Így add el az ISMS-t menedzsmentnek
Tóth Tamás
2021.04.07
Az előző részben is igyekeztem rávilágítani arra, hogy az ISO 27001 alapú alapuló Information Security Management System (ISMS) sokkal összetettebb dolog, mint ahogy azt a szabványok elolvasása után vagy akár egy összefoglaló videó megnézése alapján ezt elsőre gondolnánk. Az ISMS összefüggéseinek megértésénél természetesen sokkal bonyolultabb az irányítási rendszer bevezetése és működtetése, ezért nem ritka, hogy néha a tapasztaltabb információbiztonsági tanácsadók bicskája is beletörik. Egy projekt sikertelensége azonban nem jelenti feltétlen a tanácsadók hibáját, ennél sokkal árnyaltabb a kép.
Az ISMS bevezetés kulcsfontosságú tényezői
Ha egy szervezetnél különböző okokból kifolyólag felmerül az ISMS bevezetésének ötlete, három kulcsfontosságú tényezőre kell kiemelt hangsúlyt fektetni:
- a menedzsment támogatásának megszerzésére,
- a kezdeményezés formális projektként való kezelésére és
- az ISMS elemeinek, elveinek és ezek összefüggéseinek megfelelő ismeretére.
Jelen cikkemben a menedzsment támogatásának fontosságát és megszerzésének lehetőségét fejtem ki, az ISMS bevezetés konkrét projektmenedzsmentjére és összefüggéseire a következő cikkemben fogok kitérni.
A menedzsment támogatásának fontossága
Szinte minden információbiztonsággal foglalkozó szakember előbb utóbb találkozik a terület egyik legnagyobb kihívásával: megszerezni szervezet vezetésének támogatását, információbiztonságért való elkötelezettségét, illetve a fejlesztésekhez szükséges büdzsét. Az ISMS bevezetésénél sincs ez másképp, hiszen a menedzsment támogatása kulcsfontosságú, de ez nem feltétlen az erre vonatkozó kötelező szabványpontok teljesítése miatt van így.
Ahogyan az a tankönyvekben is szerepel, az információbiztonságra vonatkozó igény ideális esetekben „top down” irányú, de ide sorolhatjuk a világszerte ismert vállalatirányítási (King IV Report on Corporate Governance) és belső kontrollra vonatkozó best practice-ket (COSO Internal Control Framework) , amelyek a „setting the tone at the top” kifejezéssel kezdődnek, amit a példamutatás és az elkötelezettség kifejezéseknek lehet megfeleltetni.
A menedzsment támogatásának és elkötelezettségének birtokában lehet jelentősebb szervezeti változásokat elindítani és végrehajtani, az ISMS bevezetése pedig ilyen: érettségi szint növekedés és bizonyos szempontból kultúra váltás. Ahhoz, hogy ez megfelelően végbe tudjon menni és illeszkedjen a szervezet igényeihez, a menedzsment aktív részvételét igénylik az elvárások megfogalmazása, célok és a kapcsolódó kockázatok meghatározása, elfogadása, a szükséges erőforrások biztosítása és nehézségek esetén a problémák eszkalációja szempontjából. Fontos kiemelni, hogy ez a támogatás az irányítási rendszer fenntartásához elengedhetetlen, de a tapasztalatok szerint a sikeres tanúsítást követően meredeken zuhanni szokott, pedig nem lehet hátradőlni.
Támogatás megszerzése – érték
A menedzsment támogatását a jól ismert, mindenhol felbukkanó haszonszempontok egyszerű ismételgetésével – pl. hatékonyság növelése, károk csökkentése, kiszámíthatóság növelése, reputáció védelme – nem lehet megszerezni. Nem azért, mert nem lennének igazak, hanem azért, mert minden második terméket vagy projektet hasonló előnyökkel próbálnak nekik eladni és az ISMS elvész ezek közt. Véleményem szerint egy ISMS projektet két dolog részletes kibontásával lehet „eladni” a menedzsment felé: az ISMS bevezetése, működtetése és a tanúsítása által teremtett értékekkel, vagyis mivel lesz jobb a szervezetnek, miért éri meg. A másik dolog az, hogy hogyan térül meg ez a befektetés, hiszen mindenki profitot akar termelni és az információbiztonságnak is ezt kell támogatnia. Ezeket az üzeneteket az általános felsővezetői információs igényeket figyelembe véve, magasszinten kell kommunikálni, a „saját nyelvükön”.
