Transkrypcja – ISO-IEC 27001 Bezpieczeństwo informacji programów lojalnościowych

KN: Katarzyna Nawrocka “O programach lojalnościowych nocą”..

Bezpieczeństwo tworzonego przez i360 oprogramowania do zarządzania programami lojalnościowymi jest jednym z głównych filarów naszego rozwoju. Dzisiaj mam przyjemność gościć Rafała Malona, z którym porozmawiam o najważniejszych wyzwaniach w zakresie zapewniania bezpieczeństwa informacji. Dobry wieczór.

.

RM: Dobry wieczór.

.

KN: Rafale, będziemy rozmawiać o bezpieczeństwie informacji. Ale zanim, chciałam Cię prosić, żebyś opowiedział czym zajmuje się Malon Group, którego jesteś prezesem.

.

RM: Tak. Zajmujemy się, specjalizujemy się w projektach wdrożeniowych, w projektach doradczych, szkoleniowych z zakresu systemów zarządzania. Szeroko rozumianych. Systemów zarządzania jest naprawdę wiele na rynku. Nie możemy powiedzieć, że specjalizuje się w jakimś jednym konkretnie, my wspieramy przedsiębiorstwa, które chcą uzyskać pewne efekty, pewne wyniki, które te systemy zarządzania zapewniają. W tym też m.in. uzyskać finalnie certyfikat potwierdzający zgodność ich funkcjonowania właśnie z danym systemem zarządzania, z danym standardem zarządzania.

.

KN: Jeśli chodzi o ten certyfikat, to ja pytam, dlatego że my poza kamerą mieliśmy przyjemność rozmawiać o tym, że zarówno wczoraj, jak i dzisiaj za tobą i przed tobą audyty. Czyli rozumiem, że działacie właśnie w ten sposób, że sprawdzacie jak wygląda system zapewniania bezpieczeństwa w danych firmach?

.

RM: Tak, sprawdzamy jak to wygląda w firmach na chwilę obecną i jeżeli dostrzegamy pewnego rodzaju rozbieżności, pewnego rodzaju luki względem standardów, względem wymagań, które w tych standardach są zawarte, wtedy zaczynamy realizację projektu, który ma na celu zapewnienie tej zgodności. Czyli wprowadzenie tych wszystkich wymagań, rozwiązań, które z tych wymagań wynikają do tego codziennego tak naprawdę funkcjonowania organizacji. Czyli po zidentyfikowaniu, gdzie są wszelkiego rodzaju luki, rozbieżności zapewniamy, realizujemy wszelkiego rodzaju działania, które mają na celu zapewnić tą zgodność. Następnie oczywiście musimy zweryfikować, czy to już zostało zapewnione zanim przyjedzie niezależna jednostka, która zweryfikuje, czy rzeczywiście ta zgodność jest, czy też jej nie ma.

.

KN: Strona internetowa przedsiębiorstwa, którym kierujesz uświadamia Nam, jak wieloma aspektami się zajmujecie. Znajdziemy tam też wiele skrótów, które moglibyśmy dzisiaj odczarować i wytłumaczyć naszym widzom tak, żeby mogli wiedzieć jak się w nich poruszać i jak je zrozumieć.

.

RM: Chyba podstawowym określeniem, które tam funkcjonuje, bo to ciężko mówić, że to jest skrót, jest oczywiście ISO. ISO, czyli określenie standardów, norm, które są wydawane przez Międzynarodowy Komitet Normalizacyjny określany właśnie bardzo często jako ISO. Wraz z tym komitetem, czy też ten komitet współpracuje często z innymi komitetami jak np. IEC. To jest komitet, który zajmuje się normalizacją na poziomie międzynarodowym w zakresie elektroniki, elektrotechniki. I takim właśnie przykładem chociażby standardu, który był wydany przez obydwa te komitety normalizacyjne, czyli przez ISO i IEC jest chociażby norma ISO 27001, która przedstawia wymagania dla systemu zarządzania bezpieczeństwem informacji. Jest jednak bardzo duża ilość standardów przedstawiających wymagania dla systemów zarządzania. Oczywiście te organizacje zajmują się nie tylko systemami zarządzania, nie tylko normalizacją w tym zakresie. Zajmują się również normalizacją w zakresie np. spraw technicznych dotyczących wyrobów, realizowanych procesów, usług właściwie wszystkiego co tylko możliwe. ISO jako organizacja wydała już kilkanaście tysięcy norm, które są uznawane na całym świecie. Na naszej stronie można znaleźć również wiele innych skrótów, określeń. One wynikają bardzo często z charakteru, czy też są sposobem określenia danego standardu, w którym są przedstawione wymagania, które muszą być spełnione przez daną organizację. Innymi skrótami, czy określeniami, które możemy zobaczyć na naszej stronie internetowej, które związane są z bezpieczeństwem informacji. Oczywiście też określenie RODO. Rozporządzenie RODO, o którym już w ramach jednego z odcinków rozmawialiście Państwo.

.

