O segundo estágio de uma resposta emocional à mudança é a raiva. Isso corresponde ao nosso estágio da luta com as dificuldades da preparação inicial para a certificação - que é a história da nossa atualidade.
Iniciamos o caminho para o certificado com os seguintes dados iniciais:- termos de certificação: o mais rápido possível;
- orçamento: quanto menor, melhor (mas para que tudo seja decente);
- equipe: 1,5 a 2 pessoas (gerente de projeto + equipe e gerenciamento do departamento de TI conectados periodicamente);
- conhecimento da equipe no campo da segurança da informação: mais ou menos.
Não parece muito impressionante, parece? Nem imaginávamos quantas dificuldades encontraríamos no processo de trabalho e que número sério de decisões tínhamos que tomar.Não sabemos nada!
Uma das principais dificuldades foi que ninguém em nossa empresa possuía experiência suficiente no campo da segurança da informação. Nenhum dos funcionários possuía certificados profissionais ou experiência profissional na implementação de um sistema de gerenciamento de segurança da informação. Isso causou séria preocupação: vamos lidar com isso? Talvez precisemos de treinamento primeiro? Ou é necessário contratar uma pessoa que já tenha essa experiência?Spoiler:Tais pessoas, em princípio, são muito poucas no mercado, pois existem 70 certificados válidos para todo o país.
De fato, você pode contratar um consultor, mas como podemos avaliar seu profissionalismo se nós mesmos não entendermos nada sobre isso?Olhando para o futuro, podemos dizer: mesmo com esses dados iniciais, o problema acabou sendo bastante solucionável. O principal é que a equipe tenha lógica, bom senso e um entendimento claro de por que a empresa precisa de certificação.Talvez apenas o google?
Realmente não tínhamos nenhum conhecimento, mas na era da tecnologia moderna quase todas as informações estão disponíveis para nós - de graça ou com pouco dinheiro. Portanto, no início do projeto, pensamos que, com facilidade, encontraríamos todas as informações necessárias para uma preparação bem-sucedida para a certificação na Internet, além de baixarmos facilmente amostras de todos os documentos necessários.Na realidade, tudo acabou completamente errado: emprimeiro lugar , em princípio, não entendíamos exatamente o que precisávamos "pesquisar".Em segundo lugar , tudo o que encontramos em domínio público foi muito embaçado - sem detalhes, sem casos reais.Em terceiro lugar, todas as amostras de documentos que encontramos na Internet eram completamente irrelevantes para nossa empresa. E mesmo em inglês, praticamente não havia instruções passo a passo fáceis de entender e casos de empresas que passaram na certificação com sucesso. Assim, tivemos que procurar o caminho para o certificado.Com que finalidade você começa a desvendar o emaranhado?
Após uma pesquisa intensiva por informações na Internet, percebemos que, para começar, deveríamos decidir:- Autoridade de Certificação;
- consultor de certificação (porque realmente não temos experiência - e você precisa encontrar alguém que já a tenha);
- ferramentas tecnológicas para o desenvolvimento e manutenção do sistema (nos artigos subsequentes, abriremos esse importante ponto em mais detalhes).
Os dois primeiros são contrapartes importantes durante a certificação; sua escolha deve ser tomada com muito cuidado (o que fizemos). Assim, a primeira coisa em que decidimos nos concentrar é realizar duas propostas para selecionar essas contrapartes principais.Como escolher uma autoridade de certificação?
Obviamente, a escolha de um organismo de certificação depende dos motivos que o levaram a se preparar para a certificação. Se você veio a este lugar no artigo, provavelmente precisará de um certificado, não apenas para exibição, caso contrário, teria usado os serviços de empresas que se oferecem para fazer um certificado em uma hora e 10 mil rublos. Portanto, você deve se concentrar em organismos de certificação que possuem ampla prática internacional e são credenciados nos países de seu interesse.Não existem muitas empresas prontas para certificá-lo na Rússia de acordo com a norma ISO 27001 - selecionamos cerca de 10 participantes decentes para o concurso. Os principais critérios de seleção foram:- disponibilidade de acreditações internacionais,
- carteira de clientes e suas recomendações,
- preço.
É incrível que, no último ponto, tenhamos uma propagação de quase 10 vezes ! No entanto, alguns dos licitantes disseram que podem nos fornecer apenas um auditor estrangeiro. Isso significava passar automaticamente por uma auditoria de certificação em inglês, o que, em princípio, não era um grande problema para nós, pois todos os funcionários-chave a conhecem em alto nível, mas para alguém isso pode definitivamente se tornar um problema.Mais tarde, descobrimos que existem muito poucos especialistas que podem realizar auditorias de certificação de acordo com esse padrão em nosso país. Quase todos trabalham para vários organismos de certificação e estão familiarizados.Como escolher um consultor de preparação para certificação?