A nemrég publikált ITIL 4 szolgáltatásmenedzsment best practice fogalmazásában az érték „valaminek vélt előnyei, hasznossága és fontossága„. Az ITIL érték definíciója szubjektív, de ennek a logikája mentén össze lehet gyűjteni az ISMS bevezetés által szállított értékeket. Ezeket természetesen minden esetben az adott szervezetre kell szabni.
Az ISMS előnyei közé sorolhatjuk a tanúsítás által jelentett üzleti előnyöket, mivel bizalmat kelt a potenciális üzleti partnerekben és ügyfelekben. A tanúsítás megléte egy szerződéses vagy más jogi követelmény lehet bizonyos tendereken való indulás esetén, ami a compliance nyomás növekedésével egyre gyakoribb. Példaként a Magyarországon működő autóipari beszállítók számára kifejezetten előnyös lehet az ISMS tanúsítás megléte, hiszen az autógyárak ezt jellemzően más minőségirányítási tanúsítványokkal együtt megkövetelik. Másrészt a Német Gépjárműipari Szövetség. (VDA) információbiztonsági szabványa a TISAX (Trusted Information Security Assessment Exchange) szintén ISO 27001 alapokon nyugszik, így a megfelelés egy meglévő ISMS tanúsítással jóval könnyebben megszerezhető.
Az (igazi) ISMS hasznos, mivel a jól bevált keretrendszer bevezetésével, szabályozás, folyamatok kidolgozásával, felelősségek meghatározásával és korszerű technológiai megoldásokkal ötvözve (pl. IDM, SOC, új generációs tűzfalak, EDR) valóban hatékonyabb információbiztonsági működést lehet elérni, amelyet a KPI-k is alátámasztanak és hitelesen igazolják mindezt a menedzsment számára is. Az ISMS hasznához hozzájárul a kockázatok kezelése is, amelyek rávilágítanak azokra a sérülékenységekre és fenyegetésekre, amelyek veszélyeztetik a szervezet működését és ezáltal a szervezeti célok elérését is. A kockázatok ismeretében azokat hatékonyan lehet priorizálni és kezelni, így csökkentve a nem várt, esetleg nagy hatással járó incidensek bekövetkezését, vagyis kiszámíthatóbb működést lehet elérni. Az előző cikkemhez hasonlóan itt is kihangsúlyozom, hogy a valós előnyök csak egy jól működő, szervezetbe illesztett, tartalommal megtöltött ISMS-nél jelentkeznek, a kizárólag a falon lógó tanúsítványú ISMS kontraproduktív.
Az ISMS, vagyis azon keresztül az információbiztonság fontos. A jól ismert mondás szerint „a jó hírnevet igen nehéz megszerezni, de nagyon könnyű elveszíteni„. Egy súlyos információbiztonsági és kapcsolódó adatvédelmi incidens jelentősen megtépázhatja egy szervezet reputációját, amit mindenki igyekszik elkerülni, de a híreket olvasva egyre gyakrabban láthatjuk, hogy ezt nem a megfelelő úton vagy módon teszik. Nem vagyok híve a szankciókkal való ijesztgetésnek, de ha objektíven nézzük, a reputáció sérülésén túl az incidensek miatt fizetendő kötbérek, bírságok, valamint hatósági eljárások tovább mélyíthetik a problémákat, elég csak a GDPR megsértése miatt kiszabott bírságok mértékére gondolni. Azt is látni kell, hogy a compliance és anyavállalati nyomáson kívül egy korábbi információbiztonsági vagy kapcsolódó adatvédelmi incidens segíthet a támogatás megszerzésében, hogy az ismét ne fordulhasson elő.
Támogatás megszerzése – befektetés
A hitelesség érdekében azt is el kell mondani, hogy a hosszan sorolható előnyöknek ára van, hiszen egy ISMS bevezetés és fenntartás alapvetően nem olcsó projekt, de könnyű ésszerű kereteken belül megmaradni.
Az ISMS bevezetését és fenntartását nagyban befolyásolja a szervezet kiinduló és elvárt érettségi szintje, valamint az alkalmazandó jogszabályok és szerződéses kötelezettségek. Példaként egy létfontosságú rendszerelemként kijelölt szervezet vélhetően azért vezet be ISMS-t, hogy hatékonyan tudja teljesíteni a jogi követelményeket, ami viszont olyan követelményeket támaszthat, amit bizonyos estekben csak drága technológiai megoldásokkal lehet maradéktalanul teljesíteni, ami az ISMS projekt költségtervét fogja drágítani. Az ISMS bevezetését az információbiztonsági tanácsadók igénybevétele is drágíthatja, hiszen a szervezetek információbiztonsági szakemberei jellemzően leterheltek, ezért őket korlátozottan lehet a projektre allokálni. Másrészt gyakran az ISMS bevezetéshez szükséges kompetencia is hiányzik a szervezeknél, mert ahogy a cikk elején említettem, az ISMS összetett.