KN: To ja Ci przerwę i tylko powiem, że link do tego odcinka wkleimy poniżej tak, żeby nasi widzowie mogli też go obejrzeć. I bardzo się cieszę że Ty go widziałeś.

.

RM: To oczywiście, jak najbardziej. Tak, rozporządzenie RODO, oczywiście nie tylko rozporządzenie RODO, ale również całe ustawodawstwo nasze krajowe związane jest również z bezpieczeństwem informacji oczywiście ukierunkowanym na ochronę danych osobowych. Ale mamy jeszcze inne określenia. Określenie, które się pojawia, czyli “tisax” – jest to sposób oceny, system oceny opracowany przez niemieckie stowarzyszenie producentów w branży motoryzacyjnej, których celem jest tak naprawdę zapewnienie pewnych standardów przetwarzania informacji, przetwarzania danych, zapewnienia ich bezpieczeństwa właśnie w branży motoryzacyjnej. Specyficzne dla tej branży motoryzacyjnej. Ten standard jest jak najbardziej spójny ze wspomnianym wcześniej ISO 27001, bo tak naprawdę opiera się na tym standardzie. Został po prostu rozbudowany o takie cechy charakterystyczne. Mamy jeszcze wiele innych określeń. Są to chociażby standardy opracowane przez różnego rodzaju stowarzyszenia. Chociażby standardy TAPA- są to standardy bezpieczeństwa w łańcuchu dostaw. Dotyczą one bezpieczeństwa już chociażby w transporcie drogowym, bezpieczeństwa w magazynowaniu. Wszelkiego rodzaju te skróty, te określenia są na naszej stronie porozwijane. Jest ich tak wiele, że nie bylibyśmy w stanie ich tutaj wszystkich przytoczyć.

.

KN: To, żeby było czarno na białym pokażemy zaraz taką planszę, na której pojawią się te skróty i wyjaśnienia.

.

Oczywiście.

.

KN: W dzisiejszych czasach program lojalnościowy nie ma racji bytu bez systemu informatycznego. Jak twórcy takiego programu mogą zapewnić bezpieczeństwo?

.

RM: Tak, tutaj pojęcie bezpieczeństwa i bezpieczeństwa informacji jest bardzo szerokim pojęciem. Musimy zwrócić uwagę, że w takim tradycyjnym języku pod pojęciem bezpieczeństwa bardzo często rozumiemy wyłącznie poufność, co jest tak naprawdę tylko i wyłącznie jednym z aspektów, jednym z trzech głównych aspektów, bo mamy jeszcze do czynienia z pozostałymi dwoma równie istotnymi, jak dostępność i integralność. Bo cóż z tego, że będziemy mieli super zabezpieczone dane, jeżeli np. operatorzy systemu, tego systemu lojalnościowego nie będą mieli do niego dostępu, bo będą za bardzo zabezpieczone. Czyli ta dostępność jest równie istotna, bo nie bylibyśmy w stanie realizować naszej podstawowej działalności biznesowej. No i ta integralność rozumiana bardzo szeroko jako rzetelność, spójność, niezaprzeczalność tych informacji. Cóż z tego, że będziemy mieli dostępne informacje dla tych osób, którym są one niezbędne do realizacji obowiązków zawodowych, służbowych, czy też dla tych osób, które są uczestnikami tych programów lojalnościowych, żeby miały dostęp chociażby do informacji o swoim koncie. Cóż z tego, że ten dostęp będzie, że ta poufność, czyli ochrona tych informacji przed osobami postronnymi, osobami trzecimi też będzie zapewniona, jeżeli np. te informacje w tym systemie będą przekłamane, nierzetelne, niespójne. Jaki wsad na wejściu, takie uzyskujemy wyniki. Więc tutaj wszystkie te trzy tak naprawdę aspekty muszą być zapewnione.

.

KN: Czyli mamy bezpieczeństwo, integralność i dostępność.

.

Mamy poufność, dostępność i integralność.

.

KN: Dziękuję, że to doprecyzowałeś.

.

RM: I teraz już tworząc tak naprawdę tego typu oprogramowanie właściwie jeszcze na etapie, kiedy określamy jego funkcjonalności, już firma określiła te funkcjonalności związane z bezpieczeństwem, te cechy, które powinno mieć to oprogramowanie ukierunkowane na zapewnienie tego bezpieczeństwa właśnie w tych trzech aspektach. Tej dostępności, poufności i tej integralności. Dlaczego już na tym etapie? Bo istotnym jest, żeby nie było sytuacji, że program powstanie, oprogramowanie, super system powstanie, a dopiero potem będziemy do niego doklejali pewne funkcjonalności i elementy bezpieczeństwa. To musi już być przewidziane na etapie przedprojektowym. Następnie uwzględnione na etapie projektowania, określania tych wszystkich funkcjonalności już bardzo szczegółowo. No i oczywiście na etapie później wytworzenia tego oprogramowania i jego utrzymywania. Więc to, co zostało zrobione i to, co zawsze należy zrobić, to zwrócić uwagę już na tym etapie, kiedy dopiero do tego tematu podchodzimy, a nie już wtedy, kiedy program, kiedy ten system jest gotowy.

