Važnost upravljanja rizicima za poslovanje organizacije

Kada se pogleda situacija u organizacijama, veći dio njih govore o procjeni rizika i važnosti za moderne trendove upravljanja. Iz iskustva znam da nakon takvih izjava na prvo pitanje, "što vi to procjenjujete i zašto?", uglavnom prestaje diskusija bez pravih odgovora. Na temelju toga se može svatko zapitati, ako se nezna što se procjenjuje, kako se onda može napraviti efikasna procjena rizika?

Zbog toga sam smatrao da nije na odmet reći nekoliko riječi o procjeni rizika i njenom značaju za organizaciju. Svaka organizacija bi trebala procijeniti prijetnje koje mogu imati posljedice za nju, a zatim odrediti rizik za njih. Zbog praktičnosti, ali i stvarne potrebe, može se pokazati da je dovoljno uzeti u obzir samo nekoliko prijetnji u odnosu na sve potencijalne. To je važno naglasiti, jer se inače može desiti da se poslovno okruženje nepotrebno bavi analizama i procjenama niza potencijalnih prijetnji, a objektivno nema značaja za organizaciju.

Na dalje, treba biti svjestan i činjenice da rizici mogu predstavljati priliku za organizaciju. Naime, uvijek postoje rizici koji su uključeni u poslovanje. Nekada ti rizici mogu predstavljati pravu priliku ako se s njima pravilno upravlja. Ako organizacija iz provedene procjene rizika stvori pozitivnu perspektivu, gdje rizik ne utječe direktno na cijenu proizvoda (usluge), onda to može imati vrlo pozitivan učinak na poslovanje. Znači, u nekim slučajevima rizici mogu imati i dobre strane.

Većina organizacija ima manji ili veći broj zaposlenika koji se bave problemom rizika na nekom nivou, dijelom ili cijelo radno vrijeme. Međutim, mnogi nemaju formalni sustav upravljanja rizicima, već imaju tendenciju da su aktivnosti vezane za rizike reaktivne, a ne da se temelje na potencijalnim rizicima koji bi se eventualno dogodili u budućnosti. Zato nije presudno pitanje zašto su rizici važni za poslovanje, već pitanje zašto je važno implementirati formalni sustav upravljanja rizicima.

Praktički sve norme svoju implementaciju, ali i kasnije održavanje u funkciji i poboljšanje sustava temelje na upravljanju rizicima. To je jasno za ISO 14001, OHSAS 18001, ISO 22000, ISO 27001 itd. No, i nova revizija norme ISO 9001:2008 govori o tome da se pri implementaciji sustava za upravljanje kvalitetom mora voditi računa o poslovnom okruženju i rizicima koji pri tome postoje.

Upravljanje rizicima je proces kojim se identificiraju, procjenjuju i obrađuju rizici pomoću konzistentnih i ponovljivih postupaka i metoda za dijelove ili cijelu organizaciju. Upravljanje rizicima ne nastoji u potpunosti eliminirati rizike, jer je to praktički nemoguće, već stvoriti okruženje u kojem se mogu donijeti optimalne poslovne odluke uzimajući u obzir identificirane rizike i posljedice koje oni mogu izazvati.

Kakva je korist od toga? U svakom slučaju glavna korist se ogleda u tome da je menadžment organizacije donio odluku na temelju objektivnih i usporedivih podataka, a ne na temelju subjektivnih zaključaka i intuicije. Proces upravljanja rizicima identificira u kojem smjeru i kojim intenzitetom resursi trebaju biti angažirani da bi se ublažile posljedice neprihvatljivih rizika. Poznatao je da se nakon provedene procjene rizika i analize posljedica za organizaciju mogu poduzeti četiri akcije vezane za objektivno smanjenje posljedica: prihvaćanja rizika - takav kakav je (pa šta bude), prijenos rizika na nekoga (osiguravajuća kuća, itd), zabrana pojave hazarda - odnosno situacije da se pojave rizici (npr. zabrana uporabe interneta u produkcijskoj mreži, zabrana pristupa neovlaštenima, itd), te konačno smanjenje rizika na prihvatljivi nivo primjenom jedne ili više sigurnosnih mjera.

Što se u biti postiže s upravljanjem rizicima? U svakom slučaju, može se pokazati da se upravljanjem rizicima smanjuje potencijalna šteta koju može imati organizacija u koliko dođe do realizacije rizika. Ta se šteta izražava uvijek u financijskom iznosu i ide na račun smanjenja dobiti. Pravilno upravljanje rizicima, prema tome direktno utječe na smanjenje gubitaka - troškova, odnosno povećanje vjerojatnosti da će i dobit biti veća.

Najpoznatija norma koja se koristi za upravljanje rizicima je još uvijek "AS/NZS 4360:2004 - Standard for Risk Management" u kojem se nalazi definiran proces i njegovo okruženja za upravljanje rizicima. Ta norma je poslužila kao više nego dobar temelj za međunarodnu normu "ISO/FDIS 31000 Risk management - Principles and guidelines" koja se očekuje polovicom 2009 godine da bude formalno objavljena u konačnoj verziji. ISO je već objavio verziju norme specijaliziranu za područje ISMS: "ISO 27005:2008 Information technology - Security techniques - Information security risk management" u kojoj je detaljno opisan proces upravljanja rizicima za ISMS. Razlike između FDIS verzije 31000 i ISO 27005:2008 su minorne i može se slobodno reći potpuno jednako se tretira proces upravljanja rizicima, a to je potpuno sukladno nacionalnoj normi AS/NZS 4360:2004.

U skoroj budućnosti svakako treba očekivati ozbiljno uključivanje norme za upravljanje rizicima među ostale sustave upravljanja u organizacijama.

Može li ovako funkcionirati ISMS?

