Борис Гончаров: Корпоративната система за информационна сигурност е нов маниер на функциониране (2 част)
|Втора част на интервюто с Борис Гончаров (първата част можете да намерите тук).
New Horizons Bulgaria: Какви са предимствата на корпоративната система за информационна сигурност?
Борис Гончаров: Едно от основните предимства е, че кара организацията, използваща такава система да работи по един съвсем различен маниер, като придобива ново, по-дълбоко разбиране за стойността на това, което прави. Водещо е разбирането, че информацията е актив и то може би най-важният.
Представи си, че закачаш цена на всeки един документ или на всяка една идея. И документите, и идеите представляват информацонен актив и носят своята стойност и значение за бизнеса ти. Една такава система създава възможност на целия мениджмънт, на цялата организация да разбере стойността на своите активи в абсолютни детайли, т.е. да може да оцени какво за нея представлява всеки един документ, вссеки един договор, всяко едно действие, което е свързано с обмен на информация.
Хората разбират стойността на това, което създават с интелекта си. Креативността им е въплътена в процедура, процес и т.н. и има своята „цена“.
Отделно можем да кажем, че начинът, по който една организация започва да работи, когато внедри такава система изменя начина, по който тя комуникира с клиентите си, повишава качеството на услугите, които предлага, повишава дисциплинираността на служителите й, подобрява ефективността, а не обратното, както по принцип се смята. Поради факта, че във всеки един момент, човек има своите отговорности, знае своите задължения и редът, по който трябва нещо да се свърши, това е много повече от система. До голяма степен се изменя начинът, по който функционира и работи цялата организация. Съвсем различно нещо е. Една стъпка напред, която всеки трябва да направи, според мен.
New Horizons Bulgaria: Като специалист, който има опит и с ISO 9001, можеш ли да кажеш, че в 27001 се включват практиките от този стандарт и се постигат голяма част от ефектите му?
Борис Гончаров: По принцип ISO 9001 е нещо, което е изключително концептуално по своя смисъл, доста формално и така може да се види внедрено навсякъде – хората го възприемат като едно досадно задължение, което те трябва да вършат на определени етапи от време, да закачат антетки на документите, където да пише номер на документ и т.н.
ISO 27001 е писано от същата организация и може да се забележи същия подход – съществуват такива таблици за припокриванията между двата стандарта, в които личи, че цикълът за разработване и внедряване на системите е един и същ.
Но основната разлика е, че ISO 27001 сам по себе си е система за управление на риска и има по-голяма стойност за организацията, защото напипва пулса на организацията и е в нейните рамки; усеща най-чувствителните теми за дадена компания и бизнес, как да оцелее ако нещо непредвидено се случи, какво трябва да направи ако се сблъска с бедствие или проблем. Стандартът е вграден в стратегията на компанията и е неразривна част от нея. ISO 9001 е насочен към самия продукт, начинът по който организацията го предлага на своите клиенти и контролира изпълнението на този продукт. Затова е и много по-добър, когато говорим за компании от производствената сфера.
New Horizons Bulgaria: Кои са най-големите предизвикателства при внедряването на такива системи (за корпоративна сигурност)?
Борис Гончаров: Както казах и преди, основното предизвикателство е да се преобърне мисленето, че мениджмънта няма отношение към сигурността на информацията или, че той трябва само да възлага и да не носи отговорност за този процес. Начинът, по който това се случва реално и може да се случи е точно в стратегическите цели на компанията, стратегическото планиране и стратегическото управление на риска.
ISO 27001 е създадено за тази цел и начинът, по който може да бъде прокарана идеята въобще за сигурността на информацията, е да бъде интегрирана в стратегическото управление на една организация като неразривна част от нея. Мениджмънтът може да разбере стойността на тази система, когато в практиката тя застане в центъра на управлението на риска и всички други станат част от нея, тъй като ISO 27001 няма аналог като система за управление и постепенно в процес на внедряване се превръща в ядрото на стратегията, а всички други – елемент от нея.
New Horizons Bulgaria: Изисква ли се техническа компетентност за внедряване на тази система?
Борис Гончаров: Не, честно казано, въпреки изявленията в литературата, не се изискват такива умения. Дори в някои западни разработки се посочва, че отговорният за внедряването е по-добре да е на мениджърска позиция, с опит в управлението на промяната и управлението на проекти, отколкото в ИТ.
Утре очаквайте третата част от интервюто с Борис Гончаров за CISSP – концепцията и сертификата.
София, 06 май 2010