.

KN: O roli bezpieczeństwa nie trzeba nikogo zapewniać. Natomiast, jakie są główne składowe takiego systemu?

.

RM: Tak. To, co wspomniałem już są te trzy podstawowe aspekty bezpieczeństwa informacji, czyli ta poufność, dostępność i integralność tych informacji. Natomiast, jeżeli skoncentrujemy się też już na konkretnych wymaganiach, które tutaj muszą zostać spełnione, to wymagania te zostały przedstawione w normie ISO IEC 27001. Te określenia, te skróty wyjaśniliśmy na samym początku. One po prostu określają kto ten standard wydał. I teraz ten standard ma swoją strukturę wymagań. Ta struktura wymagań jest charakterystyczna właśnie dla wszystkich ostatnio wydawanych norm ISO, które się koncentrują na jakichkolwiek systemach zarządzania. Mają taką strukturę 10 punktową. Ona, ta struktura tych wymagań pogrupowała, pozwoliła pogrupować te wymagania w takie odpowiednie bloki tematyczne. W pierwszej kolejności wymienione są bloki, które pozwalają czy wymagania, które trzeba spełnić, żeby zrozumieć organizację, żeby organizacja sama siebie zrozumiała, zrozumiała swoje otoczenie, zrozumiała tak naprawdę swój kontekst. Wszystkie czynniki zewnętrzne i wewnętrzne, które mają lub mogą mieć wpływ na system zarządzania oraz strony zainteresowane. I wymagania tych stron zainteresowanych, oczekiwania tych stron zainteresowanych, które powinny być spełnione w ramach właśnie tego systemu zarządzania. Mając te dane możemy przeprowadzić, odejść tak naprawdę do oceny ryzyka. Oceny ryzyka zarówno z punktu widzenia bezpieczeństwa informacji, jak i oceny ryzyka osiągania przez ten system zarządzania bezpieczeństwem informacji swoich celów. Więc mamy kolejny etap, natomiast wszystkie te zagadnienia zawierają się w tym bloku planowania. Czyli przygotowujemy się tak naprawdę dopiero do określania tego naszego systemu zarządzania. Mając już określone podstawy przechodzimy do wdrażania, czyli na podstawie wyników oceny ryzyka uzyskaliśmy informacje, co też takiego musimy w naszej organizacji zmienić. Oczywiście również biorąc pod uwagę wymagania normy ISO 27001. Mając te wszystkie informacje opracowujemy polityki bezpieczeństwa, opracowujemy procedury, instrukcje postępowania. Określamy tak naprawdę regulacje wewnętrzne, które musimy spełnić. Biorąc oczywiście również pod uwagę wymagania tych stron zainteresowanych, o których wspomniałem w tym przepisy prawa. Pamiętajmy, bardzo istotnym przecież w przypadku programów lojalnościowych są przepisy prawa dotyczące ochrony danych osobowych, bo tych danych jest tam naprawdę dużo przetwarzanych. Kiedy mamy już zrealizowane to, co zaplanowaliśmy, czyli mamy plan, mamy regulacje wewnętrzne, które z tego procesu planowania nam wynikają w tym momencie musimy wprowadzić mechanizmy, które pozwolą nam określić, czy to co robimy rzeczywiście jest zgodne z tym co sobie zaplanowaliśmy. Więc musimy wprowadzić mechanizmy weryfikacji np. audyty wewnętrzne. Takie podejście do weryfikacji zgodności systemu zarządzania i jego skuteczności, ale również musimy zejść troszeczkę niżej- musimy weryfikować skuteczność poszczególnych zabezpieczeń, które wdrożyliśmy w ramach tego naszego systemu. Czyli patrzymy, czy ta kopia bezpieczeństwa, którą zrobiliśmy zgodnie z polityką kopii bezpieczeństwa, czy rzeczywiście da się dzięki tej kopii odzyskać chociażby system, czy też zasoby, których ta kopia bezpieczeństwa dotyczyła. Można by bardzo dużo mówić o tej ocenie skuteczności tych zabezpieczeń. Odsyłam tutaj też do lektury, do bardzo wdzięcznej lektury, czyli normy ISO 27001. Wśród tych takich działań, które są ukierunkowane na weryfikację tego systemu jest jeszcze bardzo istotne dla systemów zarządzania, charakterystycznym dla systemów zarządzania zgodnych z ISO działanie zwane przeglądem zarządzania przez najwyższe kierownictwo. Czyli co jakiś czas, cyklicznie, w sposób planowy najwyższe kierownictwo musi pochylić się nad wynikami jakie są w tym systemie osiągane, nad rezultatami poszczególnych działań, swoich działań. No i musi określić, czy ten system jest dalej dla niej przydatny, czy on jest adekwatny do sytuacji, w której ta firma się znajduje i czy on spełnia swoje oczekiwania. I oczywiście to, co jest charakterystyczne znowuż powtórzę dla wszystkich systemów ISO, to ciągłe doskonalenie. Nie może być tak, że raz wprowadzony system zapewnia nam takie bezpieczeństwo, że już nic z tym nie musimy zrobić.