Nedavno sam imao priliku razgovarati s jednim kolegom koji se zaposlio u jednoj firmi na mjesto menadžera za sustav upravljanja kvalitetom (SUK), a ja ću ga u tekstu zvati Pero. Kako u toj organizaciji postoji više sustava za upravljanje dobio je u nadležnost i fukciju "glavnog" menadžera koji koordinira rad ostalih menadžera. Organizacija ima pored SUK-a implementiran sustav za upravljanje okolišem (EMS), sustav za upravljanje sigurnošću i zdravljem ljudi (OHSAS), a nalaze se u završnoj fazi implementacije ISMS - sustava za upravljanje sigurnošću informacija. Stupanjem na radno mjesto i početnim upoznavanjem s radnim obvezama i suradnicima organizirao je sastanak s ostalim menadžerima da se upoznaju, a i da počnu suradnju na predstojećoj integraciji tih raznih sustava upravljanja. Žali mi se Pero: "Sve je bilo dobro, ali na stastanak nije došao menadžer za ISMS. Obrazloženje je bilo da u ISMS-u ima toliko tajni da on nema šta raditi s ostalim menadžerima sustava i s njima razgovarati". Kada je Pero zatražio da vidi barem do tada napravljeni dio dokumentacije za ISMS, odgovor je od menadžera ISMS bio: "sve je to tajna". Čak je i politika informacijske sigurnosti proglašena tajnom i da ju obični "smrtnici" nemaju pravo vidjeti.

Kada sam čuo ovu priču, prvo sam rekao: "Daj Pero, ti sigurno nemaš pametnija posla nego si mene našao zavitlavati." , "Ma nije, sve je tako, čak ima za to podršku od vrhovne uprave.", odgovori Pero.

Slušam i ne mogu vjerovati, ali i drugim putem sam saznao da je to istina.

Sada kada o tome razmišljam, ne vidim problem u tom "nadri" menadžeru ISMS, nego u onima koji ga podržavaju na tom mjestu. Mogli su se barem raspitati šta znači ISMS, i da sigurnost informacija nije proglasiti sve tajnom.

Točno je da su aspekti informacijske sigurnosti (prema ISO/IEC 27001) osiguranje tajnosti, cjelovitosti i raspoloživosti informacija (Confidentiality, Integrity, Availability - CIA). No "tajnost" znači da do informacije mogu doći samo oni koji su ovlašteni da ju koriste, a ne da je sve tajna. S druge strane, tu se govori o tajnosti informacije, a ne o tajnosti sustava koji treba osigurati ova tri aspekta informacijske sigurnosti. Kako u kontekstu ISO normi, svaki sustav upravljanja MORA biti između ostalog i dokumentiran da bi uopće bio sustav, a svi učesnici u funkciji informacijskog sustava moraju biti upoznati s odgovarajućom dokumentacijom, dolazi se do pitanja: kakav je to sustav? Kako sustav može funkcionirati kada su osnovni dokumenti kojim se određuje njegovo funkcioniranje tajna?

Poznato je da se dokumentacija za ISMS kategorizira na četiri nivo. U prvom nivou se nalazi generalna politika informacijske sigurnosti, dokument za definiciju opsega ISMS, dokumentacija o upravljanju rizicima, pa sve do dokumenta poznat kao "Izjava o primjenljivosti" ( "Statement of Applicability" - SoA ). U drugom nivou se nalaze procedure, u trećem uputstva, a u četvrtom zapisi. Analizirajući sadržaj i intencije norme serije ISO 27001 prva dva nivoa dokumentacije ne trebaju sadržavati nikakve tajne podatke. Čak su neki dokumenti iz te grupe javni i javno se objavljuju, a neki se bez problema trebaju davati na uvid partnerima ako ih oni traže. Čak se za ta prva dva nivo mogu nabaviti predlošci (Template) na raznim mjestima, koji uz manje ili veće prilagođenje mogu sasvim dobro pristajati organizaciji. Oni se temelje na najboljoj svjetskoj praksi, a dograđeni su specifičnostima organizacije u kojoj se provode.

Druga dva nivoa dokumentacije: uputstva i zapisi mogu sadržavati velike poslovne tajne, kao npr. IP adrese, ključeve, kodove za pristupe, itd. Ti dijelovi dokumentacije se često puta proglašavaju tajnama najvišeg stupnja klasifikacije u organizaciji.

U pojedinim slučajevima se procedure preskaču pa se odmah izrađuje uputstvo, ili se ne radi uputstvo, već se odmah u okviru procedure izrade i upute kako stvarno odraditi tu proceduru. Nema strogog pravila, već je to stvar optimizacije dokumentacije i praktičnosti. U tom slučaju se mogu takvi dokumenti klasificirati tajnim.

Šta se dešava sa auditiranjem kada auditor zatraži uvid u dokumentaciju na kojoj se nalaze tajni podaci? U pravilu, auditor potpisuje izjavu o odgovornosti za čuvanje poslovnih tajni koje sazna tijekom auditiranja, a i ti dokumenti mogu biti cenzurirani, odnosno zamračeni dijelovi u kojima su poslovne tajne. Stvar prakse.

Kada se to zna, kada je to tako navedeno u normi ISO 27001 opet se pitam, kako netko može čak i politiku informacijske sigurnosti proglasiti tajnom?

No, kada se beba rađa ona zaplače, a onda dolazi smijeh i zadovoljstvo. Tako moj Pero sad još "plače", ali nadam se da će i njemu jednog dana svanuti i uspjeti objasniti nekome abecedu.

Procjena rizika kao temelj za ISMS

Upravljanje informacijskom sigurnošću, kao posebno važan dio sveukupnog upravljanja u nekoj organizaciji, svakim danom dobiva sve više na značaju. Razlog za to ne leži u iznenadnoj pojavi ugroženosti informacija, već s jedne strane u očekujućem razvoju informacijskog društva, te s druge strane ipak povećanom nivou svijesti o posljedicama ugrožavanja informacija.

