Intervju vodio Dejan Ko\u0161uti\u0107, 5. rujna, 2013. godine<\/p>\n
DK: Pro\u0161lo je ve\u0107 vi\u0161e od godinu i pol od kako ste se certificirali po ISO 27001 \u2013 kakvi su dojmovi? Je li se to zapravo isplatilo?<\/i><\/p>\n
G\u0110: Pa definitivno se isplatilo iz tog razloga \u0161to se pokazalo da ISO 27001 certifikacija nije toliko tr\u017ei\u0161na prednost koliko must have<\/i>. Pozadina pri\u010de je u tome \u0161to se mi nastojimo obra\u0107ati onim tr\u017ei\u0161tima koja su regulatorno zahtjevna. Zna\u010di to su farmaceuti, telekomunikacije, financijska industrija, mo\u017eda u budu\u0107nosti proizvodnja hrane ili takvi korisnici, a oni su svi skupa izuzetno regulirani i zapravo u razgovoru s njima,\u00a0ISO 27001<\/a> je ne\u0161to \u0161to oni o\u010dekuju da bi uop\u0107e nastavili razgovarati sa vama. Tako da ne bih rekao da se isplati u smislu da je on nama donio korisnike nego nam je zapravo otvorio put u neko tr\u017ei\u0161te u koje uop\u0107e ne bismo imali ulaz.<\/p>\n DK: Za\u0161to potencijalni klijenti toliko stavljaju naglasak na ISO 27001, za\u0161to je taj standard prihva\u0107en kao ne\u0161to \u0161to je potrebno?<\/i><\/p>\n G\u0110: \u010cesto puta kod njih taj ISO 27001 nije ono \u0161to je dovoljno. On je nu\u017ean ali ne i dovoljan. Ali oni zapravo sa tim ISO 27001 uspostavljaju nekakvu po\u010detnu razinu, ne\u0161to kao: “E sada po\u010dinjemo razgovarati.” <\/i>Ako tvrtka ima ISO 27001 onda je pretpostavka da su neki osnovni kriteriji zadovoljeni, a onda nakon toga zapravo oni tra\u017ee svoje specifi\u010dne nadogradnje. Pored toga, ISO 27001 im skra\u0107uje proces audita \u2013 audit ne traje 6 dana nego 2.<\/p>\n DK: Dakle, ISO 27001 se smatra da je zapravo baseline. <\/i><\/p>\n G\u0110: Tako je, baseline.<\/i><\/p>\n DK: Da li se pojavljuje jo\u0161 neki drugi standard koji bi bio baseline kod tih potencijalnih kupaca?<\/i><\/p>\n G\u0110: Ne, ja bih rekao da je tu glavni ISO 27001. Naime, financijske organizacije obi\u010dno gledaju PSI DSS, ali budu\u0107i da smo infrastrukturni data centar onda mi isporu\u010duju\u0107i infrastrukturu ne ulazimo u njihove podatke i transakcije, i onda kada bi se gledala certifikacija za PSI DSS nama je out of scope<\/i> cijeli onaj dio koji nema veze sa infrastrukturom. Tako da oni ra\u010dunaju kod PSI DSS-a da smo to mi zadovoljili sa ISO 27001 \u2013 ona poglavlja u PSI DSS-u koja su relevantna uz infrastrukturu da smo ih na taj na\u010din pokrili. Za ISO 9001<\/a> nas nisu pitali jer su vi\u0161e manje podrazumijevali da ako imamo ISO 27001 da je onaj dio od 9001 koji je njima bitan ve\u0107 uklju\u010den.<\/p>\n DK: Ako dobro razumijem va\u0161 biznis vi vi\u0161e manje iznajmljujete infrastrukturu, zna\u010di ne baratate podacima?<\/i><\/p>\n G\u0110: Naj\u010de\u0161\u0107e je tako, da.<\/p>\n DK: Koliko je onda za vas kao pru\u017eatelja infrastrukturnih usluga ISO 27001 koristan s obzirom da se taj standard fokusira na informacije?<\/i><\/p>\n G\u0110: Ja bih rekao da se ISO 27001 ne bazira samo na informacije nego se on bazira i na sve ono \u0161to tu informacije \u010duva, prenosi, omogu\u0107ava da bude dostupne, da budu autenti\u010dne itd. Zapravo informacije same za sebe su ni\u0161ta, one ne mogu postojati izvan infrastrukture.