Bezpieczeństwo informacji dla producentów części samochodowych staje się priorytetem. To właśnie dostawcy światowych marek samochodowych jako jedni z pierwszych dowiadują się o nowych modelach, które mają mieć premierę za rok czy dwa lata. Ich klienci zabezpieczają się w umowach, wprowadzając bardzo restrykcyjne zapisy. Poza umowami stosowane są tak zwane audyty klienckie w zakresie bezpieczeństwa informacji.
Aby sprostać wymogom światowych marek samochodowych, firmy z nimi współpracujące coraz częściej decydują się na wdrożenie najbardziej popularnego standardu w tym zakresie: ISO/IEC 27001 – Systemu Zarządzania Bezpieczeństwem Informacji. Uzyskanie certyfikatu na zgodność z normą ISO/IEC 27001 jest bardzo dużym ułatwieniem podczas audytów klientów, gdyż to właśnie wymogi tej normy są wykorzystywane podczas takich audytów. Przykładowy fragment listy kontrolnej opracowanej przez organizację VDA (Verband der Automobilindustrie) zawiera punkty zaczerpnięte ze standardu ISO/IEC 27001.
Znając wagę bezpieczeństwa informacji w swojej branży, firma Plastic Omnium Auto Sp z o.o. zdecydowała się wdrożyć System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO 27001, korzystając ze wsparcia BCC (aktualnie All for One Poland). Projekt został przeprowadzony od marca do grudnia 2011 r.
Co daje firmie projekt ISO/IEC 27001 i jego certyfikacja? To przede wszystkim uporządkowanie procesów w firmie oraz budowanie świadomości wśród pracowników. Wdrożenie odpowiednich procedur zabezpiecza również firmę przed wyciekiem informacji, a w przypadku sabotażu lub innego krytycznego incydentu definiuje jasne procedury postępowania.
Projekt ISO/IEC 27001 nie jest dla firmy kosztem, ale inwestycją. Firma, która posiada zbudowany system zarządzania bezpieczeństwem informacji (SZBI), na bieżąco monitoruje jego status oraz podejmuje decyzje adekwatne do sytuacji. Plan postępowania z ryzykiem jest jednym z narzędzi, które pozwala planować inwestycje i działania związane z minimalizacją ryzyk. Zaplanowane działania nie muszą być bezpośrednio związane z projektami IT w zakresie bezpieczeństwa. Mogą to być również cykliczne szkolenia dla pracowników – budowanie świadomości to jeden z najważniejszych filarów efektywnego funkcjonowania SZBI.
Od czego zacząć?
Audyt. To pierwszy krok, który pozwoli nam zweryfikować, na jakim etapie funkcjonuje zarządzanie bezpieczeństwem w firmie.
Podczas wstępnego audytu zweryfikowano m.in. procesy IT, dział HR, procedury systemów ISO oraz inne obszary. W trakcie takiego audytu warto sprawdzić cały zakres, którym zostanie objęty SZBI. Należy zwrócić uwagę również na zewnętrznych dostawców usług (np. ochronę, serwis klimatyzatorów w serwerowni czy firmę sprzątającą pomieszczenia) oraz wymogi klientów stawiane w zakresie bezpieczeństwa informacji. Raport z audytu pozwala nam obrać kierunek prac.
Analiza ryzyka
W dalszych krokach projektu przeprowadzono analizę ryzyka. Na tym etapie projektu zebrano informacje, a następnie nastąpiła identyfikacja i klasyfikacja tych informacji, procesów biznesowych oraz systemów informatycznych. Został również przeprowadzony proces zarządzania ryzykiem oraz określenie potencjału i możliwości organizacji – plan postępowania z ryzykiem. Zaklasyfikowane informacje i aktywa stanowiły dane wejściowe do procesu szacowania ryzyka. Zespół projektowy sformalizował procedurę zarządzania ryzykiem, opisując w dokumencie takie obszary jak:
- metodologia zarządzania ryzykiem,
- główne czynniki ryzyka,
- identyfikacja i ocena ryzyka,
- kryteria oceny ryzyka,
- działania ograniczające ryzyko,
- akceptacja wdrażania nowych i modyfikacji istniejących produktów, usług oraz procesów,
- incydenty ryzyka,
- zapewnienie ciągłości działania firmy,
- zarządzanie sytuacjami awaryjnymi i kryzysowymi,
- postępowanie w przypadku wykrycia przestępstwa lub podejrzenia popełnienia przestępstw.
Metodologia ta jest zgodna z tzw. kołem Deminga, zwanym również cyklem PDCA (Plan-Do-Check-Act), stanowiącym uznany na całym świecie standard stosowany przy zarządzaniu ryzykiem. Zarządzanie ryzykiem należy rozumieć jako spójną, stałą praktykę, obejmującą następujące elementy:
- identyfikacja i ocena ryzyka,
- ograniczanie poprzez działania,
- monitorowanie poziomu,
- re-ewaluacja i działania korygujące.