Cjelokupnoj informacijskoj sigurnosti u pozitivnom, ali i negativnom smislu doprinosi način i stupanj izgrađenosti informacijskog sustava, način njegovog funkcioniranja. Postoji niz raznih definicija za informacijski sustav, ali u ovom slučaju bit će dovoljno jednostavna slijedeća: informacijski sustav je skup svih resursa u kojima se generira, prenosi, obrađuje, pohranjuje i koristi informacija, te organizirano upravlja sa svime time. No što je informacija? I za nju se može navesti više definicija, ali za potrebe ISMS-a može se reći: informacija je svaki podatak koji u nekom kontekstu ima vrijednost za korisnika. Iz gore navedenog proizilazi jedan zaključak: ne postoji organizacija koja nema informacijski sustav (pa čak ako nema ni jedan kompjuter). Informacijski sustavi postoje tisućama godina, a informatički, u današnjem smislu poimanja tek 50-tak godina. U svakom informacijskom sustavu informacija je ključni resurs, zbog koje se i uspostavlja sustav. Prema ISO 27001 svaka informacija kao i bilo koja druga imovina, u organizaciji ima svoju vrijednost. Kolika je ta vrijednost? odgovor na to pitanje najbolje zna vlasnik, odnosno korisnik informacije. No sigurno je jedno: kao i svaku imovinu u organizaciji, tako i informaciju se mora čuvati, upravo zbog toga što ima vrijednost.

Kakvi mogu biti oblici podataka (a time i informacija): u elektronskom obliku (u računalima, mrežama, itd), zapisani na papiru, memorirani u glavama ljudi, ali i npr. na kamenu (hijeroglifi), čvorovi na konopu, itd. Zbog toga se u svakom konkretnom slučaju treba biti pažljiv kod definiranja što je to informacijski sustav. On mora obuhvatiti sve resurse iz prakse s funkcijama koje su gore navedene, a pojavljuju se u nekoj organizaciji. 

Slijedeći, vrlo važan problem je kod definiranja što je to ugrožena informacija, odnosno, kako definirati što je to sigurna informacija. Po tom pitanju najbolje je držati se definicije iz norme ISO 27001 koja kaže da se sigurnost informacije ogleda kroz zadovoljavanje tri kriterija:

• tajnost - do informacije može doći samo ovlašteni korisnik (Confidentiality /* Style Definitions */ table.MsoNormalTable {mso-style-name:"Table Normal"; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-qformat:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:"Calibri","sans-serif"; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin;} )
• cjelovitost - informacija ne smije promijeniti sadržaj bez znanja vlasnika. Tu se ne misli samo na informaciju, već i na metode obrade informacija (Integrity).
• dostupnost - do informacije se može doći kada i gdje treba (A vailability).

Često puta, naročito u stranoj literaturi koristi se akronim CIA (!) od engleskih riječi, ako su aspekti složeni kako gore stoji. Osnovna funkcija sustava za upravljanje sigurnošću informacija (ISMS) je da mora osigurati zadovoljavanje željenog nivoa kvalitete gornja tri aspekta informacijske sigurnosti. Pri tome nije dozvoljeno bilo koji od ova tri aspekta zanemariti. U stvari, treba brinuti o onim aspektima čije narušavanje izaziva štetu za organizaciju.

Da bi se osigurala sigurnost informacija kroz osiguranje gornja tri aspekta može se koristiti niz metoda u raznim organizacijsko, tehničko-tehnološkim područjima. Sistematizaciju svih tih opće poznatih načima i metoda borbe za informacijsku sigurnost, temeljeno na najboljoj praksi, prikazano je u Aneksu A norme ISO 27001, a detaljno opisano s prijedlozima o čemu sve treba voditi računa u normi ISO 27002. U Aneksu A norme ISO 27001 i normi ISO 27002 ti predloženi klasificirani postupci se nazivaju kontrole (ne baš najsretnije preuzeto iz engleskog jezika) odnosno sigurnosne mjere. U normama se predlaže veliki broj sigurnosnih mjera (134), a daje se mogućnost i da korisnik sam uvede svoje sigurnosne mjere, ako smatra i dokazuje da mu trebaju jer predložene nisu dovoljne.

Tako veliki broj sigurnosnih mjera je samo prijedlog da ih se koristi. Konačna odluka, koja sigurnosna mjera će se i kako koristiti ovisi od korisnika i njegove odluke. Naravno da se postavlja pitanje kako odabrati sigurnosne mjere koje treba primjeniti da bi se osigurala tri aspekta informacijske sigurnosti. To ne spada u domenu dobre volje i mišljenja korisnika, već opsežne analize. Glavni alat kojim se procjenjuje koja sigurnosna mjere će se koristiti, je procjena rizika, kako to u ostalom zahtjeva norma ISO 27001. Kao konačni rezultat te procjene rizika, koja se temelji na sigurnosnoj politici organizacije i opsegu informacijskog sustava dobija se lista odabranih sigurnosnih mjera koje se mora provesti u organizaciji ako se želi u njoj postići planirani nivo CIA. Dokument u kojem se to navodi i službeno potpisuje od glavnog direktora naziva se "Izjava o primjenljivosti" (SoA - Statement of Applicability), kako je to navedeno kao zahtjev u normi ISO 27001.

Šta je to procjena rizika? Prema objašnjenju pojma u normi ISO 27001, procjena rizika je cjelokupan proces analize rizika i njegovog vrednovanja [ISO/IEC Guide 73:2002]. Pojednostavljeno prema toj definiciji (mada je diskutabilna) pod procjenom rizika se u kontekstu smatra definiranje pravila i metodologije kako procjenjivati rizike u toj organizaciji, te kako ih vrednovati.

Iz gore navedenosg proizlazi zaključak: stvarna implementacija ISMS u neku organizaciju je u biti provođenje sigurnosnih mjera definiranih u dokumentu SoA, a odabranih na temelju procjene rizika. Ako je procjena rizika kvalitetna, i sve se provede kako je planirano, može se očekivati i kvalitetno uspostavljeni ISMS. S druge strane, ako je procjena rizika loše ili djelomično napravljena (samo na dijelu imovine informacijskog sustava), sigurno je da kako god da se kvalitetno provedu planirane sigurnosne mjere, uspostavljeni ISMS nije dobar. Takav sustav je osuđen na probleme vezane za zadovoljavanje aspekata sigirnosti CIA, pa čak i do katastrofa u radu i prekida kontinuiteta.

U jednom drugom radu će se detaljnije opisati postupak procjene rizika vezano za ISMS.

Zašto LEAD AUDITOR nije podoban za menadžera ISMS?