.

KN: To ja dopytam, czy właśnie to na celu mają te audyty, aby sprawdzić, czy dany system jest wystarczający, ale też sprawdzić, w jakim kierunku możemy go udoskonalić?

.

RM: Tak, również, oczywiście. Jak najbardziej jest to rolą i celem tych audytów wewnętrznych. Natomiast pamiętajmy, że te możliwości do doskonalenia powinny wynikać również chociażby z informacji, które uzyskujemy z naszego otoczenia. Rozwija się technologia, my powinniśmy za tą technologią nadążać, my powinniśmy zapewnić zabezpieczenia, które będą adekwatne i skuteczne w odniesieniu do tego rozwoju właśnie technologii. Czyli to ciągłe doskonalenie jest tak naprawdę czymś, co musi być realizowane przez organizację. Musimy ciągle ten nasz system rozwijać, musimy ciągle się po prostu doskonalić.

.

KN: Rafale, jak moglibyśmy powiedzieć, jaka jest w przedsiębiorstwie rola zarządzania bezpieczeństwem informacji?

.

RM: Jest coraz istotniejsza, jeżeli tak można to powiedzieć. Dlaczego? Widać jak na przestrzeni lat zmieniło się funkcjonowanie przedsiębiorstw, funkcjonowanie organizacji mówiąc bardziej ogólnie. Jak wiele tych informacji w tej chwili jest przetwarzanych chociażby z tego względu, że w bardzo dużej mierze te dane są przetwarzane w wersji elektronicznej, w wersji informatycznej, elektronicznej. Ze względu na to, że tych danych mamy coraz więcej, musimy zapewnić też ich odpowiednie bezpieczeństwo. Nie koncentrujemy się przecież tylko na tych danych osobowych, bo to jest najbardziej medialne od jakiegoś już czasu, czyli rozporządzenie RODO, ochrona danych osobowych, ale mówiąc o bezpieczeństwie informacji musimy zidentyfikować wszystkie informacje jakie mają znaczenie dla organizacji z punktu widzenia strategii, rozwoju, z punktu widzenia biznesowego, chociażby tajemnicy przedsiębiorstwa. I właśnie te informacje powinniśmy chronić. Chronić, tak jak wspomniałem, zapewnić odpowiednią poufność, żeby te dane nie przedostały się do osób, które nie mają uprawnień, żeby mieć do tych informacji, do tych danych dostęp. Ale również, żeby pracownicy, którzy są odpowiedzialni za poszczególne obszary mieli do nich dostęp, by móc realizować swoją pracę. No i znowuż to, co już mówiliśmy mamy: poufność, dostępność no to jeszcze integralność, żeby te dane, które te informacje, które wykorzystujemy w ramach naszej działalności, żeby one były rzetelne, spójne, prawdziwe, nie przekłamane, żeby tak naprawdę wyniki naszych działań były odpowiedniej jakości. A wyniki będą zawsze adekwatne do tego, co mamy na wejściu.

.

KN: Przejdźmy zatem do tego, jakie są cele ISO 27001.

.

RM: Tak. Cele, normy, to przedstawienie wymagań dotyczących systemu zarządzania bezpieczeństwem informacji. I tutaj można by więcej powiedzieć, jakie są cele tego systemu zarządzania bezpieczeństwem informacji. Ja na pierwszym miejscu wymieniłbym to podejście takie proaktywne do zarządzania. Mianowicie polegające na tym, o czym już wspomniałem. Przede wszystkim powinniśmy zidentyfikować, co złego może się u nas stać. Zidentyfikować wszelkiego rodzaju możliwe takie punkty zapalne, wszelkiego rodzaju możliwe naruszenia, incydenty dotyczące bezpieczeństwa informacji. A potem zrobić wszystko, żeby im przeciwdziałać. W pierwszej kolejności powinniśmy oczywiście te zagrożenia wyeliminować, ale jeżeli nie jesteśmy w stanie ich wyeliminować, bo przecież musimy prowadzić działalność, więc nie jesteśmy w stanie. Jeżeli byśmy chcieli w pełni się zabezpieczyć, to musielibyśmy po prostu zaprzestać prowadzenia działalności. To nie byłoby spójne z celami biznesowymi, więc w tym momencie jeżeli nie jesteśmy w stanie ich wyeliminować, to zredukujmy poziom tego ryzyka, czyli wprowadźmy środki, które spowodują, że w pierwszej kolejności zmniejszymy prawdopodobieństwo wystąpienia tych negatywnych sytuacji. A jeżeli i tutaj nie jesteśmy w stanie już nic więcej zrobić, to przynajmniej zastanówmy się, co możemy zrobić, żeby zminimalizować skutki, jeżeli to zdarzenie niepożądane się zmaterializuje. Pozostaje jeszcze finalnie później, jeżeli nie jesteśmy w stanie już nic więcej zrobić zaakceptować po prostu pewien poziom ryzyka. To proaktywne podejście- na tym należy się skoncentrować przede wszystkim. Natomiast oczywiście jest też jeszcze kolejny cel tego systemu. W momencie, kiedy jednak to zdarzenie wystąpi niepożądane, bo błędów nie robi ten, który nic nie robi. Jeżeli już wystąpią, to żebyśmy mieli odpowiednio przygotowaną reakcję na to. Jak może wyglądać taka reakcja? Zwróćmy uwagę chociażby na sytuacje, które są bardzo medialne. Gdzieś jakiś pożar jakiejś serwerowni, gdzieś jakiś wyciek jakichś danych. Miejmy więc procedury, które pozwolą nam chociażby w tym pierwszym przypadku jak najszybciej przywrócić działalność na normalnym poziomie, czyli uruchommy nasze plany ciągłości działania w tym zakresie, a w drugim postarajmy się, żeby zminimalizować skutki tego zdarzenia jakie wystąpiło. Jeżeli wyciekają dane, musimy zapewnić, żeby tym osobom, których np. te dane dotyczyły, jeżeli są to dane osobowe, nie odczuły tych skutków. Albo, żeby zminimalizować przynajmniej to, co mogłoby im się złego przytrafić. Więc ta reakcja, to podejście takie już reaktywne post factum jak najbardziej również jest istotne z punktu widzenia systemu zarządzania bezpieczeństwem informacji.

