Kiedy typowe umowy o zachowaniu poufności (NDA) są niewystarczające, a każdorazowe audyty partnera biznesowego – uciążliwe i kosztowne; rozwiązaniem staje się standaryzacja metod zarządzania bezpieczeństwem informacji. Wdrożenie i stosowanie systemu zgodnego z jednym z uznanych światowych standardów pozwala na ubieganie się o certyfikat potwierdzający, że organizacja postępuje według zasad minimalizujących ryzyko wystąpienia incydentu bezpieczeństwa informacji.
Certyfikat znacznie upraszcza nawiązanie i utrzymanie relacji biznesowych, a przez wielu klientów jest bezwzględnie wymagany jako warunek współpracy. Zaś dla samej organizacji i jej pracowników oznacza, że wszelkie zidentyfikowane zagrożenia (np. cybernetyczne) zostały właściwie zaadresowane za pomocą środków organizacyjnych i technicznych, zgodnie z ideą minimalizacji ryzyka
TISAX, RODO, audyt zerowy
Od końca 2018 r. firma Slideworx, producent innowacyjnego oprogramowania dla biznesu, jest częścią mTab – firmy dostarczającej platformy do analizy i wizualizacji danych dla największych przedsiębiorstw, w tym także z branży automotive. Jednym z elementów integracji w nowej strukturze był przegląd i aktualizacja stosowanych rozwiązań z dziedziny bezpieczeństwa. Jako że wśród swoich klientów mTab ma największe koncerny motoryzacyjne, istotną częścią Systemu Zarządzania Bezpieczeństwem Informacji jest zgodność organizacji z normą VDA ISA/TISAX – wzajemnie uznawanym standardem audytu bezpieczeństwa informacji w tej branży. W związku z rosnącymi wymaganiami w zakresie ochrony danych osobowych przegląd ten był także dobrą okazją do sprawdzenia zgodności z GDPR/RODO.
W projekcie aktualizacji SZBI wykorzystano autorską metodykę SNP Poland (aktualnie All for One Poland) z powodzeniem stosowaną w implementacji normy ISO 27001 w firmach z różnych branż.
Pierwszym krokiem wdrożenia SZBI jest zwykle audyt zerowy, weryfikujący aktualny poziom zgodności organizacji z określonym standardem (normą). W tym wypadku przeprowadzono go w oparciu o kryteria ankiety Verband der Automobilindustrie, a dodatkowo uwzględniono wymogi prawne wynikające z GDPR/RODO. Audyt pozwolił na zdiagnozowanie wszystkich obszarów niezgodności, a także na określenie możliwych do wykorzystania synergii z istniejącymi dobrymi praktykami i procedurami funkcjonującymi w firmie. Wdrożona już wcześniej częściowa dokumentacja systemowa i operacyjna w obszarze zarządzania bezpieczeństwem informacji stanowiła solidną bazę i została włączona do systemu budowanego w kolejnych etapach projektu.
Praca zdalna z gwarancją ciągłości działania
Przed rozpoczęciem prac nad dokumentacją nasze największe obawy dotyczyły oporu pracowników przed przestrzeganiem zmienionych procedur oraz tego, że wprowadzone zmiany mogą sparaliżować pracę zespołów.
Kluczem do uniknięcia obu zagrożeń okazało się zaproszenie liderów wszystkich zespołów do współpracy przy tworzeniu dokumentacji. W procesie twórczym istotne znaczenie miały wspólne, regularne spotkania, których celem było omówienie rozważanych zmian w dokumentacji. Pomogło nam to w zwiększeniu wśród pracowników świadomości istnienia zagrożeń i wynikającej z tego potrzeby wprowadzenia zmian (nawet tych mniej wygodnych). Zyskaliśmy też pewność, że proponowane zmiany nie będą skonfliktowane z istniejącymi procesami.
Z dzisiejszej perspektywy dużym plusem sumiennego wdrożenia polityk i procedur bezpieczeństwa (tzn. nie tylko „na półkę”) jest to, że dzięki istniejącej dokumentacji dotyczącej pracy zdalnej i bezpiecznych protokołów wymiany plików byliśmy w stanie szybko podjąć decyzję o przestawieniu organizacji w tryb pracy zdalnej, bez ryzyka przerwania ciągłości procesów produkcyjnych.