Intenzivno razvijano područje menadžmenta sustava u zadnji 7-8 godina je u svakom slučaju i upravljanje informacijskom sigurnošću (ISMS). Ovaj, jedan od oblika raznih menadžement sustava u nekoj organizaciji, u svakoj sredini na svom početku izaziva niz nedoumica vezanih za pitanja da li to nama treba, kakva je korist od toga, itd., pogotovo što je organizacija i do sada funkcionirala bez toga. Takva je situacija i kod nas. Ništa novo i neobično u poređenju s ostalim dijelom svijeta i drugim državama, za koje po definiciji smatramo da su razvijene i naprednije od nas. Razlika je najčešće u tome što su se takva pitanja kod njih počela postavljati ranije pa su sada ipak u nekoj prednosti. Kod nas je jedino problem što ne želimo učiti na tuđim greškama, već nastojimo iste poteze provjeriti kod sebe da li daju iste pogreške. Naravno, obično se to i kod nas potvrđuje kao greška.

Jedno od važnih pitanja koje se postavlja u svakoj organizaciji, nakon što se donese strateška odluka o tome da se službeno uvede neki menadžment sustav: tko je taj "genije" koji to treba objektivno da provede u organizaciji. Ne ulazeći u diskusije o tome kakva rješenja postoje i mogućnosti implementacije ISMS u organizaciju, za uvođenje ISMS u organizaciju treba primjeniti seriju normi ISO/IEC 27000 (27001, 27002, ...). U nastavku teksta ćemo se bazirati isključivo na toj pretpostavci.

Sada bi trebala biti jasnija stvar u organizaciji po pitanju izbora osobe koja treba biti glavna za uvođenje ISMS u organizaciju. No tu se pojavljuje genijalnost vrhovne uprave. Ne pada im na pamet da se bolje upoznaju s problematikom ISMS i odmah po pravilu zaključuju, radi se o informacionom sustavu, znači o informacijama, pa to je informatika, pa to znači problem treba usmjeriti prema informatičarima, odnosno IT sektoru. Opet se može primjeniti poznata parafrizirana rečenica: "oprosti im Oče, ne znaju šta rade". Da baš tako, ne znaju šta rade. Treba reći, da i informatičari se mogu baviti s upravljanjem informacijskog sustava, ali nikako nisu predodređeni za taj posao. Biti menadžer - glavni za ISMS znači prije svega imati menadžerske sposobnosti (urođene, naučene i istrenirane) a i neka specifična znanja koja su u ovom slučaju sirokog spektra.

Sada stupaju na scenu edukacijske i konzalting kuće koje odjednom dobivaju mogućnost novog posla. Važno je da svaki posao bude dugoročan, ne jednokratan, pa treba pripomoći stavu da se svi važni poslovi i znanje oko menadžmenta ISMS ipak drže izvan organizacije i da se to naplaćuje. Zbog toga se i stvaraju "instant stručnjaci" koji kroz par dana seminara budu proizvedeni u neka zanimanja i dobiju neke certfikate koji objektivno ne daju nikakvo jamstvo da će i znati raditi posao menadžera za ISMS u organizaciji. Ali organizaciji dobro pristaje, jer ima "Pedra" koji je odgovoran za sve u koliko nešto nije kako treba. Pa on ima certifikat. Da li je on  kompetentan za taj posao, pa tko to pita?

Serija normi ISO 27k (skraćena oznaka za 27000) kada se malo prelista i pročita odmah ukazuje na postoji nekoliko profila koji bi trebali biti uključeni u implementaciju, održavanje u životu i poboljšanje ISMS u organizaciji. To su u svakom slučaju 3 bitno različita profila:

1. menadžer informacijske sigurnosti
   
2. specijalisti za pojedina područja (eksperti za upravljanje ljudskim potencijalima, experti za legislativu, experti za fizičku zaštitu, experti za IT, itd)
   
3. interni auditori - revizori.
   

Svaki od ovih profila ima svoju određenu funkciju, bitno različite poslove i potrebna znanja. Ni teoretski, jedna osoba nemože raditi sve poslove. S jedne strane mora sve znati, što je izuzetno lako pokazati da je nemoguće, a s druge strane interni auditor nemože raditi poslove pod 1 i 2, odnosno nikada nemože nitko sam sebe auditirati. Barem kako kažu norme, ali i nacionalni zakoni.

Katastrofalne greške nastaju onog trenutka kada se pomisli da profilirani stručnjak iz 2 može raditi po definiciji kao 1, ili 3 kao 1. Ali, kako se nađu uzbuđeni duhovi kada netko završi za 3 a hoće da radi kao 2. Ostali stručnjaci iz 2 se odmah usprotive, osim u slučaju ako on nije stavrno ekspert za neka specijalistička pitanja. Npr. ako je neki pravnik završio za internog auditora, zašto po toj logici ne bi mogao bez specijalne škole biti npr, stručnjak za sigurnost mreža i pisati procedure i uputstva kako to provoditi u konkretnom slučaju. Naravno da to nemože, sigurno je da bez specijalnog obrazovanja i treninga netko iz 2 ili 3 nemože raditi i kao 1. To se upravo događa. Nije ni čudo što stvarno postoji brdo problema u organizaciji kod implemantacije ISMS, a i kasnijeg provođenja.

Kako se sve više traži ljudi koji bi radili na implementaciji ISMS u organizaciji treba i formalno imati neki papir za taj posao. Analizom trenutne ponude na tržištu, ispada da je najpogodnije završiti seminar za Lead Auditora za ISMS i imati neki certifikat, koji je prepoznatljiv i u svijetu, jer iza njega stoji poznata međunarodna organizacija. Što se toga tiče nema problema po pitanju kredibiliteta tog školovanja i certificiranja osoba. Međutim, u reklamama za takvo školovanje se prešućuje jedan detalj. Nakon završene obuke i položenog ispita, koji su po toj varijanti nužni ( ali ne i dovoljan) uvjet za naziv Lead Auditor, postoji još jedna "sitnica". Praksa, praksa, praksa, čitaj broj: dana auditiranja kod certificiranja ISMS. Tko nema tih dana auditiranja, objektivno poštujući ta pravila nema ni status Lead Auditora za ISMS. Kako se premalo firmi kod nas certificira za ISMS, za većinu polaznika nemoguće je ispuniti taj zahtjev u nekom realnom vremenu.