.

KN: Ja sobie pozwolę na małe podsumowanie, ponieważ jesteśmy zagrożeni dlatego, że działamy i dlatego, że technologia idzie do przodu o czym też już wspominałeś. No, ale nie powinno nas to stopować przed działaniem, o ile mamy bardzo dobrze przygotowany plan kryzysowy.

.

RM: Tak, można to też tak powiedzieć, jak najbardziej. Tylko pamiętajmy, że plan kryzysowy to już jest coś, co jest taką ostatecznością, a my przede wszystkim powinniśmy cały ciężar skierować na to zapobieganie. Czyli na to, żeby to się w ogóle nie przytrafiło.

.

KN: Żeby ten plan nie został wdrożony.

.

RM: Tak, bo zwróćmy uwagę chociażby na działalność i360, na sam portal, który mamy. Przecież ten portal obsługuje bardzo znaczących klientów, obsługuje również tych członków programów lojalnościowych dla tych właśnie klientów. Bardzo istotne jest przecież, żeby nie ucierpiał wizerunek ani tych klientów, ani i360 finalnie. Więc tutaj naprawdę bardzo duży nakład pracy został włożony i jest w dalszym ciągu wkładany na to, żeby rzeczywiście przede wszystkim zapobiegać. I to jest jak najbardziej takim podstawowym celem organizacji systemu zarządzania bezpieczeństwem informacji. Ale oczywiście mamy również przygotowane plany, jeżeli coś złego by się stało, jeżeli system na przykład nie byłby dostępny jak szybko przywrócić jego pełną funkcjonalność, aby oczywiście tutaj cele biznesowe zarówno klientów i360, jak i360 były utrzymywane.

.

KN: Wyjaśnijmy również, czy norma ISO dotyczy oprogramowania, czy tylko podmiotu producenta.

.

RM: Rzeczywiście z moich wcześniejszych słów można by było wywnioskować, że dotyczy norma oprogramowania, ale w żadnym wypadku nie dotyczy tylko i wyłącznie tej kwestii związanych z oprogramowaniem jakie występują w i360. Tutaj spółka przyjęła, że norma ISO 27001 ma zastosowanie względem całej działalności, którą prowadzi spółka. To znaczy, że również w odniesieniu do działań związanych z projektowaniem, z rozwojem tego oprogramowania i jego utrzymywaniem, dostarczaniem do partnerów biznesowych. Ale norma ma szersze znaczenie, bo dotyczy również chociażby informacji stanowiących tajemnicę przedsiębiorstwa, dotyczy chociażby danych osobowych pracowników, którzy są zatrudnieni przez firmę i jej współpracowników. Dotyczy tak naprawdę wszystkich istotnych z punktu widzenia prowadzonej działalności danych i informacji, które muszą być przetwarzane, żeby ta organizacja mogła w ogóle funkcjonować, osiągać swoje cele biznesowe.

.

KN: Rafał, ja się zastanawiam, czy posiadając ISO mogę już czuć się bezpieczna, mogę spać spokojnie. Chodzi mi o to, żebyśmy wytłumaczyli, czy możemy postawić znak równości między ISO, a bezpieczny soft.

.

