Intenzivno razvijano područje menadžmenta sustava u zadnji 7-8 godina je u svakom slučaju i upravljanje informacijskom sigurnošću (ISMS). Ovaj, jedan od oblika raznih menadžement sustava u nekoj organizaciji, u svakoj sredini na svom početku izaziva niz nedoumica vezanih za pitanja da li to nama treba, kakva je korist od toga, itd., pogotovo što je organizacija i do sada funkcionirala bez toga. Takva je situacija i kod nas. Ništa novo i neobično u poređenju s ostalim dijelom svijeta i drugim državama, za koje po definiciji smatramo da su razvijene i naprednije od nas. Razlika je najčešće u tome što su se takva pitanja kod njih počela postavljati ranije pa su sada ipak u nekoj prednosti. Kod nas je jedino problem što ne želimo učiti na tuđim greškama, već nastojimo iste poteze provjeriti kod sebe da li daju iste pogreške. Naravno, obično se to i kod nas potvrđuje kao greška.
Jedno od važnih pitanja koje se postavlja u svakoj organizaciji, nakon što se donese strateška odluka o tome da se službeno uvede neki menadžment sustav: tko je taj "genije" koji to treba objektivno da provede u organizaciji. Ne ulazeći u diskusije o tome kakva rješenja postoje i mogućnosti implementacije ISMS u organizaciju, za uvođenje ISMS u organizaciju treba primjeniti seriju normi ISO/IEC 27000 (27001, 27002, ...). U nastavku teksta ćemo se bazirati isključivo na toj pretpostavci.
Sada bi trebala biti jasnija stvar u organizaciji po pitanju izbora osobe koja treba biti glavna za uvođenje ISMS u organizaciju. No tu se pojavljuje genijalnost vrhovne uprave. Ne pada im na pamet da se bolje upoznaju s problematikom ISMS i odmah po pravilu zaključuju, radi se o informacionom sustavu, znači o informacijama, pa to je informatika, pa to znači problem treba usmjeriti prema informatičarima, odnosno IT sektoru. Opet se može primjeniti poznata parafrizirana rečenica: "oprosti im Oče, ne znaju šta rade". Da baš tako, ne znaju šta rade. Treba reći, da i informatičari se mogu baviti s upravljanjem informacijskog sustava, ali nikako nisu predodređeni za taj posao. Biti menadžer - glavni za ISMS znači prije svega imati menadžerske sposobnosti (urođene, naučene i istrenirane) a i neka specifična znanja koja su u ovom slučaju sirokog spektra.
Jedno od važnih pitanja koje se postavlja u svakoj organizaciji, nakon što se donese strateška odluka o tome da se službeno uvede neki menadžment sustav: tko je taj "genije" koji to treba objektivno da provede u organizaciji. Ne ulazeći u diskusije o tome kakva rješenja postoje i mogućnosti implementacije ISMS u organizaciju, za uvođenje ISMS u organizaciju treba primjeniti seriju normi ISO/IEC 27000 (27001, 27002, ...). U nastavku teksta ćemo se bazirati isključivo na toj pretpostavci.
Sada bi trebala biti jasnija stvar u organizaciji po pitanju izbora osobe koja treba biti glavna za uvođenje ISMS u organizaciju. No tu se pojavljuje genijalnost vrhovne uprave. Ne pada im na pamet da se bolje upoznaju s problematikom ISMS i odmah po pravilu zaključuju, radi se o informacionom sustavu, znači o informacijama, pa to je informatika, pa to znači problem treba usmjeriti prema informatičarima, odnosno IT sektoru. Opet se može primjeniti poznata parafrizirana rečenica: "oprosti im Oče, ne znaju šta rade". Da baš tako, ne znaju šta rade. Treba reći, da i informatičari se mogu baviti s upravljanjem informacijskog sustava, ali nikako nisu predodređeni za taj posao. Biti menadžer - glavni za ISMS znači prije svega imati menadžerske sposobnosti (urođene, naučene i istrenirane) a i neka specifična znanja koja su u ovom slučaju sirokog spektra.