No gledajmo malo s druge strane problem. Šta bi trebao znati i raditi menadžer ISMS u organizaciji, a šta je posao Lead Auditora (u ostalom kao i svakog auditora):

1. Lead Auditor ISMS ima funkciju provjeravanja da li neki sustav radi us skladu s pravilima. Završni akt svakog auditora je izvještaj o tome da li je sustav sukladan s pravilima rada.
2. Menadžer ISMS im a ulogu da projektira implementaciju ISMS, upravlja s tim projektom, koordinira sa svim zainteresiranim stranama, i nakon certifikacije taj projekt implementacije prevede u proces upravljanja ISMS, upravlja s procesom, i brine o njegovom poboljšanju. Rezultat rada menadžera je dokazano poboljšani ISMS u organizaciji.

Vidljivo je da su funkcije bitno različite. Pa i školovanje je zbog toga nužno da bude drugačije. Zato se Lead Auditori za ISMS i školuju da bi bili u stanju raditi funkcije pod a. Za menadžere je problem školovanja sasvim drugačiji. U ostalom, ciljno radno mjesto za Lead Auditore je u okviru neke certifikacijske kuće, a ne u organizaciji, osim na poslovima internog auditora. Meni je iz iskustva poznato da u mnogim organizacijama (istina ne kod nas) pojedinci koji rade kao Menadžeri za ISMS nigdje javno ne ističu da su završili obrazovanje za Lead Auditore ISMS.

U jednom drugom članku će se posebno obraditi tematika školovanja ISMS menadžera. Ali, može se vidjeti zašto u pravilu vrhovna uprava nije zadovoljna s formalnim menadžerima ISMS ako su oni u stvari auditori. Pa njihovo obrazovanje nije ni usmjereno na obavljanje poslova menadžera, već izvođenje audita.

Koje norme vrijede za praktičnu primjenu?

Da bi se neka norma prihvatila i koristila u nekom području trebalo bi prethodno da ju prihvati nacionalna organizacija osnovana na državnom nivou. U RH to je HRVATSKI ZAVOD ZA NORME (HZN). HZN je neovisna i neprofitna javna ustanova osnovana kao nacionalno normirno tijelo Republike Hrvatske radi ostvarivanja niza ciljeva normizacije.

Hrvatski zavod za norme je član:

• Međunarodne organizacije za normizaciju (ISO),
• Međunarodnog elektrotehničkog povjerenstva (IEC) i
• Europskog instituta za telekomunikacijske norme (ETSI) (status: NSO member)

te pridruženi član:

• Europskog odbora za normizaciju (CEN) i
• Europskog odbora za elektrotehničku normizaciju (CENELEC).

Hrvatski zavod za norme obavlja poslove informativne središnjice za Sporazum o tehničkim zaprekama u trgoviniSvjetske trgovinske organizacije i poslove kontaktne točke za Codex Alimentarius.

Postupak proglašavanja neke međunarodne norme kao nacionalne u HZN je propisan procedurom koja je manje više jednaka kao i drugim državama. Međutim u praksi se vrlo često primjećuje da vrlo važne međunarodne norme koje se koriste, ili žele primjeniti u RH ne izlaze ažurno, odnosno vrijeme publiciranja je vrlo dugo od trenutka kada se objavi službena međunarodna verzija, npr. od strne ISO. Iz iskustva kojeg sam dosada imao u vezi s problemom službeno prevedenih normi u Hrvatskoj najveći problem se pojavljuje u fazi lektoriranja i teminološke definicije pojedinih pojmova koje, ili je nemoguće prevesti ili su prevodi jezičkih stručnjaka toliko nakaradni i neprihvatljivi u stručnim krugovima da se objektivno blokira takva publikacija.

Što to znači za praksu? Pa, u svakom slučaju kada se želi primjeniti neka norma u Hrvatskoj, ona treba biti službeno prevede na hrvatski jezik. Kako službenog prevoda nema, to automatski znači i velike probleme za veliki broj potencijalnih korisnika. Naime, kada se čita neka norma brzo se zaključi da je tekst pisan vrlo složenim jezikom s mogo jezičkih finesa, tako da prosječni ili slabiji poznavalac stranog jezika vrlo teško može sam kvalitetno prevesti normu. U takvoj situaciji i primjena norme je upitna, odnosno teško se mogu zadovoljiti svi eksplicitni, ali i implicitni zahtjevi koje traži norma.

Kako se to rješava? Pa kada se objavi neka izuzetno važna norma (kao npr. ISO/IEC 27001, itd) a HZN ne reagira dovoljno brzo, neka organizacija (u ovom primjeru ZIK Zagreb) samoinicijativno prevede normu, ali ona nije službena hrvatska norma i nema prefiks HRN. U drugim slučajevima se nabavljaju norme iz okolnih zemalja (BiH, ali najčešće iz RS) gdje se brže prevode jer izgleda da lakše savladavaju jezičke i terminološke probleme.

Smatram da bi se trebalo malo više poraditi na bržoj pripremi međunarodnih normi za domaće korisnike. Domaća verzija norme je ipak opravdan zahtjev svih potencijalnih korisnika koji ju žele imlementirati u svojoj radnoj sredini.

Tko ima pravo certficirati organizacije i osoblje

Pravo certifikacije organizacia za neki menadžment sustav ima svaka organizacija koja je akreditirana od strane nekeg akredaticionog tijela, agencije, itd. Tako npr. pravo dodjele certifikata za uspostavljeni QMS (ISO 9001), ili ISMS (ISO 27001), itd. imaju formalno pravo raditi sve organizacije koje su od starne akredacionog tijela dobile to pravo. U RH za sva pitanja je nadležna Hrvatska akreditacijska agencija (HAA) koja je osnovana Uredbom Vlade Republike Hrvatske (NN 158/2004 i 44/2005), na temelju Zakona o akreditaciji (NN 158/2003).