Existem muitas empresas oferecendo seus serviços em preparação para a certificação. No entanto, nem todos eles podem realmente ajudar - alguns deles, na verdade, simplesmente enviam modelos de política onde você precisa inserir o nome da sua empresa, sem se aprofundar nos processos de negócios. Naturalmente, essa abordagem o ajudará um pouco com a certificação.Conceitualmente, existem 2 soluções para o problema:- Preparação pelo consultor de todos os documentos chave na mão . Essa abordagem, sem dúvida, permitirá que você não sobrecarregue seus funcionários com a preparação para a certificação. No entanto, existe o risco de que seus processos e procedimentos não sejam adequadamente documentados.
- Consultor que verifica os documentos preparados por seus funcionários. Aqui, provavelmente, a qualidade da documentação será melhor, porque será preparada pelos funcionários que estão familiarizados com os processos.
Na preparação para a certificação, atuamos no segundo cenário. Com base em nossa experiência, você pode dar algumas dicas sobre como escolher um consultor para certificação:
- Peça recomendações de empresas de consultoria de autoridades de certificação, entre as quais você está realizando uma licitação - foi assim que encontramos a nossa.
- Negocie e corrija com antecedência o escopo e o escopo do trabalho, bem como a responsabilidade de cada parte.
- Mantenha contato com um consultor regularmente durante todo o período de preparação para a certificação - isso economizará tempo e evitará a necessidade de refazer grandes pedaços de documentação.
Ok, mas está tudo bem agora?
No processo de coleta dos materiais necessários para a preparação para a certificação, ocorreram coisas surpreendentes. Por exemplo, o fato de a ISO 27001 estar vinculada a vários padrões relacionados (que devem ser lidos pelo menos superficialmente).Estes são, por exemplo, padrões como:- ISO 19011 - Diretrizes para auditoria de sistemas de gerenciamento
- ISO 22301 - Sistemas de Gerenciamento de Continuidade de Negócios
- ISO 31000 - Gerenciamento de Riscos. Princípios e diretrizes
- ISO 27003 - Métodos e meios de segurança. Sistemas de Gerenciamento de Segurança da Informação
A lista acima é fundamental, mas não abrangente. Cada empresa a forma com base em suas próprias necessidades. Optamos por não “reinventar a roda” e, por exemplo, em questões de gerenciamento de riscos e auditoria de sistemas de gerenciamento, contamos com a ISO 31000 e a ISO 19011, respectivamente. O padrão de suporte ISO 27003 nos ajudou com as informações que o acompanham sobre a implementação do 27001. Mas, acima de tudo, trabalhamos com o ISO 22301, necessário para descrever a parte das políticas responsáveis pelo plano de continuidade de negócios (BCP).A “cereja” no bolo foi a falta de textos relevantes desses padrões no domínio público. Se você quiser se familiarizar com o conteúdo, compre o texto oficial no site da ISO por ~ 10 mil rublos.E quanto isso irá custar?
Em preparação para o início do projeto, naturalmente decidimos calcular quanto a certificação nos custaria.A estrutura geral dos custos de certificação no nosso caso foi a seguinte:- taxas cobradas por um organismo de certificação,- custos de um consultor para a preparação da certificação,- despesas de viagem de um auditor,- despesas de hospitalidade,- custos de marcação de documentos (para todas as pastas com documentos) há uma quantidade incrível na empresa de contabilidade, eu tive que colar adesivos de cores diferentes),- os custos de compra dos textos oficiais das normas,- os custos de equipar todas as salas que vão para a área comum dos centros de negócios, os sistemas de controle de acesso (sistemas de controle e gerenciamento de acesso),- os custos de software ( Sistema DLP, implementação de autorização de dois fatores, etc.),- modernização do hardware da empresa (servidor e operacional),- custos adicionais para o (s) centro (s) de dados,- horas-homem dos funcionários envolvidos na certificação.
É altamente recomendável que você faça uma reserva no orçamento, pois é extremamente difícil prever todos os custos necessários antes de iniciar o projeto.Assim, no início do projeto de certificação, sentimos uma quantidade muito grande de raiva - felizmente, no final, conseguimos lidar com isso. :)Leia também:5 estágios de inevitabilidade da adoção da certificação ISO / IEC 27001. Negação : equívocos sobre a certificação da ISO 27001: 2013, a conveniência de obter um certificado /5 estágios da inevitabilidade da aceitação da certificação ISO / IEC 27001. Raiva: Por onde começar? Dados iniciais. Despesas. A escolha do provedor.