Az információ biztonsági projektek sikeressége elsősorban nem azon múlik, hogy milyen munkamódszert választunk. A kérdés sokkal inkább, hogy mennyire tudjuk meggyőzni a vezetőinket az információbiztonság kiépítésének jelentőségéről. Amennyiben egy-két bizonytalan rábólintással látunk neki a munkának, szinte biztosak lehetünk benne, hogy az akadályok legyőzhetetlennek bizonyulnak majd. Ha azonban várunk addig, míg a projekt támogatói valóban megértik célkitűzéseinket és azonosultak azokkal, úgy valós támogatásra számíthatunk. Az alábbiakban négy fő érvet mutatunk be az információbiztonság kiépítése mellett.
Vannak vezetők, akik nehezen meggyőzhetők bármilyen távlati célkitűzéssel, minőségcéllal. Vagy azért, mert a közvetlenül és azonnal ható fejlesztéseket preferálják vagy, mert maga a cég szolgáltatásának minősége eleve másodlagos számukra. A leginkább ellenálló vezetőt is meg fogja azonban győzni a tény, hogy az információ védelmére szolgáló intézkedések alól egyszerűen nem lehet kibújni. Amennyiben cég vezetése nehezen látja be projekt jelentőségét, egyszerűen nézzünk utána az információ védelmére szolgáló – a cégünk tevékenységi körére vonatkozó - jogszabályoknak, és tárjuk a főnökség elé milyen rendelkezéseknek kell megfelelni.
Marketing faktorAz az ügyfél, akinek a szemében információinak védelme kifejezetten fontos, olyan szolgáltatók közül fog választani, melyek rendelkeznek ISO 27001 szabvánnyal. A szabványoknak való megfelelési vágyat jobb, ha valós minőségszemlélet, nem pedig üres marketingcél táplálja. A projekt véghezviteléhez elengedhetetlen, hogy az ISO minősítést ne csak egy megvásárolható matricának lássuk, amely a bevételeinket hivatott növelni. Ugyanakkor a támogatás elnyerésekor az egyébként üresnek titulált marketing célok tökéletesen meggyőzőek lehetnek egyes vezetők számára. Amennyiben a támogatás elnyeréséhez azt kell hangoztatnunk, hogy az ISO minősítés jó reklám a cégnek, tegyük ezt. Nem hazudunk vele, hiszen a minősítés valóban egyfajta marketing funkcióval is bír. A megvalósítás folyamán azonban ne feledkezzünk majd el róla, hogy ez a marketing funkció, csupán kis része annak, amit az információbiztonság kialakításával megcélozunk.
Azok a vezetők, akik elsősorban a költségcsökkentést látják fókuszfeladatnak, könnyen meggyőzhetőek lesznek, amint bebizonyítjuk nekik, hogy az információbiztonság kiépítésével mennyivel hatékonyabban léphetünk fel kockázatkezelés tekintetében. Mérjük fel, hogy cégünknél milyen valós információbiztonságot támadó kockázatok vannak, s ezek milyen kárt jelenthetnek a cég számára. A cég tevékenységi körétől, a kezelt információk bizalmasságának szintjétől függően természetesen más és más típusú veszélyek lehetnek jelentősek cégünk esetében. Mérjük fel, milyen költségekkel számolhatnánk egy esetleges kár esetén és hasonlítsuk ezt az összeget a biztonsági rendszer kialakításának költségeihez. Óvakodjunk a túlzó, aránytalan összehasonlításoktól. A támogatás elnyerése könnyen meghiúsulhat, ha a vezetőség bizalmát túlzó, a valós kockázatoknak nem megfelelő felmérésekkel játsszuk el.
Üzleti folyamatok optimalizálásaA költségcsökkentést és a minőségfejlesztést egyaránt szolgálja az információbiztonság kiépítése, az üzleti folyamatok optimalizálása által. Az információbiztonság kiépítése olyan komplex feladat, mely szinte minden területre és minden osztály dolgozóinak munkafolyamataira hatással kell, hogy legyen. Nem kell mindennek megváltoznia, de egészen biztosan minden munkafolyamat ismét górcső alá kerül. Ez azt jelenti, hogy a folyamatokban lévő hibák, fennakadási pontok a projekt kapcsán orvosolhatóvá válnak, a jól működő, ám dokumentálatlan folyamatok pedig a bevett gyakorlatnak megfelelően leírásra kerülhetnek, ezáltal mindenki számára követhetővé válhatnak.
Kohl Zsuzsanna Minőségirányítási szakértő www.kontrolpont.hu