Pojednostavljeno, svaka domaća ili strana organizacija koja se želi baviti certificiranjem, kako drugih organizacija za neki sustav upravljanja, ili osoba za stjecanje međunarodnih certifikata u RH mora biti akreditirana i od nacionalne HAA. Organizacije koje nemaju nacionalnu akreditaciju od strane HAA nebi smjele vršiti certifikacije na području RH.

HAA je osnovana radi provedbe hrvatskog tehničkog zakonodavstva koje je usklađeno s pravnom stečevinom Europske unije ( acquis communautaire ). Tehničkim se propisima uređuje sigurnost proizvoda i sloboda kretanja na unutarnjem tržištu, zaštita zdravlja građana, zaštita potrošača, zaštita okoliša i druga područja od javnog interesa.

Ocjenu sukladnosti proizvoda, procesa i usluga s tehničkim propisima i normama provode stručno i tehnički osposobljeni laboratoriji, certifikacijska i inspekcijska tijela.

Međunarodno priznati način dokazivanja osposobljenosti za ocjenjivanje sukladnosti je akreditacija.

Akreditirana tijela daju povjerenje u usluge ispitivanja, certifikacije i inspekcije bez obzira radi li se o usluzi državnoj upravi( zakonom uređeno područje) ili naručitelju po ugovoru (dragovoljno područje).

HAA je neovisna, neprofitna i nekomercijalna nacionalna akreditacijska ustanova i zadovoljava sve zahtjeve međunarodne i europske norme za akreditacijska tijela koja je u Republici Hrvatskoj prihvaćena kao hrvatska norma HRN EN ISO/IEC 17011:2005.

Djelatnost HAA:

• Akreditiranje ispitnih i umjernih laboratorija (HRN EN ISO/IEC 17025)
  
• Akreditiranje certifikacijskih organizacija za proizvode (HRN EN 45011)
  
• Akreditiranje certifikacijskih organizacija za sustave upravljanja kvalitetom (HRN EN 45012 )
  
• Akreditiranje certifikacijskih organizacija za sustave upravljanja okolišem (ISO Uputa 66)
  
• Akreditiranje certifikacijskih organizacija za osobe (HRN EN ISO/IEC 17024)
  
• Akreditiranje inspekcijskih/nadzornih organizacija (HRN EN ISO/IEC 17020)
  
• Ocjenjivanje i potvrđivanje osposobljenosti tijela za ocjenu sukladnosti u skladu s tehničkim propisima
  
• Nadzor nad akreditiranim organizacijama
  
• Uspostava i vođenje registra akreditiranih organizacija i tijela za ocjenu sukladnosti
  
• Tehnička potpora tijelima državne uprave za provedbu politike akreditacije u području ocjene sukladnosti
  
• Zaključivanje sporazuma o priznavanju jednakosti postupaka akreditacije (MLA)
  
• Promicanje akreditacije i izobrazba u području akreditacije
  

HAA predstavlja Republiku Hrvatsku u europskim i međunarodnim organizacijama za akreditaciju i sudjeluje u njihovom radu.

HAA je punopravni član EA (Europska suradnja na akreditaciji)

HAA je pridruženi član ILAC ( Međunarodna organizacija za akreditaciju laboratorija )

Pravila akreditiranja su u skladu s europskim normama iz serije 45000 i međunarodnim normama iz serije 17000 koje su prihvaćene kao hrvatske norme, kao i pravilima i vodičima EA, ILAC i IAF.

Kakva je razlika između internog audita i audita certifikacijske kuće?

Samo pitanje koje se nalazi u naslovu možda izaziva čuđenje. Kako se može usporediti interni audit kojeg u pravilu provode educirani zaposlenici i vanjski audit kojeg provode profesionalni auditori neke akreditirane certfikacijske kuće? Odgovor je, a kako se to može razlikovati osim u nekim detaljima koji nemaju veze s tijekom audita.

 

Malo da to razjasnimo nekoliko činjenica: 

1.  Svaki audit bilo kojeg sustava upravljanja (QMS, EMS, ISMS, itd) je postupak u kojemu se mora utvrditi razlika između  zahtjeva koji su definirani samom normom prema kojoj se vrši auditiranje i načina kako je s jedne strane sustav postavljen, a s druge strane kako on u opće funkcionira. Postupak i pravila rada provođenja audita u okviru ingerencije ISO definiraju se normom ISO 19011. U njoj se nigdje izrjekom ne pravi razlika u stupnju kvalitete i opsega provođenja internog i vanjskog audita.  
   
2. Interni audit se provodi u cilju utvrđivanja stanja sustava upravljanja prvenstveno za potrebe vrhovne uprave, a vanjski audit u cilju certificiranja ili recertificiranja sustava. 
   
3. Nesukladnosti utvrđenje na internom auditu povlače interne kozekvence koje se ogledaju kroz provođenje korektivnih i preventivnih radnji, ali moguće i disciplinskih mjera ako je nužno. 
   
4. Nesukladnosti utvrđene u tijeku vanjskog audita podrazumjevaju istu situaciju provođenja mjera kao i kod internog (vidi točku 3), ali i odgađanje dodjele ili oduzimanje certifikata.  
   

Iz gornjeg se vidi da vanjski audit može imati ozbiljnije posljedice nego interni. Zato se u normalnim situacijama vrhovna uprava, koja razumije značaj sustava upravljanja zahtjeva da su interni auditi strožiji od vanjskih, da do u detalje provjeravaju sukladnost sustava upravljanja s normom (normama) i postojećom dokumentacijom u organizaciji. 

Da li je to moguće provesti u praksi. Pa sama činjenica da se tako deklarira normom govori to nije samo moguće, već se tako treba raditi. Anomalije u praksi, gdje se interni auditi ponegdje provode formalno mogu poslužiti samo kao ilustracija i tema za analizu zašto je to tako, a ne kao objašnjenje nemogućnosti. 