RM: Byłoby idealnie, natomiast oczywiście, że nie. Dlaczego? Norma zawiera wymagania. To są pewnego rodzaju ramy, które trzeba dopiero wypełnić. Czyli wprowadzając system zarządzania bezpieczeństwem informacji, my musimy te wymagania spełnić, ale w pewien określony dla nas sposób. Sposób, który jest charakterystyczny dla wielkości naszej organizacji i złożoności, aktywów. W ogóle wszelkiego rodzaju zasobów, informacji, które w tej naszej działalności wykorzystujemy. Czy można powiedzieć, że mając certyfikat no, bo też trzeba o tym powiedzieć, że są wystawiane certyfikaty zgodności z tą normą przez różnego rodzaju jednostki certyfikujące. Tutaj chociażby i360 ten certyfikat posiada już od kilku ładnych lat jednej z bardziej rozpoznawalnych, jednej z bardziej renomowanych jednostek. I w tym momencie w żadnym wypadku nie można powiedzieć, że ten certyfikat świadczy o tym, że ten poziom jest czy też najwyższy, czy też nic złego nam się nie może stać. Po pierwsze, audyt przeprowadzany jest zawsze metodą próbkowania, czyli audytor, który przyjeżdża weryfikuje pewną próbkę opartą na chociażby jakichś dokumentach, zapisach, rozmowach z pracownikami. To oznacza, że nie przeprowadza kontroli. On przeprowadza badanie, przeprowadza audyt. Druga strona – pamiętajmy o tym, co mówiłem. To nie jest tak, że raz wdrożony system, jak raz wdrożymy ten system to potem już mamy z głowy, możemy spocząć na laurach, już nic złego się nie stanie. W żadnym wypadku nie. Cały czas wszystko się zmienia. Nasze otoczenie się zmienia. Ten rozwój technologii. To bym musiał, to tutaj pragnę podkreślić powodują, że my musimy zatem nawet nie tyle nadążać, my powinniśmy starać się to wyprzedzać. Czyli my w myśl samych wymagań norm musimy ten nasz system ciągle doskonalić, ciągle rozwijać po to, żeby zapobiegać wystąpieniu sytuacji niepożądanych, a i tak niestety często się zdarza, że coś wystąpi tak, jak wspomniałem. No i wchodzą w tym momencie te plany reakcji.

.

KN: A ile czasu trwa wdrożenie takiego systemu bezpieczeństwa? Może, czy moglibyśmy tak krok po kroku wytłumaczyć, jak to się robi ile to trwa.

.

RM: Oczywiście. To oczywiście też zależy od wielkości organizacji, bo inaczej będzie w kilkuosobowej firmie, która ma jedną lokalizację i większość danych jakie przetwarza, i jeszcze może w dzisiejszych czasach nawet w wersji papierowej. A co innego będzie, kiedy mamy organizację wielolokalizacyjną, kiedy to zatrudnienie jest większe, kiedy przetwarzane są takie ilości danych, jak chociażby w i360- i to danych, które są danymi osobowymi zaliczanymi do tych szczególnych takich już tutaj danych, które podlegają rzeczywiście tej szczególnej ochronie. Więc w tym momencie wszystko to będzie uzależnione. Jak można powiedzieć, jaki mógłby być najkrótszy okres na wdrożenie takiego systemu? Też powiem szczerze zależałoby to od tego, jak dana organizacja już na starcie spełnia wymagania normy ISO 27001. Właśnie w tym celu w pierwszej kolejności przeprowadzany jest taki audyt wstępny, taka analiza luk, żebyśmy zwrócili uwagę co jest, a czego nie ma. Przeprowadzili inwentaryzację i na podstawie tak naprawdę tych informacji jesteśmy już w stanie określić, jak szybko ten proces można zrealizować. Oczywiście wstępnie też można takie ramy w oparciu o pewne informacje charakterystyczne, taką specyfikację organizacji określić w ramach taki projekt, ale uszczegółowić już ten harmonogram tego projektu można właśnie po tym audycie wstępnym.

.

KN: Ja poprosiłam Cię o to, abyś opowiedział krok po kroku, czyli możemy spokojnie stwierdzić, że ten pierwszy krok to jest właśnie ta inwentaryzacja?

.