<\/p>\n DK: U zadnje vrijeme trend ide sve vi\u0161e u smjeru clouda; koliko je tu ISO 27001 koristan ili koliko je on zapravo prepreka? Naime, prepreka bi mogao biti zato \u0161to firme koje koriste cloud usluge zapravo gube kontrolu nad svojim podacima.<\/i><\/p>\n G\u0110: Zapravo ne. Ako razmi\u0161ljamo o cloudu na na\u010din na koji se on postavlja na neke velike me\u0111unarodne providere \u2013 bio to Amazon AWS ili Rackspace ili sli\u010dno \u2013 oni su taj svoj cloud visoko industrijalizirali, i imaju standardni set proizvoda koji ciljaju uvijek na vi\u0161e manje jednake \u0161ablone; takva pri\u010da je napravljena na na\u010din da imaju data centre po svijetu izme\u0111u kojih migriraju virtualne servere i zapravo iz te perspektive stvar zaista izgleda tako da korisnici nemaju kontrolu nad podacima. Ne zna\u0161 gdje su zato \u0161to su danas mo\u017eda u Johannesburgu a sutra \u0107e mo\u017eda biti u Munchenu, i nema\u0161 utjecaj na strukturu mre\u017ee itd. To je cloud.<\/p>\n Ali cloud je i ne\u0161to drugo. Cloud je tako\u0111er ono \u0161to mi radimo, a mi smo u usporedbi sa takvim dobavlja\u010dima ono \u0161to bi bila razlika izme\u0111u krojenja i \u0161ivanja odjela po mjeri, i industrijskog odijela. Zna\u010di mi krojimo i \u0161ivamo po mjeri: korisnik koji do\u0111e kod nas mo\u017ee sa nama dogovoriti i strukturu mre\u017ee u kojoj \u0107e mu se vrtjeti virtualni serveri, mo\u017ee dogovoriti na\u010din na koji \u0107e se rje\u0161avati security. Naravno to sve mora biti u okviru odre\u0111enih standarda u odnosu na one velike svjetske igra\u010de na kojim se serverima fizi\u010dki mo\u017ee nalaziti njegova virtualna ma\u0161ina, u kojim gradovima itd. Mi mu mo\u017eemo to\u010dno postaviti okvire kako se \u0107e se taj njegov cloud pona\u0161ati.<\/p>\n DK: Dakle za razliku od ovih velikih industrijaliziranih igra\u010da postoje manji igra\u010di koji zapravo prilago\u0111avaju cloud posebnim sigurnosnim potrebama?<\/i><\/p>\n G\u0110: Da. I zapravo mislim da se u takvom setupu clouda uspjelo pomiriti sigurnost i u\u0161tede. Cloud zna\u010dajno \u0161tedi resurse i zato omogu\u0107ava da se sa manjom investicijom posti\u017ee jednaka razina ili ve\u0107a razina redundantnosti pa onda u slu\u010daju kvarova i tehni\u010dkih problema, taj \u0107e virtualni server nastaviti raditi na potpuno nekoj drugoj fizi\u010dkoj infrastrukturi a da nisi morao kupiti 3 ili 4 servera koji \u0107e to raditi. Zna\u010di uskladiti takav pristup sa time da ta okolina u kojoj se to sve skupa nalazi bude kontrolirana pa da ti zaista zna\u0161 da je \u010dinjeni\u010dno stanje, da ti fizi\u010dki server mo\u017eda dijeli\u0161 sa nekakvim drugim korisnikom. Ali sa druge strane zna\u0161 da ima\u0161 potpuno zaseban mre\u017eni segment. Da izme\u0111u tebe i bilo koga drugoga se nalazi firewall, da se to nalazi u ormaru u kojem ima pristup taj i taj pa ne mo\u017ee netko iz tog servera izvaditi disk ili ga vratiti bez kontrole itd. To zapravo daje korisnicima osje\u0107aj da imaju onu sigurnost koju bi imali i prije samo \u0161to koriste benefite clouda.