Glavni problem leži u svakom slučaju u vrhovnoj upravi. Njena niska svijest o značenju sustava upravljanja, neprepoznavanje pravih razloga uvođenja sustava upravljanja i potrebe njegovog poboljšanja dovodi do toga da se nedovoljno polaže na edukaciju kadra koje treba da provodi interne audite. Zato se dešava da interni auditori, jer ni sami nisu dovoljno educirani ne mogu pravilno i korisno provesti audit. Ako se ima prilike, provjerite u nekoj organizaciji koja ima interne auditore koliko pta godišnje idu na treninge, koliko puta godišnje idu na dodatne edukacije. Rezultat je u pravilu porazan, a u konačnici njima se povjera odgovornost da daju ocjenu o stanju sustava upravljanja.

Vanjski auditori su profesionalci, koji prema akreditacionim pravilima imaju dovoljno iskustva za obavljanje audita. Zbog toga njihovo znanje i iskustvo nebi trebalo biti problematično.

Na kraju jedno malo pitanje: kako je moguće da nakon provedenog internog audita vanjski auditor nađe mnogo puta veliki broj nesukladnosti. Pa zato što je interni audit nekvalitetno proveden.

Kakva se stručnost očekuje od menadžera sustava upravljanja

Funkcija menadžera kvalitete, menadžera informacijske sigurnosti, menadžera upravljanja sigurnošću i zdravljem ljudi, itd. je u biti uvijek ista. Menadžer ima osnovne funkcije da organizira i vodi implementaciju sustava upravljanja, koordinira sa svim učesnicima tijekom implementacije. Nakon što je sustav uspješno implementiran (dobijen certifikat), menadžer sustava upravljanja ima funkciju nadziranja rada sustava, evidencije odstupanja od propisanih procesa, procedura i/ili uputstava, planira i organizira provođenje internih audita, te izvještava vrhovnu upravu o stanju sustava.

 

Tu se može postaviti pitanje, kakav profil bi trebao imati neki menadžer. U svim shemama i kriterijima koji se definiraju (ISO, BSI, itd) za menadžere navodi se da treba imati visoko obrazovanje, određeni broj godina staža, te posebni naglasak na osobnostima menadžera. Ova zadnja stavka u zahtjevima je posebno važna. Naime, menadžeri izuzetno mnogo rade i komuniciraju s mnogim, ako ne sa svim, zaposlenicima, ocjenjuje rezultate rada drugih. Vrlo osjetljiva problematika koja se ogleda kroz osobnosti komunikativnosti menadžera, te njegovog poštenja, ugleda, morala, itd. U svim shemama za edukaciju menadžera ova problematika zauzima vrlo važno mjesto, gdje se između ostalog uče neke važne teme iz psihologije, a trenira komunikacija s raznim profilima tipova ljudi.

Kod odabira kadrova koji bi trebali u nekoj organizaciji biti menadžeri za sustave upravljanja dešavaju se često puta izuzetno velike greške. Dešava se da se za menadžera odabire osoba koja je jako dobar stručnjak u nekom području, a zanemaruje se jedna izuzetno važna činjenica: dobar menadžer je samo onaj koji ima menadžerske sposobnosti, a ne vrhunsko znanje u nekom stručnom području. Primjer za to najbolje može poslužiti činjenica da se za menadžera informacijske sigurnosti pogrešno podrazumjeva da su to informatiočari, ili neki IT specijalisti. Poznata je izreka gurua za informacijsku sigurnost Alana Caldera: Menadžer informacijske sigurnosti može biti čak i informatičar. Ja ne želim sada na ovom mjestu polemizirati o toj izjavi, ali se u potpunosti slažem s njom.

Na kraju svakog razmišljanja o problemima koji su vezani za ovu problematiku ja se uvjek vraćam na činjenicu: sve je to rezultat nedovoljne edukacije, koja je vjerojatno posljedica nedovoljne svijesti vrhovne uprave za važnost te problematike. Zbog toga se suviše malo planira edukacija kadra, a u konačnoj realizaciji se planovi čak i ne izvršavaju u potpunosti.

Kako se to reflektira na edukaciju. Zbog teškoća vezanih za skupljanje kadra za edukaciju za menadžere sustava upravljanja niz firmi koje se bave edukacijom stvaraju neke instant programe u kojima "proizvode" menadžere sustava upravljanja za 3-4 dana. U tom periodu polaznik nije u stanju detaljno upoznati normu nekog sustava upravljanja, a kamoli da se obuči za uporabu specijalnih menadžerskih alata koji su obavezni u radu, da shvati i nauči logiku i upravljanje sa svoji 6 procesa (ili procedura), da  nauči metodiku izrade i implementacije dokumentacije za sustav, da nauči voditi timove koji trebaju implementirati dijelove sustava, da nauči osnove psihologije, itd, it, itd.

Kao rezultat toga se dobiva menadžer sustava upravljanja koji ima neki papir, nedovoljno znanje, a u njegovoj organizaciji očekuju od njega da radi. Naravno da nikome nije u stanju objasniti šta on to treba i kako uraditi, a da se ne govori o tome što nije ustanju objektivno vrhovnoj upravi dokazati njegov značaj. U mnogim slučajevima se takvi menadžeri, ni malo svojom krivicom, nađu na margini i ne doživljava ih se kao nešto važno u organizaciji.

Sigurnost informacija - imperativ opstanka

Kroz cjelokupnu ljudsku povijest u svakom periodu bila je na posebnoj cijeni neka roba, kameni šiljak od strijele, krzno životinje, hrana, robovi, oružje, itd. Paraleno s tim vrlo konkretnim proizvodima i stvarima čija je vrijednost bila neupitna uvjek je na cijeni bila i “apstraktna” roba kao što je informacija. Tako su uvijek bile cjenjene informacije o fortifikacijskoj snazi tvrđava, načinu uporabe vojski, ali i neki drugi na prvi pogled “manje” važni podaci: recepture specijalnog piva, sira, itd. Sve do polovice XX stoljeća ipak je dominirala vrijednost materijalnih stvari, dok je vrijednost informacija nekako bila u drugom planu, barem za opću javnosti.

Tek od polovice prošlog stoljeća sve više dominira činjenica da informacija kao roba ima veliku, ako ne i najveću vrijednost. Danas se mirno može reći, da onaj tko ima i upravlja s informacijama je “car” u prostoru i vremenu. Pod upravljanjem informacije se u kontekstu smatra: prikupljanje, obrada i distribucija informacija (ali i dezinformacija). Zbog toga se informacija i tretira u ovom dobu kao i svaka druga roba koja je karakterizirana sa svojom upotrebnom i tržišnom vrijednošću. 