RM: Tak, ten audyt wstępny, ta analiza luk, ta inwentaryzacja. Dokładnie. Następnie trzeba zapewnić, aby personel, który będzie uczestniczył w tym projekcie, żeby był świadomy, żeby miał odpowiednią wiedzę, czyli przedstawić troszeczkę wiedzy co będziemy w ogóle robili, w którym kierunku będziemy szli. I tak, jak później wspomniałem, zaplanować ten system, czyli określić, zastanowić się nad kontekstem organizacji, określić go, określić wszystkie te czynniki zewnętrzne, wewnętrzne, które mają lub mogą mieć wpływ na nasz system, na naszą organizację. Zidentyfikować strony zainteresowane, czyli tych interesariuszy, którzy mogą przedstawiać nam jakieś wymagania, czy też mogą mieć jakąś rolę w tym naszym systemie zarządzania bezpieczeństwem informacji. I w odniesieniu do tych danych przeprowadzić ocenę ryzyka, ocenę ryzyka bezpieczeństwa informacji, ocenę ryzyka przez nas tak nazwaną systemowego, czyli co takiego złego może się stać, że ten nasz system nie uzyska zaplanowanych wyników. Po tym, jak przeprowadzimy tę ocenę ryzyka, na podstawie tych wyników mając na uwadze wymagania normy ISO 27001, a szczególnie wymagania przedstawione w odniesieniu do zabezpieczeń przedstawione w tej normie w załączniku A opracowujemy niezbędne regulacje wewnętrzne, czyli wprowadzamy procedury, polityki, wprowadzamy instrukcje po to, aby jednoznacznie mieć określone co jak ma być realizowane, aby ten poziom bezpieczeństwa był odpowiedni. Aby ten poziom ryzyka nie przekraczał poziomu ryzyka akceptowalnego. Mając już opracowaną dokumentację, wdrożoną, czyli tutaj bardzo duża rola całego tak naprawdę zespołu, bardzo duża rola najwyższego kierownictwa, bo to ono zawsze powinno zapewnić, żeby ten personel, żeby pracownicy firmy byli zaangażowani w to, żeby byli świadomi zagrożeń, świadomi tego, jak ważne jest stosowanie tych regulacji dotyczących bezpieczeństwa informacji musi być zapewniony po prostu cykl szkoleń, cykl wszelkiego rodzaju działań, które tą świadomość zapewnią. I kiedy mamy już to zrealizowane, chociaż tak naprawdę jest to proces ciągły, on nigdy nie ustaje, dbania i rozwijania tej świadomości, możemy przystąpić do sprawdzenia, czy jak to już działa spełnia wymagania normy ISO 27001 i jeżeli jest to celem organizacji, czy możemy już się poddać pod ten audyt zewnętrzny, ten audyt certyfikujący. W momencie, kiedy wyniki wskazują, że jest to jak najbardziej już możliwe, kiedy przyjadą ci audytorzy zewnętrzni nie będzie tutaj jakiegoś blamażu, nie będzie jakiejś wpadki, to jak najbardziej oczywiście zaprasza się już tych audytorów i oni przyjeżdżają, dokonują odbioru tego systemu, czyli metodą, jak wspomniałem, próbkowania weryfikują zgodność tego systemu. Weryfikują, czy ten system osiąga te swoje zaplanowane cele, czy są osiągane te zaplanowane wyniki. I jeżeli wszystko jest jak należy, jednostka certyfikująca przyznaje taki odpowiedni certyfikat.

.

KN: I to jest właśnie ten ostatni krok, czyli ten odbiór. Ale cały czas powtarzamy, że to nie jest proces, który się kończy dlatego, że musimy go cały czas doskonalić.

.

RM: Tak. I tutaj jeszcze przychodzi też właściwie z pomocą, jeżeli tak można powiedzieć, rola tej jednostki certyfikującej, ponieważ sprawuje ona taki stały nadzór nad tym systemem. Stały może za duże słowo, ale przynajmniej cykliczny. Cyklicznie przyjeżdża, przeprowadza tzw. audyty sprawdzające, audyty nadzoru. Weryfikuje, czy w międzyczasie coś się nie rozeszło, czy rzeczywiście ten system dalej jest utrzymywany i udoskonalony tak, jak to powinno być robione, czy też coś tam się złego stało.

.

KN: Rafale, jaka w tym całym procesie jest rola jednostki certyfikującej?

.

RM: Rolą jednostki certyfikującej w tym przypadku jest przeprowadzenie niezależnej, w pełni niezależnej, weryfikacji zgodności czy ten system zarządzania, który został wdrożony spełnia wymagania ISO 27001 oraz, czy ten system jest skuteczny. Bo te audyty przeprowadza się, żeby sprawdzić i zgodność i skuteczność tego systemu, czyli czy są osiągane przez ten system zakładane cele. Jednostka certyfikująca, jak wspomniałem i podkreślę – niezależna, przeprowadza audyt sprawdzający. Pierwszy nazywa się audytem certyfikującym. Natomiast przyznany w jego wyniku certyfikat zgodności jest przyznawany na okres trzech lat. Mówimy oczywiście o certyfikatach ISO 27001. Jest przyznawany na okres trzech lat, jednak ważność tego certyfikatu jest utrzymywana tylko i wyłącznie jeżeli firma, której ten certyfikat został przyznany, będzie poddawała się okresowym audytom nadzoru, audytom sprawdzającym, tzn. audytorzy jednostki certyfikującej zostaną wpuszczeni i zostanie im umożliwione przeprowadzenie takiego audytu sprawdzającego po okresie dwunastu miesięcy i kolejnych 12 miesięcy funkcjonowania tego systemu zarządzania. Po upływie tych trzech lat, ale przed wygaśnięciem ważności tego certyfikatu firma musi zdecydować, czy ten certyfikat odnowić, wznowić, czy też przedłużyć jakiegokolwiek byśmy tego określenia tutaj nie użyli. I jeżeli jest decyzja na tak, wtedy jest przeprowadzany audyt recertyfikujący, który rozpoczyna kolejny trzyletni cykl utrzymywania tego certyfikatu. I tam już jest, potem dokładnie wygląda ten mechanizm tak samo, czyli kolejne audyty nadzoru, po trzech latach kolejna recertyfikacja, bo warto zwrócić uwagę, że rzeczywiście ten system zarządzania w i360 został certyfikowanych już kilka lat temu i jeżeli byśmy porównywali ten system względem tego co było wcześniej i co jest teraz to zmiany są naprawdę diametralnie. A norma się nie zmieniła.