<\/p>\n DK: OK, sada bih da popri\u010damo o va\u0161im iskustvima oko dokumentacije; \u0161to je vas na neki na\u010din najvi\u0161e iznenadilo? \u0160to je ono \u0161to ste dobili a niste o\u010dekivali, a \u0161to je ono \u0161to ste o\u010dekivali a niste dobili? <\/i><\/p>\n G\u0110: Ono \u0161to nas je iznenadilo kod implementacije je bilo to \u0161to smo mislili da \u0107emo dobiti nekakvu vrlo jednostavnu kuharicu i da je to nekakva \u0161pranca gdje \u0107emo krenuti od standarda i odraditi to\u010dku po to\u010dku po nekakvom procesu i da je to onda gotovo. Me\u0111utim, pokazalo se da uop\u0107e nije tako, nego smo zapravo morali po\u010deti od pogleda na sebe, zna\u010di to je bilo potpuno iznena\u0111enje. Nismo dobili definiciju “ISO je to i to” nego smo dobili “Pogledajte prvo \u0161to vam treba” i “\u0160to bi vi u kontekstu toga htjeli od ISO-a?\u201d i onda smo mi morali sami definirati kako to implementirati unutar onih okvira koje norma propisuje.<\/p>\n DK: Dakle, morali ste krenuti od procjene rizika?<\/i><\/p>\n G\u0110: Da, procjena rizika i prije toga analiza vlastitih poslovnih procesa da bi uop\u0107e znali koji su rizici. Ono \u0161to nisam o\u010dekivao je da \u0107e nam ISO u jednom dijelu olak\u0161ati operativu, jer \u010dovjek uvijek do\u017eivljava ISO i svaka drugu certifikaciju kao jo\u0161 jednu “grba\u010du”, a sa druge strane neke stvari koje smo imali nerije\u0161ene i sa kojima smo se petljali i mu\u010dili zapravo smo regulirali kroz definirane procese i sada znamo kako se to radi u svakodnevnom poslovanju.<\/p>\n DK: Koliko je bilo te\u0161ko va\u0161e ljude nau\u010diti da pi\u0161u dokumente, procedure i politike?<\/i><\/p>\n G\u0110: Nije bilo lako i to zapravo nikada nije svr\u0161ena stvar. To je vje\u010dita borba. Mora se u po\u010detku postaviti pravila igre i za taj segment jer ako se to ne napravi ne\u0107e ina\u010de biti dokumentacije. Zna\u010di to je vje\u010diti proces jer se bori\u0161 da sve bude kako treba.<\/p>\n DK: Dobro, ali pitanje da li je dokumentacija potrebna, da li je korisna?<\/i><\/p>\n G\u0110: To je drugi dio pri\u010de. To je zapravo klju\u010dno pitanje upotrebe ISO-a u praksi. Ja bih rekao da je dokumentacija za ISO kao voza\u010dka dozvola. Zna\u010di ti si sada dobio dozvolu i rekli su ti da zna\u0161 voziti auto, iza\u0161ao si na cestu ali zapravo shvati\u0161 da to nije to i onda naknadno dobije\u0161 od konzultanta cijeli niz komentara oko dokumentacije.<\/p>\n Koliko god ti truda ulo\u017eio, a pripreme mogu trajati od 6 mjeseci ili vi\u0161e, dokumenti mo\u017eda ne\u0107e savr\u0161eno odgovarati onome \u0161to ti radi\u0161. Budu\u0107i da ima\u0161 za cilj certifikaciju, onda ima\u0161 sklonosti prihvatiti te stvari koje pi\u0161u u dokumentima iako mo\u017eda nisu savr\u0161eno prilago\u0111ene tvojem svakodnevnom poslovanju. Onda se dogodi da puno toga ide na prvu certifikaciju, a certifikacijski auditor pita: “Ovo \u0161to ovdje pi\u0161e, da li vi to tako radite?” I onda shvati\u0161 da to \u0161to tamo pi\u0161e nitko normalan ne bi radio.<\/p>\n A onda u slijede\u0107oj nadzornoj posjeti takvih stvari ima manje jer dokumente prilago\u0111ava\u0161 sebi jer si ve\u0107 stekao iskustvo. Me\u0111utim opet tu postoji ljudska potreba da \u0161to vi\u0161e posla napravi\u0161 za \u0161to kra\u0107e vrijeme a dokumentacija je uvijek overhead<\/i>.