Narzędzie na drodze rozwoju
Fujitsu potraktowało projekt wdrożenia zintegrowanego systemu zarządzania jako narzędzie, a nie cel sam w sobie i inwestycję, a nie wydatek. Jest to element warsztatu każdego menedżera, który chce podejmować lepsze i szybsze decyzje biznesowe, osadzone w mierzalnych realiach i konkretnych argumentach.
Zintegrowany system zarządzania w Fujitsu GDC został oparty na światowych standardach ISO 9001, ISO/IEC 20000 oraz ISO/IEC 27001. Projekt, przy współpracy z BCC, był realizowany w latach 2013-2014.
Zintegrowany system zarządzania jest nastawiony na ciągłe doskonalenie i optymalizowanie doboru środków ochrony do możliwych skutków nieprzewidzianych zdarzeń. Chroni Fujitsu przed przeinwestowaniem w obszarze bezpieczeństwa i pomaga dostarczyć argumentów za zwiększeniem inwestycji w najbardziej zagrożonych obszarach organizacji (np. nie w IT, ale w szkolenie pracowników). Jest to możliwe dzięki wymaganiu prowadzenia systematycznej analizy ryzyka.
Analiza ryzyka jest dokładnie takim samym „wsadem” do procesu decyzyjnego, jak inne narzędzia menedżerskie, typu raporty finansowe, raporty sprzedaży itp. W kontekście norm ISO nie bez znaczenia jest również słowo „system”– jest to bowiem spójny zestaw procedur i czynności, efektem których jest ciągłe poszukiwanie optimum pomiędzy wydatkami na jakość i bezpieczeństwo a „kosztami” utraty informacji. Przykład: dzięki standardom ISO i analizie ryzyka bardzo łatwo dojść do wniosku, że są np. obszary, w których wydatki na jakość i bezpieczeństwo są niewspółmiernie wysokie w stosunku do ryzyka, jakie może przynieść „utrata” informacji (niskie ryzyko może wynikać bowiem z niewielkiej podatności zabezpieczenia danego aktywa/zasobu lub z niskiej częstotliwości zdarzeń niepożądanych).
W dzisiejszej rzeczywistości oraz w warunkach dużego rozproszenia informacji oraz wielości form jej przetwarzania (tradycyjna/papierowa i elektroniczna – tu zwracamy uwagę na liczbę i rodzaj urządzeń, tzn. nie tylko serwery stojące w firmie, nie tylko stacje robocze użytkowników, takie jak laptopy, ale również urządzenia mobilne jak tablet i telefon) informacja jest strategicznym zasobem zasilającym procesy biznesowe. Jest to szczególnie widoczne w firmach z sektora usług finansowych i ubezpieczeniowych, gdzie informacje o kliencie są szczególnie chronione (klient, który ma poczucie, że informacje o nim są odpowiednio zabezpieczone, jest bardziej lojalny niż klient, który takiego przekonania nie ma).
Narzędzie w postaci zintegrowanego systemu zarządzania pozwoliło firmie Fujitsu osiągnąć szereg korzyści, wśród których możemy wymienić:
- spełnienie wymagań i oczekiwań klientów, w tym restrykcyjnych parametrów SLA w umowach z klientami,
- spełnienie wymagań prawnych, w tym m.in. ochrona danych osobowych, prawo autorskie, informacje niejawne, tajemnica przedsiębiorstwa,
- doskonalenie mechanizmów zarządzania ryzykiem na poszczególnych service deskach,
- ciągły monitoring jakości obsługi klienta,
- przejrzyste procedury reklamacji,
- zwiększenie poziomu bezpieczeństwa w obszarze zarządzania:
- formalne procedury będące podstawą do wymagań od pracowników,
- uświadomienie pracownikom, że bezpieczeństwo jest ważne dla kierownictwa,
- czytelne i przejrzyste zasady współpracy i odpowiedzialności za bezpieczeństwo pomiędzy IT a biznesem (odpowiednie rozłożenie akcentów),
- wskazanie konkretnych osób odpowiedzialnych za bezpieczeństwo,
- systematyczne eliminowanie zagrożeń,
- zmiana postrzegania zgłaszania incydentów w zakresie bezpieczeństwa – w kierunku funkcji ciągłego doskonalenia, a nie wytykania błędów (zwiększa się zaangażowanie pracowników i tym samym system bezpieczeństwa niejako „sam się uszczelnia”),
- kształtowanie mentalności pracowników w kierunku projakościowym i zwiększenie ich zaangażowania w sprawy firmy; uświadomienie, że każdy jest odpowiedzialny za bezpieczeństwo,
- monitoring skuteczności wdrożonych rozwiązań.