Sada stupaju na scenu edukacijske i konzalting kuće koje odjednom dobivaju mogućnost novog posla. Važno je da svaki posao bude dugoročan, ne jednokratan, pa treba pripomoći stavu da se svi važni poslovi i znanje oko menadžmenta ISMS ipak drže izvan organizacije i da se to naplaćuje. Zbog toga se i stvaraju "instant stručnjaci" koji kroz par dana seminara budu proizvedeni u neka zanimanja i dobiju neke certfikate koji objektivno ne daju nikakvo jamstvo da će i znati raditi posao menadžera za ISMS u organizaciji. Ali organizaciji dobro pristaje, jer ima "Pedra" koji je odgovoran za sve u koliko nešto nije kako treba. Pa on ima certifikat. Da li je on kompetentan za taj posao, pa tko to pita?
Serija normi ISO 27k (skraćena oznaka za 27000) kada se malo prelista i pročita odmah ukazuje na postoji nekoliko profila koji bi trebali biti uključeni u implementaciju, održavanje u životu i poboljšanje ISMS u organizaciji. To su u svakom slučaju 3 bitno različita profila:
Serija normi ISO 27k (skraćena oznaka za 27000) kada se malo prelista i pročita odmah ukazuje na postoji nekoliko profila koji bi trebali biti uključeni u implementaciju, održavanje u životu i poboljšanje ISMS u organizaciji. To su u svakom slučaju 3 bitno različita profila:
- menadžer informacijske sigurnosti
- specijalisti za pojedina područja (eksperti za upravljanje ljudskim potencijalima, experti za legislativu, experti za fizičku zaštitu, experti za IT, itd)
- interni auditori - revizori.
Svaki od ovih profila ima svoju određenu funkciju, bitno različite poslove i potrebna znanja. Ni teoretski, jedna osoba nemože raditi sve poslove. S jedne strane mora sve znati, što je izuzetno lako pokazati da je nemoguće, a s druge strane interni auditor nemože raditi poslove pod 1 i 2, odnosno nikada nemože nitko sam sebe auditirati. Barem kako kažu norme, ali i nacionalni zakoni.
Katastrofalne greške nastaju onog trenutka kada se pomisli da profilirani stručnjak iz 2 može raditi po definiciji kao 1, ili 3 kao 1. Ali, kako se nađu uzbuđeni duhovi kada netko završi za 3 a hoće da radi kao 2. Ostali stručnjaci iz 2 se odmah usprotive, osim u slučaju ako on nije stavrno ekspert za neka specijalistička pitanja. Npr. ako je neki pravnik završio za internog auditora, zašto po toj logici ne bi mogao bez specijalne škole biti npr, stručnjak za sigurnost mreža i pisati procedure i uputstva kako to provoditi u konkretnom slučaju. Naravno da to nemože, sigurno je da bez specijalnog obrazovanja i treninga netko iz 2 ili 3 nemože raditi i kao 1. To se upravo događa. Nije ni čudo što stvarno postoji brdo problema u organizaciji kod implemantacije ISMS, a i kasnijeg provođenja.
Kako se sve više traži ljudi koji bi radili na implementaciji ISMS u organizaciji treba i formalno imati neki papir za taj posao. Analizom trenutne ponude na tržištu, ispada da je najpogodnije završiti seminar za Lead Auditora za ISMS i imati neki certifikat, koji je prepoznatljiv i u svijetu, jer iza njega stoji poznata međunarodna organizacija. Što se toga tiče nema problema po pitanju kredibiliteta tog školovanja i certificiranja osoba. Međutim, u reklamama za takvo školovanje se prešućuje jedan detalj. Nakon završene obuke i položenog ispita, koji su po toj varijanti nužni ( ali ne i dovoljan) uvjet za naziv Lead Auditor, postoji još jedna "sitnica". Praksa, praksa, praksa, čitaj broj: dana auditiranja kod certificiranja ISMS. Tko nema tih dana auditiranja, objektivno poštujući ta pravila nema ni status Lead Auditora za ISMS. Kako se premalo firmi kod nas certificira za ISMS, za većinu polaznika nemoguće je ispuniti taj zahtjev u nekom realnom vremenu.
