Na redakční otázky odpovídá Olga Přikrylová, IT Security konzultant, AutoCont CZ a. s.,

1) Jak správně a přesně vyčíslit přínosy auditů a zavádění norem ISO?

Dovolte mi na úvod zdůraznit sympatické zjištění, že v této otázce vůbec není zpochybňována přínosnost auditů a norem ISO. Správné vyčíslení přínosů v zavádění jakýchkoliv norem by Vám mělo poskytnout zejména v procesu rozhodování především objektivní informace, kterým budete rozumět. Dva příklady na vysvětlenou: ekonoma zajímá, kolik to bude stát a kdy se investice vrátí, informatika bude zajímat, kolik úsilí tomu bude muset věnovat a kolik práce mu to ulehčí. Když si k tomu přičtete poněkud abstraktní hodnoty, v jakých se pohybuje např. požadavek vyčíslit ztrátu z kompromitace osobních údajů v korunách, nebývá odpověď na tuto otázku snadná. Přesné vyčíslení přínosů ve finančním vyjádření tkví v přesném ocenění dopadů hrozeb z analýzy rizik na přesně ohodnocená aktiva, ať už jde o kvantitativní či kvalitativní hodnocení. Každému, kdo umí počítat, je zřejmé, že přínosy ze zavádění norem a auditů se musejí vyplatit, aby mělo smysl do nich investovat. Jinými slovy: pokud znáte přesnou hodnotu aktiv, víte co jim hrozí, kolik by Vás stála náprava škod kdyby k nějaké hrozbě skutečně došlo, a jsou Vám známy přesné náklady na implementaci požadovaných bezpečnostních opatření, která ona rizika eliminují na Vámi akceptovatelnou úroveň, pak si také můžete přesně zjistit, zda vynakládáte málo, přiměřeně či zbytečně mnoho.

2) S jak velkou pracovní i časovou náročností je nutné při zavádění ISO norem počítat?

To se vždy odvíjí od situace v té které společnosti. Zavedení ISO normy není jako nákup škatulky v obchodě, kterou doma rozbalíte, zapojíte, a ono to funguje. Norma totiž již dle významu toho slova znamená zavedení pořádku, tedy uvedení do normálu, který si nikdo nevycucal z prstu, nýbrž byl stanoven dle tzv. „best practices“. Norma navíc doporučuje. Není pro Vás povinné ji dodržovat, pokud nejste vázáni příslušným certifikátem. Může však pro Vás být výhodné ji zavést z nějakého konkrétního důvodu. Každopádně v normách najdete i témata a souvislosti, které Vás donutí zamyslet se nad tím, zda jsou či v blízké budoucnosti třeba budou pro Vás aplikovatelné, a které byste jinak mohli opomenout. V ideálním případě, tzn. jsou-li v dané společnosti již např. historicky dána,  implementována a dokumentována veškerá potřebná opatření stejně jako procesy, jež se praktikují a navíc odpovídají požadavkům norem, pak se zavádění těchto norem zkrátí v podstatě jen na čas potřebný k ověření shody, tedy k vlastní realizaci auditu certifikačním orgánem. Realita se ovšem kupodivu od ideálu velmi liší (dovoluji si to tvrdit na základě vlastních zkušeností). Zejména zavádění norem ISO velmi významnou měrou ovlivňuje lidský faktor. Jak praví klasik: „za vším hledej člověka“. Mluvíme-li tedy o společnosti, která je ve všech uvedených ohledech teprve v začátcích, pak lze mluvit řádově o několika měsících až roku.

3) Jak obtížné je nasadit ISO normy do prostředí, která s nimi zatím nemají zkušenosti?