Dzięki wdrożeniu zintegrowanego systemu zarządzania udało nam się uzyskać redukcję kosztów – do zarządzania IT podchodzimy jak do zarządzania biznesem. Innym istotnym elementem jest zwiększenie produktywności w wyniku poprawy zarządzania zasobami i organizacji pracy.
Marcin Dębowski, Operations Manager, Poland GDC, Services, Global Delivery Fujitsu
Optymalizacja procesów
Jednym z ważniejszych wyzwań w projekcie było ustalenie jednej, spójnej polityki zarządzania i jej popularyzacja przez kierownictwo na wszystkich szczeblach firmy. W polityce zrządzania określono kierunki działania i główne cele firmy w kontekście usług IT i bezpieczeństwa informacji. Kolejnymi krokami było:
- uświadamianie pracownikom konieczności spełnienia jednocześnie wymagań klientów oraz regulacji i przepisów,
- monitorowanie przestrzegania realizacji polityki zarządzania,
- standaryzacja wymagań dla wszystkich w organizacji – spójne zasady, spójne wymagania, spójne rozliczanie,
- określenie kwalifikacji wymaganych od pracowników, określenie potrzeb szkoleniowych,
- zapewnienie, by pracownicy posiadali potwierdzone kwalifikacje i niezbędne doświadczenie.
Standardy ISO umożliwiły optymalizację przebiegu procesów realizowanych w Fujitsu. Dzięki temu:
- poprawiono jakość zarządzania,
- zoptymalizowano koszty funkcjonowania firmy poprzez dobór środków (wysokość wydatków) do realnych zagrożeń (wynikających z analizy ryzyka),
- posiadane zasoby – szczególnie w obszarze IT są wykorzystywane efektywniej,
- uświadomiono biznes, że jest odpowiedzialny za bezpieczeństwo w równym stopniu co IT,
- położono akcent na „miękkie” bezpieczeństwo, takie jak uwrażliwienie na ochronę dokumentów, rozmowy telefoniczne w miejscach publicznych, ataki socjotechniczne,
- udoskonalono relacje z klientem – skupienie uwagi na korzyściach dla biznesu (patrzenie na informatykę oczami biznesu) i jego zmieniających się potrzebach,
- umożliwiono realizację celów biznesowych.
Bezpieczeństwo informacji postrzegamy jako ważny proces, którym należy prawidłowo i skutecznie zarządzać, gdyż ma on duży wpływ na zdolność organizacji do dostarczania usług zgodnie z oczekiwaniami naszych klientów.
Marta Gielec, Service Desk Team Manager, Poland GDC, Services, Global Delivery Fujitsu
Standardy zarządzania jako narzędzie innowacyjności organizacji wpłynęło na poprawę relacji z klientami dzięki skupieniu uwagi na korzyściach dla biznesu, również przez dział IT.
Malgorzata Kowalczyk, Service Desk Team Manager, Poland GDC, Services, Global Delivery Fujitsu
Dokumentacja, zarządzanie organizacją
Udokumentowanie systemu zarządzania zostało zrealizowane poprzez opis trybu i warunków niezbędnych do realizacji procesów, zapewnienie aktualności i dostępności dokumentów potrzebnych do realizacji procesów oraz tworzenie i przechowywanie zapisów według ustalonych reguł, znanych wszystkim pracownikom. Podczas realizacji projektu udokumentowano szereg polityk, procedur i instrukcji. Określono mapę procesów, ustalono ryzyka i sformalizowano katalog usług.