Testy, testy
W kolejnej fazie projektu nastąpiło testowanie procesów poprzez audyty, działania korygujące i naprawcze poszczególnych jednostek organizacji, w której SZBI został wdrożony, oraz prezentacja i szkolenia z SZBI wszystkich członków organizacji (szkolenia z wdrożonego systemu). Produktami trzeciej fazy projektu są:
- deklaracja Możliwości Stosowania,
- procedury operacyjne, polityki i instrukcje dla poszczególnych domen:
- A.5 Polityka Bezpieczeństwa,
- A.6 Organizacja bezpieczeństwa,
- A.7 Zarządzanie aktywami,
- A.8 Bezpieczeństwo zasobów ludzkich,
- A.9 Bezpieczeństwo fizyczne i bezpieczeństwo środowiska,
- A.10 Zarządzanie komunikacją i operacjami,
- A.11 Kontrola dostępu,
- A.12 Pozyskanie systemów informacyjnych ich rozwój i utrzymanie.
Warto zwrócić uwagę, że każdy element domen jest bardzo ważny z punktu widzenia SZBI. Przykładem jest A.9 Bezpieczeństwo fizyczne. Pod tym pojęciem kryje się dostęp do pomieszczeń biurowych i szafek. Jeżeli firma nie posiada własnych powierzchni biurowych, to przy wynajmowaniu należy zwrócić uwagę, czy i jak budynek jest chroniony, czy jest wyposażony w system kontroli dostępu. Jeżeli korzystamy z własnych pomieszczeń, to weźmy pod uwagę, że instalacja systemu kontroli dostępu nie jest obecnie wysokim kosztem.
Duże znaczenie ma tutaj kultura pracy. A zatem ważne jest zwrócenie uwagi, by pomieszczenia bądź szafki były zamykane, gdy pracownicy opuszczają miejsce pracy. Ważne jest też, by nie zostawiali poufnych informacji w łatwo dostępnym miejscu. A ochrona? Warto zweryfikować, jak wygląda proces kontroli dostępu dla gości i identyfikacja gościa. Czy jest sprawdzany dowód osobisty? Czy może wnieść na teren firmy laptop, tablet czy smartfona? Czy może poruszać się po terenie firmy samodzielnie?
Pod koniec projektu przeprowadzono szkolenie w formie wykładu/warsztatu, którego celem było zaprezentowanie funkcjonującego systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001 w przedsiębiorstwie. Zaprezentowane zostały obowiązujące procedury/instrukcje oraz inne rozwiązania organizacyjne. Uczestnicy szkolenia mogli również poznać zasady audytu zewnętrznego. Tematy, które były poruszane podczas szkolenia:
- wdrożenie ISO/IEC 27001 – uzyskane cele projektu,
- organizacja bezpieczeństwa informacji w Plastic Omnium,
- polityka bezpieczeństwa informacji,
- deklaracja stosowania,
- zarządzanie ryzykiem,
- polityka czystego biurka i ekranu,
- dokumenty operacyjne IT,
- regulamin IT Plastic Omnium,
- proces zarządzania incydentami,
- zarządzanie ciągłością działania w Plastic Omnium,
- audyty wewnętrzne, działania korygujące/zapobiegawcze,
- proces audytu certyfikującego – jakie mogą pojawić się pytania/przykładowe scenki.
Weryfikacją wprowadzenia Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą ISO 27001 w Plastic Omnium był audyt certyfikujący przeprowadzony przez renomowaną jednostkę certyfikującą TÜV Nord. Audyt odbył się 16 grudnia 2011 r. i zakończył pozytywną rekomendacją w zakresie zgodności systemu z wymaganiami normy, polityką bezpieczeństwa informacji Plastic Omnium Auto Sp. z o.o. oraz wewnętrznymi regulacjami i dobrymi praktykami w zakresie bezpieczeństwa teleinformatycznego.
Informacja – nasz najcenniejszy zasób
O przesłankach wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą ISO 27001 w Plastic Omnium Auto Sp. z o.o. mówi Michał Latocha, Kierownik IT na Polskę, kierownik projektu wdrożenia systemu ISO 27001 w firmie.
Co skłoniło Plastic Omnium do wdrożenia systemu zarządzania opartego na wymaganiach normy ISO 27001?