<\/p>\n DK: Kako psiholo\u0161ki dosko\u010diti tom problemu da ako i postoji neki potrebni dokumenti da ih ljudi, koji su po prirodi posla prili\u010dno zaposleni, ne mrze?<\/i><\/p>\n G\u0110: Tako da se ne treba robovati formi. Ja sam prije imao iskustva sa tvrtkama u kojima je bio propisan formalni proces odobravanja ne\u010dega na na\u010din da se stvar morala tiskati u papirnatom obliku na nekoliko primjeraka onda je 12 direktora moralo to pro\u010ditati i onda je svih 12 moralo to potpisati i onda je i\u0161lo na committee<\/i> \u2013 to je bio pakao. Normalno da \u0107e to ljudi do\u017eivljavati kao nekakav u\u017eas. Sa druge strane ISO 27001 dopu\u0161ta u dosta velikoj mjeri da tvrtka sebi propi\u0161e \u0161to im je dovoljno dobro i onda u tom slu\u010daju treba pojednostaviti stvar. Ne raditi alibi na na\u010din da 12 ljudi ne\u0161to mora pro\u010ditati i odobriti jer od tih 12 njih devetoricu nije briga za to, nego napraviti procedure jednostavnije i efektivnije i po\u010deti koristiti alate. Za\u0161to bi netko ne\u0161to potpisao na papiru ako je odobravanje kroz CMS sasvim dovoljan alat. Zna\u010di imamo sljedivost i znamo da je to taj \u010dovjek i potpisao i odobrio i ne moramo nositi javnom bilje\u017eniku da je on to odobrio. I onda to ljudi prestanu do\u017eivljavati kao muku i po\u010dnu do\u017eivljavati kao dio procesa i tada je lak\u0161e.<\/p>\n DK: \u0160to je bilo najte\u017ee tijekom implementacije? Da li postoji ne\u0161to zbog \u010dega ste htjeli odustati? <\/i><\/p>\n G\u0110: Nismo htjeli ni zbog \u010dega odustati zato \u0161to smo vrlo brzo shvatili da nam je to prednost. Na\u0161a motivacija je tu bila da ako se \u017eelimo baviti time moramo imati taj standard. To pitanje nikad nije bilo tema. \u0160to je bilo najte\u017ee? Ja bih rekao da je najte\u017ee bilo procijeniti scope<\/i> sustava, \u010dime \u0107emo se sve unutar njega baviti i koliko detaljno i\u0107i Postoji mogu\u0107nost da kada do\u0111e neka ISO dokumentacija koja je dimenzionirana za puno ve\u0107u firmu nego \u0161to smo trebali, a neke stvari su kod nas bile puno jednostavnije i onda je trebalo mnogo stvari rezati, ali sa druge strane ako izre\u017ee\u0161 previ\u0161e onda kada gleda\u0161 da li zadovoljava\u0161 pravila norme mo\u017ee se desiti da u tom silnom rezanju neke stvari jednostavno izostavi\u0161. Tu nam je tvoja pomo\u0107 bila jako dobra u smislu da si ti bio dosta tu goal oriented<\/i> i da si rekao: “Nemojte o ovome razmi\u0161ljati, vama to nije bitno” ili “Ova tri dokumenta mo\u017eete spojiti u operativnim procedurama” tako da je taj dio bio dosta dobar. Mislim da prilikom te implementacije, pogotovo ako firme rade same, postoje velike \u0161anse da \u0107e ili oti\u0107i pre\u0161iroko ili da \u0107e oti\u0107i ispod potrebne razine. Granica nije jasno vidljiva i to je zapravo bilo te\u0161ko.