Innym ciekawym aspektem projektu był kontekst zarządzania organizacją. Kultura pracy i zasady Fujitsu pozwoliły na zdefiniowanie wielu ciekawych rozwiązań, które są stosowane na co dzień w całej organizacji.
Certyfikat i co dalej
Sukces tego typu projektu to potwierdzenie przez niezależną jednostkę certyfikującą funkcjonowania wg sprawnego zintegrowanego systemu zarządzania. W Fujitsu zwieńczeniem prac był przeprowadzony w listopadzie 2014 r. audyt niezależnej jednostki i uzyskanie certyfikatu na zgodność z trzema normami: ISO/IEC 20000, ISO/IEC 27001, ISO 9001.
Osiągnięta dzięki temu poprawa wizerunku firmy w oczach właścicieli, klientów i dostawców przełożyła się na:
- wzrost wiarygodności firmy – efekty promocyjne – certyfikaty ISO/IEC 20000, ISO/IEC 27001, ISO 9001 są „marką” samą w sobie. Ich posiadanie dużo „mówi” o jakości i bezpieczeństwie w firmie i jej dojrzałości biznesowej,
- uproszczenie procedur kontrolnych (gotowa dokumentacja, zapisy, dowody, rejestr incydentów zawsze do wglądu audytora; audytor, który ma informację „od ręki” jest audytorem bardziej przyjaznym),
- szybsze spełnienie rekomendacji audytowych,
- uregulowanie kwestii zarządzania danymi osobowymi (zgodność z prawem jest warunkiem bezwzględnym uzyskania certyfikatu).
Praktycy SZBI
BCC (aktualnie All for One Poland) oferuje pakiet usług wdrożenia i rozwoju systemów zarządzania bezpieczeństwem informacji i usług IT zgodnych z zaleceniami ITIL oraz wymaganiami norm ISO/IEC 27001 oraz ISO/IEC 20000. Naszą mocną stroną i wyróżnikiem na rynku usług doradczych IT jest to, że jesteśmy praktykami. W SNP Data Centers sami korzystamy z tych samych standardów bezpieczeństwa, gromadząc doświadczenia i dobre praktyki. Zespół, który świadczy usługi wdrożenia SZBI dla klientów, równocześnie dba o utrzymanie i rozwój SZBI w SNP. System Zarządzania Bezpieczeństwem Informacji to jeden z filarów All for One Data Centers, w którym realizujemy usługi dla klientów, w tym zarządzany hosting infrastruktury IT i administrację kluczowymi systemami biznesowymi, głównie SAP. Dziesiątki klientów i kontraktów SLA obligują nas do utrzymywania najwyższych standardów bezpieczeństwa i zarządzania.
Tomasz Wawrzonek, Wicedyrektor IT, All for One Data Centers
Wdrożenie zintegrowanego systemu zarządzania pozwoliło Fujitsu utrzymać pozycję lidera na rynku światowym w zakresie świadczonych usług. Co dalej? Zgodnie z cyklem Deminga organizacja wkracza obecnie w proces doskonalenia, co przełoży się na:
- poprawę wizerunku na zewnątrz organizacji,
- większe zaufanie do organizacji, większe poczucie bezpieczeństwa klientów,
- prawidłowość realizacji procesów (zmniejszenie liczby skarg, reklamacji),
- szybsze i skuteczne reagowanie na incydenty/naruszenie procedur,
- uszczelnienie systemu zarządzania informacją,
- samouczenie się organizacji – ISO powoduje, że organizacja „napędzona” jest mechanizmami doskonalenia i poprawy, poszukiwania optimum pomiędzy bezpieczeństwem a efektywnością,
- profesjonalną, świadomą i skuteczną organizację bezpieczeństwa w firmie,
- uporządkowane warunki pracy (czyste biurko, czysty pulpit),
- szybszą adaptację nowych pracowników, ochronę informacji w przypadkach rotacji pracowników,
- standaryzowanie zasad pracy w poszczególnych lokalizacjach,
- jasne zakresy uprawnień i odpowiedzialności,
- podniesienie jakości świadczonych usług,
- zaangażowanie wszystkich pracowników w sprawy firmy i poprawę bezpieczeństwa.