Przyczynkiem do znalezienia odpowiedniego dla nas systemu zarządzania działem IT stała się potrzeba optymalizacji wydatków przy jednoczesnym podniesieniu konkurencyjności oferty naszej firmy. Potrzeba bardzo mocno została uwidoczniona w czasie pierwszej fali globalnego kryzysu w branży motoryzacyjnej. Wymagania systemu ISO TS 16949, obecnego w przemyśle motoryzacyjnym, nie w pełni obejmują problematykę zapewnienia jakości usług świadczonych przez działy IT. Aby nie odkrywać koła na nowo, postanowiliśmy skorzystać z istniejącego na rynku rozwiązania. ISO 27001 zdawało się z nawiązką pokrywać wszelkie nasze wymagania.
Dlaczego właśnie ISO 27001 wydawał się najlepszym wyborem?
Poza optymalizacją kosztów, którą osiągnęliśmy dzięki intensywnej pracy w procesie analizy ryzyka, osiągnęliśmy dodatkowy cel, który w dzisiejszych czasach wyznaczyć powinna sobie każda firma – minimalizacja ryzyka związanego z utratą bezpieczeństwa informacji.
Żyjemy w społeczeństwie informacyjnym, w którym informacja stała się towarem posiadającym swoją nieraz bardzo wysoką cenę. Nasi klienci, czyli producenci samochodów, prześcigają się, proponując coraz nowsze, unikalne na rynku rozwiązania. Wszystko po to, aby wyprzedzić konkurencję w pozyskiwaniu klientów. Podobnie sprawa wygląda z dostawcami dla branży automotive.
To co dział IT Plastic Omnium mógł zaoferować klientowi wewnętrznemu (biznesowi) oraz klientom zewnętrznym, którzy przekazują nam swoje utajnione plany produkcyjne, to bezpieczeństwo przetwarzania informacji w naszych systemach informatycznych.
Wszyscy korzystamy z tego samego, powszechnie dostępnego na rynku sprzętu. To, co nas odróżnia od konkurencji, to sposób, w jaki dany produkt lub usługę wytwarzamy. Innymi słowy wiedza, czyli informacja, to największa wartość każdej firmy, która powinna być chroniona w możliwie najlepszy sposób.
W dzisiejszych czasach przeniesienie produkcji z jednej fabryki do drugiej to kwestia kilku dni. Przy założeniu, że wszyscy (specjalizujący się w danej produkcji) korzystamy z podobnych lub nieraz tych samych narzędzi, kluczem do sukcesu staje się posiadanie wiedzy dotyczącej parametrów produkcji.
To co dział IT Plastic Omnium mógł zaoferować naszemu klientowi wewnętrznemu (biznesowi) oraz naszym klientom zewnętrznym, którzy przekazują nam swoje utajnione plany produkcyjne, to bezpieczeństwo przetwarzania informacji w naszych systemach informatycznych.
Jakie inne korzyści wynikają z wdrożenia systemu zarządzania bezpieczeństwem informacji?
Przewidziane w normie ISO 27001 zabezpieczenia oraz wymóg dotyczący pomiaru skuteczności wdrożonych zabezpieczeń znakomicie komponują się z wymaganiem normy ISO TS 16949 dotyczącym opomiarowania procesu realizowanego przez dział IT. Analiza wskaźników skuteczności wdrożonych zabezpieczeń daje biznesowi dokładny opis kondycji procesu IT.
Nie jest to jednak ostatnia z zalet wdrożenia omawianego systemu. Zauważalny jest także wzrost motywacji osób, które brały udział w pracach wdrożeniowych, a następnie same stały się uczestnikami systemu. Świadomość faktu, że potrafimy wyjść naprzeciw wyzwaniu, jakim jest wdrożenie systemu, zarezerwowanego, wydawałoby się, dla podmiotów o szczególnej potrzebie zapewnienia bezpieczeństwa informacji, powoduje, że jesteśmy dumni z naszego osiągnięcia.
Jakie plany na przyszłość?
Niezwykle ważne przy wdrażaniu systemu zarządzania bezpieczeństwem informacji jest posiadanie pełnej aprobaty i wsparcia dyrekcji, która jest świadoma tego, iż obsługa systemu będzie wymagała dodatkowego nakładu pracy, a nieraz dodatkowych zasobów. Traktując produkt takiego projektu jako inwestycję, szybko można się przekonać, że zwrot z tej inwestycji przewyższa poniesiony wkład.
Do tej pory jedynie gliwicka fabryka koncernu Plastic Omnium wdrożyła system zarządzania bezpieczeństwem informacji zgodny z wymaganiami normy ISO 27001. Jak się okazuje, zaproponowany przez nas przed dwoma laty kierunek jest tym, w którym koncern chce podążać dalej, mając na uwadze przewrotne słowa Williama Edwardsa Deminga – „Nie trzeba się zmieniać, przetrwanie nie jest obowiązkowe”.
