desilo, zna gdje su naletjeli na probleme, bilo prilikom certifikacije, bilo u praksi gdje su predimenzionirali neke stvari i onda imaju takvu rupu u sigurnosti da su imali milijunske štete. Mi smo nekoliko puta tijekom naše implementacije krenuli u krivom smjeru. Radili smo i onda smo u jednom trenutku čuli; što ste vi to radili? Onda smo se vratili dva koraka nazad pa smo krenuli u pravom smjeru. Da tu nema konzultanta koji će pogledati što radite na relativno čestoj osnovi i vratiti dva koraka unazad kada krenete u krivom smjeru moglo bi se desiti da odeš deset koraka u krivo i onda se vraćaš.

DK: Samo da razjasnimo nešto: da li je uloga konzultanta da piše vašu dokumentaciju ili ne?

GĐ: Ne. Ono što je nama bilo od velike pomoći su bili predlošci dokumenata. Ne toliko zbog sadržaja koliko zbog toga da vidimo kako ta forma morala izgledati i koje teme moraju u sebi sadržavati obzirom na sve ono što je u normi. Uzmimo primjer password politike, apsolutno je sigurno da je taj predložak dokumenta u kojem je na određeni način opisana password politika nema veze s onim što mi radimo; onda smo mi u procjeni rizika i kasnije u opisu načina kako mi reguliramo passworde sebi zamislili neku sasvim drugu priču i na tom mjestu u dokumentu definirali što mi radimo sa passwordima – vjerojatno je taj tekst bio 70% drugačiji nego onaj koji iz predloška. Sama činjenica da smo mi znali da moramo upisati kako mi rukujemo passwordima i da to treba biti u određenom dijelu dokumentacije, već pomaže.

DK: Znači predloške koji sa jedne strane daju strukturu ali vam daju i slobodu da opisujete ono što stvarno postoji kod vas?

GĐ: Tako je.

DK: Što je onda uloga konzultanta? Ako konzultant ne piše dokumentaciju da li on mora biti prisutan on-site kod vas?

GĐ: Ne mora. Mi smo uvijek voljeli da imamo konzultanta prisutnog, ali nije uvijek zaista i bio tu. Imali smo dosta sastanaka koji su bili online. Voljeli smo se tu i tamo susresti sa konzultantom uživo ali to nema veze sa samim stručnim radom nego sa razlozima hrvatskog kulturološkog backgrounda – volimo vidjeti čovjeka uživo i popiti kavu sa njime. Zapravo suštinski nam nije bio potreban on-site zato što smo čitanja dokumenata mogli smo ih raditi preko webscreen-a. Ja bih rekao da to nije nužno – ugodno ali nije i nužno.

DK: Zašto ISO 27001 još uvijek nije toliko popularan kao ISO 9001?

GĐ: Vjerojatno zbog neprepoznatih potreba. ISO 9001 je nešto kao cipela koja paše na svaku nogu. Ne postoji firma koja se na prvu loptu neće prepoznati u ISO 9001, a sa druge strane ISO 9001 je jako puno u medijima. Jako puno je korišten kao marketinški alat, kao nešto što je bitno. Treća stvar, mislim da se ISO 9001 može lakše implementirati nego ISO 27001. Sa druge strane ISO 27001 je teže prepoznati, bez obzira što ja mislim da svaka firma koja ima neki minimum informacija unutar svoje kuće – svi imaju minimalno knjigovodstvene podatke, a i popis tvojih korisnika sa njihovim brojevima mobitela – što su također podaci koji treba štititi. Svi bi ga mogli implementirati. Sa druge strane rijetke su firme koje imaju nužnost implementacije ISO 27001 kao što smo mi to imali, i onda kad se uzme u obzir da je ISO 27001 puno teže implementirati nego ISO 9001 logično je da je manje popularan.

DK: I za kraj, koje su 3 stvari bi preporučio IT firmama koje tek kreću u ISO 27001? Na što trebaju obratiti pozornost prije nego što krenu u implementaciju?

GĐ: Prvo je da moraju sebi odgovoriti na pitanje zašto žele ISO 27001, tj. žele li ga, treba li im i ako im treba koliko su motivirani da ga imaju. To je odmah na početku, znači plusevi i minusi. Druga stvar, ako odluče da ga žele imati, onda mora postojati apsolutni commitment menadžmenta za ISO 27001. Ne smije niti u jednom trenutku doći do dileme, jer tijekom realizacije projekta će puno puta doći do trenutka da će se odlučivati čemu će se dodijeliti resursi: za ISO 27001 ili za neki drugi projekt koji se na prvu čini važnijim. Benefit iz ISO 27001 nije da ćeš ti kraju projekta zaraditi nešto; to radiš iako ne vidiš trenutnu korist. Taj projekt može brzo u otići u nekakav rukavac i tamo zalutati. Ako si odlučio da hoćeš ISO onda commitment menadžmenta mora biti snažan, mora biti jači nego za neki drugi koji izravno nosi prihod. Treća stvar koja je po meni bitna je obratiti pažnju na loose ends. Kao kod svakog projekta tako i kod ISO 27001, dođeš do nekih 95% svega i već ti je i pun nos tog projekta i certifikatora i internog revizora koji te pita gluposti i onda još moraš napraviti 20 stvari a ti si računao da si ti sad sa time gotov. Dakle treba izgurati i taj finish line, tih zadnjih 5% i onda je lakše.

Preuzmite ovaj besplatni ‘white paper’ kako biste pročitali cijeli intervju: ISO 27001 Studija slučaja za podatkovne centre.

Goran Đoreski je Predsjednik uprave operatorski neovisnog data centra Altus informacijske tehnologije. Prije toga je dvanaest godina radio u financijskoj industriji, baveći se poslovnim razvojem kartičnog poslovanja, te sigurnošću kartičnih plaćanja.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.