Klíčová je podpora vedení. Postoj managementu k zavádění norem ISO se okamžitě a velmi výrazně promítá do ochoty a schopnosti všech ostatních výkonných článků aktivně se zapojit, pochopit, akceptovat a prosazovat požadované změny. Povšimněte si, prosím, že na prvních dvou místech záměrně uvádím „aktivní zapojení“ a „pochopení“. Obtížně se prosazuje norma v prostředí, které nechápe, proč to všechno musí být, není dostatečně informováno a už vůbec není zainteresováno na výsledcích. Primární odpor ke změnám, které jsou mnohdy vnímány spíše jako problémy navíc než jako prostředek pro zlepšení, se dokáže velmi negativně podepsat na kvalitě i celkovém trvání procesu nasazení normy, o výsledku nemluvě. I zde platí pravidlo, že to nejdůležitější jsou informace. Informovaný uživatel přijímá změny pozitivněji a rychleji. A většina změn požadovaných normami zpravidla nepředstavuje žádný markantní nárůst pracovních povinností běžných uživatelů, pohybuje se více v rovině sebekontroly, důsledného dodržování interních předpisů a budování správných návyků. Změnit myšlení lidí však bývá někdy až nadlidský úkol. Když k tomu přičtete nedostatečnou, nebo pouze formální (pasivní) podporu vedení, můžete se dočkat toho, že veškeré snahy „zdola“ budou k ničemu a Vaše úsilí bude jen mrháním času a peněz. Podle mě je proto podstatné dbát na to, aby byly normy zaváděny s rozumem. Systém budovaný v souladu s normou musí dál především plnit svůj primární účel, musí zůstat pro uživatele použitelný i po implementovaných změnách a neměl by jim být přítěží. Nesmíme zapomínat, že většina uživatelů není a nikdy nebude IT- odborníky a ICT používají jako prostředek podporující jejich mnohdy úplně odlišnou pracovní činnost.

4) Jak výrazný posun v kvalitě bezpečnosti představuje certifikace dle CSN ISO/IEC 27001? Pro koho je vhodná?

Když se pozorněji porozhlédnete po bezpečnosti ve světě byznysu, zcela jistě narazíte na to, s čím se potkáváte i v každodenním životě. S nedůvěrou, pochybnostmi a nejistotou, zda ten, na koho se obracíte, je tím vhodným protějškem pro komunikaci, obchodování, partnerství... Certifikace dle normy může napomoci ve Vašem rozhodování. Záměrně uvádím pojem „napomoci“, neboť žádná norma není všemocná. Kvalitu a úroveň nasazení normy posuzují zase jen lidé, pracující v jiné, pokud možno akreditované společnosti. Velmi proto záleží na certifikačních orgánech, jejich důvěryhodnosti, pověsti, kvalitě a odbornosti auditorů, nakolik vzbuzují důvěru ve své schopnosti ověřovat a garantovat úroveň bezpečnosti certifikované společnosti v souladu s požadavky normy. A co přinese certifikace Vám? Bezesporu konkurenční výhodu, ale ruku v ruce s ní také určitou záruku bezpečí pro Vaše podnikání, kontinuitu provozu, jistotu dodržování relevantních zákonných povinností, vymahatelnost odpovědnosti za škody a hlavně: dobré jméno!

5) Lze smysluplný audit provést i s interními zdroji, nebo je za každých okolností kvůli „provozní slepotě“ využívat externích služeb?

Odpověď dravého obchodníka na tuto otázku by nejspíše zněla v tom duchu, že jedině externista, a nejlépe rovnou jeho firma, Vám zajistí smysluplné auditorské služby. Osobně (a myslím to upřímně :-) se v odpovědi na tuto otázku kloním ke kompromisu. Nevylučuji ani interní zdroje, ani externí dodavatele (přičemž požadavek na spolupráci s externisty dokonce tvoří jeden z požadavků normy). Důvody jsou zřejmé. Jedním z nejčastějších argumentů pro využití externích služeb je nedostatek interních kapacit lidí, zejména s potřebnou odborností a nesdělitelnými zkušenostmi, kteří by byli s to zvládnout audit vlastními silami v požadované lhůtě a kvalitě. Rozhodující je, o jaký audit se jedná, jaká specializace je pro něj vyžadována a zda jsou k tomu potřebné specifické nástroje. Není však třeba podceňovat „vlastní lidi“. Jejich potenciál je a vždy bude využitelný např. při auditu procesů, ať už v rámci potřebné součinnosti s externisty, nebo v rámci interně určených rolí s pravomocemi, kompetencemi a odpovědnostmi, které nelze na externí dodavatele přenést. Celková odpovědnost za bezpečnost bude nakonec vždy ležet na managementu společnosti samotné.

Audity a ISO