<\/p>\n DK: Koliko je vanjska pomo\u0107 bitna? Gdje je optimum izme\u0111u dvije krajnosti \u2013 sa jedne strane da potpuno sam implementira\u0161 standard i da nema\u0161 niti predlo\u0161ke niti konzultanta, a druga krajnost je da ima\u0161 konzultanta koji ti sve radi. Gdje je tu neka sredina? <\/i><\/p>\n G\u0110: Prva stvar koju si svaka tvrtka mora postaviti kao nekakvu premisu jest: konzultant njihov ISO ne\u0107e napraviti. ISO napravi\u0161 sam ili nikako. Konzultant ne radi ISO, sam radi\u0161 ISO, a konzultant prepoznaje tvoje poslovne procese. Da bi netko razumio tvoje poslovne procese mora zaposliti brdo konzultanata a to je ve\u0107 posao za sebe. Zna\u010di ti sam radi\u0161 ISO, nema konzultanata. Konzultant je tu bitan u drugom dijelu a to je da konzultant puno bolje razumije normu nego ti, pa ti onda mo\u017ee istaknuti stvari na koje si zaboravio ili na kojima si mo\u017eda pretjerao. Druga stvar koja je jako va\u017ena je da konzultant ima iskustva iz prakse \u2013 evo analogije iz prometa: u teoriji ja znam kako se prelazi preko pru\u017enog prijelaza ali ako ja ne znam da je tipi\u010dno u Hrvatskoj da se rampa \u010desto puta ne spusti dok vlak prolazi onda \u0107e biti ru\u017eno. Isto tako i konzultant u praksi zna \u0161to se drugima desilo, zna gdje su naletjeli na probleme, bilo prilikom certifikacije, bilo u praksi gdje su predimenzionirali neke stvari i onda imaju takvu rupu u sigurnosti da su imali milijunske \u0161tete. Mi smo nekoliko puta tijekom na\u0161e implementacije krenuli u krivom smjeru. Radili smo i onda smo u jednom trenutku \u010duli; \u0161to ste vi to radili? Onda smo se vratili dva koraka nazad pa smo krenuli u pravom smjeru. Da tu nema konzultanta koji \u0107e pogledati \u0161to radite na relativno \u010destoj osnovi i vratiti dva koraka unazad kada krenete u krivom smjeru moglo bi se desiti da ode\u0161 deset koraka u krivo i onda se vra\u0107a\u0161.<\/p>\n DK: Samo da razjasnimo ne\u0161to: da li je uloga konzultanta da pi\u0161e va\u0161u dokumentaciju ili ne?<\/i><\/p>\n G\u0110: Ne. Ono \u0161to je nama bilo od velike pomo\u0107i su bili predlo\u0161ci dokumenata. Ne toliko zbog sadr\u017eaja koliko zbog toga da vidimo kako ta forma morala izgledati i koje teme moraju u sebi sadr\u017eavati obzirom na sve ono \u0161to je u normi. Uzmimo primjer password politike, apsolutno je sigurno da je taj predlo\u017eak dokumenta u kojem je na odre\u0111eni na\u010din opisana password politika nema veze s onim \u0161to mi radimo; onda smo mi u procjeni rizika i kasnije u opisu na\u010dina kako mi reguliramo passworde sebi zamislili neku sasvim drugu pri\u010du i na tom mjestu u dokumentu definirali \u0161to mi radimo sa passwordima \u2013 vjerojatno je taj tekst bio 70% druga\u010diji nego onaj koji iz predlo\u0161ka. Sama \u010dinjenica da smo mi znali da moramo upisati kako mi rukujemo passwordima i da to treba biti u odre\u0111enom dijelu dokumentacije, ve\u0107 poma\u017ee.<\/p>\n DK: Zna\u010di predlo\u0161ke koji sa jedne strane daju strukturu ali vam daju i slobodu da opisujete ono \u0161to stvarno postoji kod vas?<\/i><\/p>\n G\u0110: Tako je.<\/p>\n DK: \u0160to je onda uloga konzultanta? Ako konzultant ne pi\u0161e dokumentaciju da li on mora biti prisutan on-site kod vas?