Kako postići razumijevanje menadžmenta za uvođenje sustava informacijske sigurnosti?
- Detalji
- Kreirano Petak, 24 Listopad 2014 18:38
- Hitovi: 5366
Što bi predstavljao pojam predanost i aktivna uključenost menadžmenta u sustav? To su najvažniji, iako često zanemareni preduvjeti za uspješnu implementaciju i održavanje sustava upravljanja. Kada govorimo o sustavu upravljanja informacijskom sigurnošću ti preduvjeti uvelike ovise o tome kakav je stav menadžmenta o upravljanju informacijama i rizicima kojima je sustav izložen kada je u pitanju informacijska sigurnost. S obzirom da je menadžment taj koji odgovara za profitabilnost tvrtke, ne samo da će biti važno kakva je njihova svijest, već i koliko uvođenje sustava košta. Često je baš trošak uvođenja razlog za odustajanje.
Ako ste ikada pokušali uvjeriti menadžment da financira uvođenje sustava upravljanja, vjerojatno znate kakav je to osjećaj – pitaju vas koliko to košta i ako zvuči preskupo, jednostavno kažu ne. Tu počinju izazovi vezani za postizanje aktivne uključenosti menadžmenta u uvođenje i održavanje sustava. Ukoliko direktne financijske koristi nisu jasno vidljive, uključenost se često vrlo teško postiže. No, bismo li trebali menadžment kriviti za to- oni su u konačnici ipak zaduženi za profitabilnost tvrtke. To jest, temelj svake njihove odluke je odnos između visine ulaganja i koristi- ili da se izrazimo menadžerskim rječnikom – povrat na investiciju (engl. return on investment – ROI).
To znači da prije predlaganja bilo kakvog ulaganja morate napraviti domaću zadaću – dobro promislite kako prezentirati koristi, koristeći se jezikom koji će menadžment razumjeti i podržati.
Imajući na umu sve ove činjenice, pokretanje postupka uvođenja sustava informacijske sigurnosti moglo bi poprilično sigurno zapeti već na prvom koraku. U tom slučaju u pomoć moramo prizvati jasne argumente koje će svaka odgovorna uprava prepoznati kao poslovne prednosti.
Koristi informacijske sigurnosti, pogotovo provedbe norme ISO 27001 su brojne, no možemo ih svrstati u 4 cjeline:
1. Sukladnost
Možda se čini neobičnim ovo navesti kao prvu prednost, ali upravo se tako ostvaruje najbrži “povrat ulaganja” – ISO 27001 pruža metodologiju s kojom organizacija na najefikasniji način može postići sukladnost s propisima u području zaštite podataka, privatnosti i IT upravljanju (posebno ako se radi o financijskoj, zdravstvenoj ili državnoj organizaciji).
2. Marketinška prednost
Na sve konkurentnijem tržištu ponekad je jako teško pronaći nešto po čemu kupcima možete biti prepoznatljivi. Norma ISO 27001 vam zaista može osigurati da ponudite nešto jedinstveno, pogotovo ako baratate osjetljivim informacijama klijenata.
3. Smanjivanje troškova
Informacijska sigurnost obično se smatra troškom koji ne donosi očitu financijsku dobit. Ipak, financijsku korist možete ostvariti ukoliko smanjite troškove uzrokovane incidentima – vjerojatno se suočavate s prekidom usluga ili povremenim curenjem informacija, a nađe se i poneki nezadovoljni djelatnik. Ili nezadovoljni bivši djelatnik.
Istini za volju, još uvijek ne postoji metodologija i/ili tehnologija koja bi vam omogućila da izračunate koliko novca možete uštedjeti sprječavanjem takvih incidenata. Ali uvijek je dobro skrenuti pozornost menadžmenta na takve slučajeve.
4. Uvođenje reda u poslovanje
Ova korist se najčešće podcjenjuje – ako ste tvrtka koja se u zadnjih nekoliko godina naglo razvila, možete naići na probleme poput – tko o čemu odlučuje, tko je odgovoran za određene informacijske resurse, tko odobrava pristup informacijskim sustavima, i sl.
Norma ISO 27001 posebno je korisna u rješavanju takvih stvari – prisilit će vas da vrlo precizno definirate odgovornosti i zaduženja i da na taj način ojačate svoju internu organizaciju.
Umjesto da norma ISO 27001 bude samo još jedan certifikat na zidu, ona vašoj tvrtki može donijeti mnoge koristi. U većini slučajeva će vas menadžment poslušati ako te koristi prezentirate na jasan način. Tada predanost i aktivna uključenost menadžmenta u sustav neće biti upitna.
Više podataka o normi ISO 27001 i postupku certifikacije možete saznati na internetskoj stranici www.dnvba.com.
Izvor:DNV GL