.

KN: No dobrze. No i wprowadziliśmy już normę ISO 27001, przeszliśmy pozytywnie audyt, otrzymaliśmy certyfikat. I co dalej? Czy taki certyfikat jest dany raz na zawsze?

.

RM: Tak. I tak jak rzeczywiście wspomniałem on jest przyznawany na okres trzech lat. Po upływie tych trzech lat firma decyduje, czy przedłużyć ważność tego certyfikatu i poddać się recertyfikacji, czy też nie. Natomiast tu bym nawiązał jeszcze do jednej istotnej sprawy co zrobić. No wdrożyliśmy, certyfikowaliśmy, co możemy z tym zrobić. Bo mówienie też o ciągłym doskonaleniu może tak troszeczkę pusto brzmieć, ale co zrobić w ramach tego ciągłego doskonalenia? Tutaj też mamy narzędzia, które zapewnia nam ISO, czyli ten międzynarodowy komitet normalizacyjny jak chociażby inne normy z tejże serii. ISO 27002 z kolei przedstawia, w jaki sposób zabezpieczenia przedstawione w załączniku do tej normy 27001 mogą zostać wdrożone. Sposoby wdrożenia, sposoby rozwoju tak naprawdę stosowanych w firmie zabezpieczeń. To taka dobra lektura, dobry materiał do tego właśnie w jaki sposób moglibyśmy ten nasz system zarządzania bezpieczeństwem informacji udoskonalić. Ale pamiętajmy o tym, że raz przyznany certyfikat nie świadczy o tym, że on już będzie ważny zawsze. Na każdym certyfikacie jest podana jego data ważności. Czyli jeżeli chcemy zweryfikować, czy nasz kontrahent posiada aktualny certyfikat zobaczmy, spójrzmy na ten certyfikat, poprosimy aby on nam go okazał, bo zobaczymy do kiedy on albo był ważny, albo do kiedy jest ważny. Niestety w dzisiejszych czasach, kiedy ten postęp jest naprawdę tak diametralny, musimy pamiętać o tym, że jeżeli certyfikat uzyskaliśmy pięć lat temu i on był ważny przez okres gdzieś tam tych trzech lat – do powiedzmy roku 2019, to przez ten okres dwóch, trzech lat mogło się zmienić naprawdę bardzo wiele.

.

KN: I na koniec mam wrażenie, że odpowiedziałeś na moje ostatnie pytanie. Dlatego, że chciałam zapytać, w jakich kierunkach powinna rozwijać się firma, przedsiębiorstwo, które pozytywnie przeszło taką certyfikację?

.

RM: Tak. Tak, jak wspomniałem, można użyć tych narzędzi dostępnych, natomiast najistotniejsze tu jest obserwowanie tego naszego otoczenia, tego postępu. Zidentyfikowanie, czy nie występują jakieś nowe podatności. Podatności, które mogą być wykorzystane przez zagrożenia i tym samym zmaterializuje się jakieś zdarzenie niepożądane, wystąpi jakiś incydent bezpieczeństwa, naruszenie przetwarzanych danych osobowych – jak wspomniałem obecnie dosyć medialny temat. Więc pamiętajmy o tym, że to doskonalenie to jest zarówno odpowiadanie na zmiany jakie występują, ale również zwracajmy uwagę na to, jak wykorzystać ten system do uzyskiwania wyników biznesowych, osiągania celów biznesowych. Czyli co moglibyśmy usprawnić, może przyspieszyć, aby rzeczywiście ten nasz biznes się rozwijał. Takim przykładem mogą być chociażby plany ciągłości i to co ostatnio zostało zrobione w spółce. Bardzo został skrócony czas wznowienia działalności w przypadku problemów z infrastrukturą sieciową. Czyli bardzo został skrócony czas odzyskiwania działalności w przypadku zmaterializowania się ryzyka akurat awarii w tym przypadku. Te rozwiązania, które zostały wprowadzone spowodowały, że ten czas skrócił się dwu- albo nawet trzykrotnie. To pokazuje, że firma jest w stanie po takim zdarzeniu niepożądanym dwu-, czy trzykrotnie szybciej podnieść się i wrócić do swojej normalnej działalności.

.

KN: Rafale, bardzo Ci dziękuję za ciekawą rozmowę i za to, że rozwiałeś wszystkie moje wątpliwości.

.

RM: Dziękuję.

.

KN: Tobie mówię: do zobaczenia.

.

RM: Do zobaczenia.

.

KN: A Państwa zapraszam na kolejny odcinek.

.

Transkrypcja – ISO-IEC 27001 Bezpieczeństwo informacji programów lojalnościowych