Bezpieczeństwo informacji a wymagania branży motoryzacyjnej
O tym, że informacje w dzisiejszym czasie stanowią olbrzymią wartość, nie trzeba nikogo przekonywać. Produkujemy ich coraz więcej, dlatego też coraz trudniejsze, ale i coraz bardziej istotne staje się ich prawidłowe zabezpieczenie. Od początku cywilizacji do 2003 roku ludzie wytworzyli 5 eksabajtów (5 000 000 000 gigabajtów) informacji. W 2010 r. taką ilość danych świat produkował w dwa dni, a tempo wciąż się zwiększa.
Troska o bezpieczeństwo informacji nie świadczy już tylko o wysokim poziomie świadomości organizacji, lecz powoli staje się standardem. Za taki stan rzeczy odpowiadają duże firmy, które zaczynają wymagać na swoich dostawcach prawidłowego zabezpieczenia przekazywanych informacji. Pojawiają się w końcu przepisy prawne, zgodnie z którymi norma ISO 27001 ma zminimalizować ryzyko naruszenia jednego z trzech atrybutów informacji, czyli poufności, integralności i dostępności.
Troska o bezpieczeństwo informacji nie świadczy już tylko o wysokim poziomie świadomości organizacji, lecz powoli staje się standardem.
Działania mające na celu zabezpieczenie najważniejszych informacji nie omijają branży motoryzacyjnej. W mediach możemy spotkać się z informacjami o wycieku zdjęć nowego modelu samochodu, o nowych jednostkach napędowych, rozwiązaniach związanymi z komfortem lub bezpieczeństwem. Oczywiście część z tych informacji ma tylko wyglądać na przeciek, aby wzbudzić większe zainteresowanie, ale z pewnością nie wszystkie.
Świadczą o tym chociażby działania VW i organizacji VDA (Stowarzyszenia Niemieckiego Przemysłu Motoryzacyjnego) ale również Fiata, Toyoty czy BMW. Specyfika branży motoryzacyjnej determinuje konieczność zadbania o bezpieczeństwo informacji powierzanych firmom współpracującym. Zgodnie z normą ISO 27001 nie wystarczy zabezpieczać informacji wewnątrz organizacji. Niezbędne jest również zabezpieczenie jej, w przypadku kiedy przesyłamy ją poza mury firmy.
Wyobraźmy sobie sytuację, kiedy w zakładzie produkującym podzespoły dla kilku producentów samochodów projekty konkretnych podzespołów nie byłyby należycie zabezpieczone i dostępne dla konkurencji. A co w przypadku, kiedy wchodząc na halę produkcyjną, trafiamy na informacje dotyczące odbiorców danych podzespołów? Z punktu widzenia konkurencji byłaby to nie lada gratka. Koncerny motoryzacyjne posiadają długoletnie plany strategiczne dotyczące rozwoju, pojawiania się nowych pojazdów bądź rozwiązań na rynku. Są to informacje krytyczne, dlatego też firmy motoryzacyjne zabezpieczają je u siebie. Czasem jednak muszą przesłać nowy silnik bądź projekty części i podzespołów do firm współpracujących. W takim wypadku muszą mieć pewność, że te informacje nadal będą prawidłowo zabezpieczone.
Jak to sprawdzić? Najprościej jest poprosić kontrahenta o certyfikat bezpieczeństwa informacji zgodny z ISO 27001. Jeśli kontrahent go nie posiada, należy sprawdzić poziom bezpieczeństwa na własną rękę. VDA i VW wysyła do swoich partnerów formularze do uzupełnienia – Information Security Assessment. Znajdują się w nich pytania dotyczące posiadanych zabezpieczeń. Formularz został opracowany na podstawie normy ISO 27002 (która stanowi merytoryczne i opisowe rozwinięcie normy ISO/IEC 27001) i zawiera 51 zabezpieczeń. Dla każdego z zabezpieczeń przypisujemy wartość w granicach 1–5, w zależności od stopnia implementacji konkretnych zabezpieczeń. Pomocne są w tym pytania doprecyzowujące zawarte w formularzu. Z wszystkich pytań wybranych zostało 10 najważniejszych, które trzeba spełnić przynajmniej na poziomie 3.
O tym, jak ważne dla producentów aut jest zabezpieczenie przekazywanych danych, niech świadczy to, że wynik otrzymany w teście wpływa na możliwość dalszej współpracy.
Uważam, że bezpieczeństwo informacji w branży motoryzacyjnej nie służy tylko koncernom samochodowym. W każdej organizacji znajdują się informacje (know-how, umowy, plany, projekty, dane osobowe), które bezwzględnie trzeba chronić, których wyciek poza firmę wiąże się z dużymi konsekwencjami. Dobrze, że są firmy, które oczekują od swoich dostawców bezpieczeństwa informacji. Pomaga to w znalezieniu chwili czasu na refleksję – czy informacje przetwarzane w mojej formie są prawidłowo zabezpieczone?