Szimbolikusan a mérleg egyik serpenyőjében az ISMS ITIL 4 érték definíciójára felfűzött előnyei, hasznossága és fontossága van, a másik serpenyőben pedig a CAPEX, OPEX összegét adó TCO. A mérleget ideális esetben a ROI fogja értékek oldalára fogja billenteni. Mindenki által ismert az a tény, hogy a költségeket nem lehet pontosan megtervezni és a keretet általában gyakran túl kell lépni, de a ezek tervezése mégis kiemelt fontosságú egy ISMS projekt tervezésekor és jóváhagyásakor.
A CAPEX, vagyis a Capital expenditure tőkebefektetést jelent. Az ISMS bevezetés CAPEX költségei elsősorban az új kontrollok bevezetése miatti eszközök, biztonsági megoldások és egyszeri licenszek beszerzésében merülnek ki. Ide sorolhatjuk még a bevezetés során igénybe vett tanácsadói költségeket, valamint a tanúsító audit (magasabb) díját és a szabványok megvásárlását is.
Az OPEX, vagyis az Operational expenditure működési költséget jelent. Működési költségekről már egy bevezetett és tanúsított ISMS esetében beszélhetünk, amit fenn kell tartani. Az OPEX költségek tehát a kontrollok üzemeltetésének, illetve különböző havidíjas biztonsági szolgáltatások és licenszek díját, kiszervezés vagy támogatás esetén a tanácsadói díjat, illetve az éves felülvizsgálati auditok díját foglalják magukban.
A TCO, vagyis a Total Cost of Ownership a tulajdonosi költséget vagy birtoklási összköltséget jelenti, ami gyakorlatilag a CAPEX és OPEX összegéből áll elő, 3-4 évre vetítve. A TCO fogja elárulni a menedzsment számára, hogy az ISMS bevezetés és fenntartás összesen mekkora költséget fog jelenteni.
A ROI, vagyis a Return on Investment a befektetés megtérülési arányát jelenti. A ROI egy ISMS projektnél nehezen megfogható, de a teljesség kedvéért célszerűnek tartom beemelni a „képletbe”. Az ISMS projektnek csak kiadásai vannak, számszerűsíthető bevételt nem igazán lehet meghatározni. Bevételt azon üzleti lehetőségek kiaknázása hozhat, amelynek feltétele, vagy kifejezett előnye az ISMS tanúsítás megléte. Bevételt ugyan nem hoz, de a hatékonyabb működéssel csökkenthetők a költségek, illetve az esetleges bírságok elmaradása és a reputációveszteség elkerülése is pozitív hatással lehet a számokra.
Konklúzió
A menedzsment támogatás megszerzésére nincs általános recept és gyakran nem a cikk tartalmát képző üzenet összeállítása jelenti a nehézséget, hanem annak az alkalomnak a megteremtése, ahol azt át lehet adni címzettjeinek. Nagyvállalati szinten az Audit Committe vagy Risk Committee-k formájában már megvannak ezek a fórumok, de közepes méretű vállalatoknál az információbiztonsági vezető ritkán jut be a megfelelő ajtók mögé, ha van ilyen személy. Ilyen esetekben alkalmazhatók a soft skillek és a szervezeten belüli kapcsolatok.
A következő cikkben a menedzsment támogatás megszerzését követő lépésekről, vagyis az ISMS projekt tervezéséről és annak konkrét lépéseiről fogok írni.
Kapcsolódó bejegyzések
Így vágj bele egy ISMS bevezetési projektbe
Tóth Tamás
2021.06.01
Az ISMS bevezetés összetett projekt, amely vezetői támogatást, pontos scope meghatározást és alapos tervezést igényel a sikeres tanúsításhoz.
ISMS tévhitek, avagy lássunk az ISO 27001 tanúsítványon túl
Tóth Tamás
2020.11.24
Az ISMS bevezetésénél gyakran élnek tévhitek. Tudjon meg többet arról, miért fontos a kockázatkezelés és miért nem elég csupán a tanúsítvány!