Eksplozivni razvoj informacijskih sustava tijekom zadnjih nekoliko desetljeća doveo je posredno i/ili neposredno i do snažnog razvoja ostalih područja ljudske djelatnosti , kao što su tehnika, medicina, izdavaštvo, baze podataka, a naročito komunikacije. Primjena informacijskih sustava u ostalim ljudskim djelatnostima toliko je snažna da je praktički danas nezamislivo njihovo postajanje bez rada informacijskog sustava. Niz prednosti primjene informacijskih sustava u životu ljudi ogleda se u neslućenim mogućnostima obrade i proračuna podataka, pretraživanja, arhiviranja te komuniciranja. To je naravno imalo za posljedicu bitno povećavanje složenosti informacijskih sustava, koncepcijskih i tehničkih rješenja te ogromnog uvećanja broja ljudi koji rade neposredno s informacijskom tehnologijom. Svaki takav složeni sistem podložan je značajno propustima, i greškama u implementaciji, radu kao posljedica nedovoljne obučenosti korisnika, nekvalitetne izrade informacijskih sustava, ili neodgovornog rada tijekom uporabe od strane korisnika. No, pored tih problema u radu, evidentni su i problemi zlonamjernih napada od vanjskih faktora, koji imaju za cilj unijeti zbrku u rad informacijskog sustava, neovlašteno prikupljanje  podataka, te u krajnjoj mjeri i funkcionalno uništenje informacijskog sustava. Zbog toga se već od početaka razvoja informacijskog sustava, od 50-tih godina XX stoljeća, pokušavalo na razne načine osigurati konzistentnost rada informacijskog sustava. No, tek tijekom veljače 1995. god. je u Velikoj Britaniji publiciran nacionalni standard poznata pod nazivom BS7799,  koji je u biti predstavljala skup najbolje prakse zaštite rada informacijskog sustava. Značajno poboljšanje i revizija istog norme napravljena je i objavljena tijekom svibnja 1999. god.

Zbog svoje univerzalne primjenljivosti i sveobuhvatnosti isti je standard opće prihvaćena u svijetu, a ISO organizacija ju je također prihvatila kao svoj standard, pod oznakon ISO27002. Prva verzija norme ISO27002 objavljena u prosincu 2000. god. Slijedeći značajan događaj u daljnjem razvoju norme za upravljanje sa sigurnošću informacija je bio koncem 2005. god. Kada je organizacija ISO donijela najnoviju reviziju norme 27002:2005, te usvojila novi norma 27001:2005, koji je u stvari potekao os norme BS7799-2.

Kakav je značaj primjene norme ISO27002?

Naravno da se niz korisnika informacijskog sustava pita šta će im to kada oni već imaju programe i procedure za zaštitu od virusa, neke oblike firewalla, router, itd. U pravilu takva pitanja postavljaju informatičari koji u startu imaju “sistemsku grešku” u poimanju informacijskog sustava jer ga poistoivjećuju sa kompjuterskim sistemom. Izuzetno je važno shvatiti i prihvatiti slijedeće činjenice:

Informacijski sustav ≠ Kompjuterski sustav

Kompjuterski sustav je podsustav (podskup) informacijskog sustava.

Da ne bude zabune, nekoliko napomena: informacijski sustav pored kopmpjuterskog sustava čine i papiri s podacima u registratorima na policama arhive, telefaks uređaji i kopije faksova, telefonske mreže, video i ostali oblici nadzora, zaposlenici i poslovni partneri (odnosno ono što oni znaju o vama i vašim podacima), fizička zaštićenost objekata, itd, itd. Očito da je pojam zaštite informacijskog sustava izuzetno širok i kompleksan i prelazi poimanje informatičara koji to svode u pravilu samo na kompjuterski sistem. No, u biti nije cilj štićenje informacijskog sustava, nego onoga što se kao osnovna vrijednosna jedinica nalazi u informacijskom sustavu: informacija. Treba tako postaviti i organizirati informacijski sustav, te sveukupne aktivnosti oko njega da nedođe do nekontroliranog odljeva ili promjene informacija koje se pohranjuju ili obrađuju u informacijskom sistemu.

Prvi puta u praksi su norme ISO27002, odnosno ISO27001 (ponikao iz BS7799-1 i BS7799-2) dale mogućnost memadžmentu bilo kakve organizacije da ima uvid u organiziranost zaštite i sigurnost informacija. U ostalom, ako se postave slijedeća vrlo jednostavna pitanja direktorima ili članovima uprave bilo koje organizacije: 

• Da li ste sigurni da podatke o Vašim kupcima i dobavljačima niko ne može preneti vašoj konkurenciji?
•  Da li ste sigurni da Vam niko ne „upada“ u podatke koji su na vašim kompjuterima i koristi ih za svoje potrebe bez Vašeg znanja? 
• Da li ste sigurni da su podaci koje ste uneli u kompjutere prije nekog vremena i sada isti - nepromenjeni, odnosno da ih niko nije i neće promijeniti bez Vašeg znanja ili upotrebiti u zlonamerne svrhe?
• Da li ste sigurni da ćete u slučaju požara, krađe kompjutera, fizičkog oštećenja moći nastaviti poslovanje u najkraćem – prihvatljivom roku?
• Da li znate tko je u Vašoj organizaciji odgovoran za sigurnost informacija na strateškom, taktičkom i operativnom nivou?
• Koliko ste sigurni u lojalnost Vaših zaposlenika i da neće u „glavi“ iznijeti značajne informacije koje su bitne za vaše poslovanje? 

Vjerojatno ćete dobiti negativne odgovore ili zbunjujuće poglede na gotovo sva pitanja. U koliko nisu svi odgovori pozitivni, tada toj organizaciji nužno treba implementacija norme ISO27001, odnosno ISO27002, osim u slučaju da smatraju da su to potpuno nevažna pitanja za njihovu organizaciju.