<\/i><\/p>\n G\u0110: Ne mora. Mi smo uvijek voljeli da imamo konzultanta prisutnog, ali nije uvijek zaista i bio tu. Imali smo dosta sastanaka koji su bili online. Voljeli smo se tu i tamo susresti sa konzultantom u\u017eivo ali to nema veze sa samim stru\u010dnim radom nego sa razlozima hrvatskog kulturolo\u0161kog backgrounda \u2013 volimo vidjeti \u010dovjeka u\u017eivo i popiti kavu sa njime. Zapravo su\u0161tinski nam nije bio potreban on-site zato \u0161to smo \u010ditanja dokumenata mogli smo ih raditi preko webscreen-a. Ja bih rekao da to nije nu\u017eno \u2013 ugodno ali nije i nu\u017eno.<\/p>\n DK: Za\u0161to ISO 27001 jo\u0161 uvijek nije toliko popularan kao ISO 9001?<\/i><\/p>\n G\u0110: Vjerojatno zbog neprepoznatih potreba. ISO 9001 je ne\u0161to kao cipela koja pa\u0161e na svaku nogu. Ne postoji firma koja se na prvu loptu ne\u0107e prepoznati u ISO 9001, a sa druge strane ISO 9001 je jako puno u medijima. Jako puno je kori\u0161ten kao marketin\u0161ki alat, kao ne\u0161to \u0161to je bitno. Tre\u0107a stvar, mislim da se ISO 9001 mo\u017ee lak\u0161e implementirati nego ISO 27001. Sa druge strane ISO 27001 je te\u017ee prepoznati, bez obzira \u0161to ja mislim da svaka firma koja ima neki minimum informacija unutar svoje ku\u0107e \u2013 svi imaju minimalno knjigovodstvene podatke, a i popis tvojih korisnika sa njihovim brojevima mobitela \u2013 \u0161to su tako\u0111er podaci koji treba \u0161tititi. Svi bi ga mogli implementirati. Sa druge strane rijetke su firme koje imaju nu\u017enost implementacije ISO 27001 kao \u0161to smo mi to imali, i onda kad se uzme u obzir da je ISO 27001 puno te\u017ee implementirati nego ISO 9001 logi\u010dno je da je manje popularan.<\/p>\n DK: I za kraj, koje su 3 stvari bi preporu\u010dio IT firmama koje tek kre\u0107u u ISO 27001? Na \u0161to trebaju obratiti pozornost prije nego \u0161to krenu u implementaciju?<\/i><\/p>\n G\u0110: Prvo je da moraju sebi odgovoriti na pitanje za\u0161to \u017eele ISO 27001, tj. \u017eele li ga, treba li im i ako im treba koliko su motivirani da ga imaju. To je odmah na po\u010detku, zna\u010di plusevi i minusi. Druga stvar, ako odlu\u010de da ga \u017eele imati, onda mora postojati apsolutni commitment<\/i> menad\u017ementa za ISO 27001. Ne smije niti u jednom trenutku do\u0107i do dileme, jer tijekom realizacije projekta \u0107e puno puta do\u0107i do trenutka da \u0107e se odlu\u010divati \u010demu \u0107e se dodijeliti resursi: za ISO 27001 ili za neki drugi projekt koji se na prvu \u010dini va\u017enijim. Benefit iz ISO 27001 nije da \u0107e\u0161 ti kraju projekta zaraditi ne\u0161to; to radi\u0161 iako ne vidi\u0161 trenutnu korist. Taj projekt mo\u017ee brzo u oti\u0107i u nekakav rukavac i tamo zalutati. Ako si odlu\u010dio da ho\u0107e\u0161 ISO onda commitment menad\u017ementa mora biti sna\u017ean, mora biti ja\u010di nego za neki drugi koji izravno nosi prihod. Tre\u0107a stvar koja je po meni bitna je obratiti pa\u017enju na loose ends<\/i>. Kao kod svakog projekta tako i kod ISO 27001, do\u0111e\u0161 do nekih 95% svega i ve\u0107 ti je i pun nos tog projekta i certifikatora i internog revizora koji te pita gluposti i onda jo\u0161 mora\u0161 napraviti 20 stvari a ti si ra\u010dunao da si ti sad sa time gotov. Dakle treba izgurati i taj finish line<\/i>, tih zadnjih 5% i onda je lak\u0161e.<\/p>\n Preuzmite ovaj besplatni ‘white paper’ kako biste pro\u010ditali cijeli intervju:<\/i> ISO 27001 Studija slu\u010daja za podatkovne centre<\/a>.<\/p>\n