Dla większości osób pracujących poza IT, termin "naruszenie bezpieczeństwa" tworzy obraz złośliwego hakera lub ukrytą lukę w oprogramowaniu. Jednak eksperci ds. bezpieczeństwa zgadzają się, że oprogramowanie i sprzęt to tylko część problemu.

W rzeczywistości większość przypadków naruszenia bezpieczeństwa wynika z błędu ludzkiego lub złej kultury informatycznej. Badanie "Cyber Security Index 2014" przeprowadzone przez IBM pokazało, że błędy ludzkie i organizacyjne stanowią ważną część 95 proc. incydentów IT!

Dlatego też coraz więcej firm dostrzega znaczenie właściwej polityki i wysokiej kultury biznesowej. Przekonaliśmy się o tym z pierwszej ręki. Widzieliśmy, że marki zajmujące się tworzeniem oprogramowania skupiają się wyłącznie na tworzeniu wartości dla nowej generacji firm, takich jak nasza, które również kładą duży nacisk na zapewnienie najlepszej możliwej jakości i bezpieczeństwa.

Aby zrobić kolejny krok w tym kierunku, postanowiliśmy stworzyć dla naszej firmy wiodący system zarządzania bezpieczeństwem IT i poddać go zarówno certyfikacji ISO 9001 jak i ISO 27001. System przeszedł audyt ISO 9001:2007 w grudniu 2014 roku, a obecnie ISO 27001:2013 jest również naszym systemem.

Czym więc jest ISO 27001:2013?

Krótko mówiąc, jest to norma dotycząca systemów zarządzania bezpieczeństwem informacji. Organizacje, które ją spełniają, mogą otrzymać odpowiedni certyfikat w ramach niezależnego audytu.

ISO 27001 ma ugruntowaną pozycję i długą historię. Podstawowe elementy normy ISO 27001:2013 sięgają 1995 roku, kiedy to brytyjska agencja rządowa opublikowała jeden z pierwszych standaryzowanych kodeksów postępowania w zakresie zarządzania bezpieczeństwem informacji, BS 7799. Z biegiem lat ewoluowała ona w kierunku normy ISO 27001, w jej najnowszej wersji zwanej ISO27001:2013.

Jak więc zestaw reguł spisanych w czasach, gdy HTML był jeszcze nowością, a Windows NT 3.51 był nowością technologiczną, może mieć znaczenie dziś? To proste! ISO 27001:2013 jest prawie całkowicie agnostyczny technologicznie. Wymaga ona procedur i zasad, które są niezbędne do bezpiecznego obchodzenia się z danymi, bez wskazywania konkretnych rozwiązań sprzętowych czy programowych.

Dotyczy to również:

• Procedury oceny ryzyka i zarządzania ryzykiem Zasady postępowania w przypadku incydentów związanych z technologią informatyczną Ogólne wymagania dotyczące bezpieczeństwa Przepisy dotyczące bezpieczeństwa osobistego i fizycznego Ciągłość operacyjna Zarządzanie zmianami Klasyfikacja informacji Procedury odzyskiwania danych po awarii Polityka tworzenia kopii zapasowych i nie tylko

Nie ma znaczenia, jakie oprogramowanie i sprzęt są używane. Liczy się wynik: bezpieczne miejsce pracy, w którym każdy fragment danych jest traktowany jak cenny, poufny zasób, a jednocześnie jest dostępny dla każdego, kto naprawdę go potrzebuje. Dzięki takiemu podejściu można bezpiecznie stwierdzić, że norma ISO 27001 będzie równie istotna za dziesięć lat, jak obecnie.

Z naszego doświadczenia wynika, że co okazało się najtrudniejszą zmianą? Surowa polityka czystego biurka, która oznaczała, że deweloperzy, którzy byli przyzwyczajeni do mieszkania w zamkach ze starych wydruków i pustych puszek, musieli zmienić swoje sposoby i wyjść na słońce. Jesteśmy pewni, że będzie to dla nich dobre.

Abstrahując od żartów, proces ISO 27001 z pewnością pomógł nam znaleźć wiele sposobów na poprawę naszej codziennej pracy. Przecież nie zrobiliśmy tego po to, by zapewnić kolejne zaznaczone pole wyboru, ani by odpowiedzieć potencjalnym klientom, którzy pytali o ten certyfikat (choć wielu z nich go posiadało). Przede wszystkim chcieliśmy stworzyć przyjemniejsze i bezpieczniejsze miejsce pracy, gdzie wszystkie procedury są jasne i gdzie unika się wszelkich możliwych problemów z nerwami.

Mamy nadzieję, że ten certyfikat będzie stanowił dodatkową wartość dla naszych klientów, a praca w naszym nowym systemie będzie tak samo przyjemna jak zawsze.