Przemysław Rejman, Finance Executive/Controller, mTab
Budowanie SZBI
mTab to firma młoda, ale mająca już bogate doświadczenia w pracy dla klientów z różnych branż. Doświadczenia te obejmują także konieczność spełniania oczekiwań partnerów biznesowych w zakresie wysokiego poziomu bezpieczeństwa informacji. Z tego powodu dużym wyzwaniem projektowym było uwzględnienie nie tylko wymogów zawartych w liście kontrolnej VDA ISA, ale też innych zobowiązań organizacji, podjętych wobec pozostałych partnerów.
Budowany system zarządzania bezpieczeństwem informacji zaprojektowano w oparciu o szacowanie ryzyka oraz analizę wpływu biznesowego (BIA), adresując rozpoznane zagrożenia i podatności. Uwzględniono wymagania z niezbędnych arkuszy oceny VDA ISA i wybrane mechanizmy kontroli wynikające z załącznika A normy ISO 27001. Uregulowano zagadnienia bezpieczeństwa fizycznego, osobowego, środowiskowego. W szczególności wytworzono polityki i procedury bezpieczeństwa IT, dostępu logicznego, fizycznego, kopii bezpieczeństwa, pracy zdalnej, klasyfikacji aktywów i zasad postępowania z nimi dla pracowników, zarządzania zmianą w organizacji, w tym w zakresie sprzętu, zakupów oraz nadzoru nad kontrahentami, oraz liczne inne, w tym także w obszarze ochrony danych osobowych.
Certyfikacja TISAX
Platforma bezpiecznej wymiany informacji TISAX jest odpowiedzią na potrzebę zarządzania bezpieczeństwem informacji w branży motoryzacyjnej. O ile na początku wydawało się, że system oparty na spełnieniu wymagań wynikających z VDA ISA dedykowany jest dla producentów samochodów oraz dostawców części, z biegiem czasu okazało się, że firmy świadczące usługi stanowią znaczną cześć beneficjentów wdrażanego systemu bezpieczeństwa informacji. Jedną z takich firm jest Slideworx z Poznania.
W przypadku firmy mTab wymagania związane z GDPR/RODO to nie tylko oczywista konieczność spełnienia wymagań prawnych. W związku z realizowanymi przez firmę usługami wymagania związane z ochroną danych osobowych zostały szczególnie podkreślone przez ich klientów.
Spełnienie zdefiniowanych wymagań przełożyło się na szybki i sprawny audyt zakończony pozytywną oceną, co skutkowało nadaniem firmie stosownych etykiet.
Mariusz Koszeluk, Audytor TISAX, TUV Nord Polska
Przyjęcie takiego podejścia umożliwiło pomyślne przejście audytu TISAX. A ponadto opracowana dokumentacja systemowa jest solidną podstawą do potencjalnie szybkiej certyfikacji w zakresie normy ISO 27001.
Integracja kontekstu zewnętrznego i wewnętrznego organizacji z politykami i procedurami spełniającymi kryteria standardu TISAX oraz oczekiwania klientów zajęła poważną część harmonogramu wdrożenia. Pozwoliło to na stworzenie bardzo uporządkowanej i adekwatnej, a zarazem otwartej na rozbudowę struktury dokumentów. Łącznie powstało ponad 100 dokumentów systemowych. Opracowany w ten sposób warsztat stanowi bazę know-how i wzorzec rozwiązań organizacyjnych, który z powodzeniem może być zaadaptowany w pozostałych filiach organizacji.
mTab (dawniej Slideworx) to producent oprogramowania, oferujący webowe rozwiązania do analizy i wizualizacji danych dla międzynarodowych organizacji na całym świecie. Specjalizuje się w oprogramowaniu do standaryzacji i integracji danych i opinii klientów pozyskiwanych z różnych źródeł oraz dostarcza narzędzia do raportowania i analizy biznesowej, które pozwalają klientom szybko prezentować i wizualizować krytyczne wyniki badań i lepiej rozumieć ich konsekwencje. W swoim centrum rozwojowym w Poznaniu firma zatrudnia ponad 80 osób. Częścią pochodzącej z Kalifornii firmy mTab jest do końca 2018 r.
TISAX® jest zarejestrowanym znakiem towarowym ENX Association. All for One Polska sp. z o.o. nie jest w relacji biznesowej z ENX. Wskazanie znaku towarowego TISAX® nie oznacza żadnego oświadczenia właściciela znaku towarowego, dotyczącego przydatności opisywanych tutaj usług.