No gledajmo malo s druge strane problem. Šta bi trebao znati i raditi menadžer ISMS u organizaciji, a šta je posao Lead Auditora (u ostalom kao i svakog auditora):
Katastrofalne greške nastaju onog trenutka kada se pomisli da profilirani stručnjak iz 2 može raditi po definiciji kao 1, ili 3 kao 1. Ali, kako se nađu uzbuđeni duhovi kada netko završi za 3 a hoće da radi kao 2. Ostali stručnjaci iz 2 se odmah usprotive, osim u slučaju ako on nije stavrno ekspert za neka specijalistička pitanja. Npr. ako je neki pravnik završio za internog auditora, zašto po toj logici ne bi mogao bez specijalne škole biti npr, stručnjak za sigurnost mreža i pisati procedure i uputstva kako to provoditi u konkretnom slučaju. Naravno da to nemože, sigurno je da bez specijalnog obrazovanja i treninga netko iz 2 ili 3 nemože raditi i kao 1. To se upravo događa. Nije ni čudo što stvarno postoji brdo problema u organizaciji kod implemantacije ISMS, a i kasnijeg provođenja.
Kako se sve više traži ljudi koji bi radili na implementaciji ISMS u organizaciji treba i formalno imati neki papir za taj posao. Analizom trenutne ponude na tržištu, ispada da je najpogodnije završiti seminar za Lead Auditora za ISMS i imati neki certifikat, koji je prepoznatljiv i u svijetu, jer iza njega stoji poznata međunarodna organizacija. Što se toga tiče nema problema po pitanju kredibiliteta tog školovanja i certificiranja osoba. Međutim, u reklamama za takvo školovanje se prešućuje jedan detalj. Nakon završene obuke i položenog ispita, koji su po toj varijanti nužni ( ali ne i dovoljan) uvjet za naziv Lead Auditor, postoji još jedna "sitnica". Praksa, praksa, praksa, čitaj broj: dana auditiranja kod certificiranja ISMS. Tko nema tih dana auditiranja, objektivno poštujući ta pravila nema ni status Lead Auditora za ISMS. Kako se premalo firmi kod nas certificira za ISMS, za većinu polaznika nemoguće je ispuniti taj zahtjev u nekom realnom vremenu.
No gledajmo malo s druge strane problem. Šta bi trebao znati i raditi menadžer ISMS u organizaciji, a šta je posao Lead Auditora (u ostalom kao i svakog auditora):
- Lead Auditor ISMS ima funkciju provjeravanja da li neki sustav radi us skladu s pravilima. Završni akt svakog auditora je izvještaj o tome da li je sustav sukladan s pravilima rada.
- Menadžer ISMS im a ulogu da projektira implementaciju ISMS, upravlja s tim projektom, koordinira sa svim zainteresiranim stranama, i nakon certifikacije taj projekt implementacije prevede u proces upravljanja ISMS, upravlja s procesom, i brine o njegovom poboljšanju. Rezultat rada menadžera je dokazano poboljšani ISMS u organizaciji.
Vidljivo je da su funkcije bitno različite. Pa i školovanje je zbog toga nužno da bude drugačije. Zato se Lead Auditori za ISMS i školuju da bi bili u stanju raditi funkcije pod a. Za menadžere je problem školovanja sasvim drugačiji. U ostalom, ciljno radno mjesto za Lead Auditore je u okviru neke certifikacijske kuće, a ne u organizaciji, osim na poslovima internog auditora. Meni je iz iskustva poznato da u mnogim organizacijama (istina ne kod nas) pojedinci koji rade kao Menadžeri za ISMS nigdje javno ne ističu da su završili obrazovanje za Lead Auditore ISMS.
U jednom drugom članku će se posebno obraditi tematika školovanja ISMS menadžera. Ali, može se vidjeti zašto u pravilu vrhovna uprava nije zadovoljna s formalnim menadžerima ISMS ako su oni u stvari auditori. Pa njihovo obrazovanje nije ni usmjereno na obavljanje poslova menadžera, već izvođenje audita.
U jednom drugom članku će se posebno obraditi tematika školovanja ISMS menadžera. Ali, može se vidjeti zašto u pravilu vrhovna uprava nije zadovoljna s formalnim menadžerima ISMS ako su oni u stvari auditori. Pa njihovo obrazovanje nije ni usmjereno na obavljanje poslova menadžera, već izvođenje audita.
Nema komentara:
Objavi komentar