Dejan Kosutic Jeste li ikada pokušali uvjeriti menadžment da financira provedbu informacijske sigurnosti? Ako jeste, vjerojatno znate kakav je to osjećaj – pitaju vas koliko to košta i ako zvuči preskupo, jednostavno kažu ne.
Zapravo ne biste trebali kriviti njih – oni su u konačnici ipak zaduženi za profitabilnost tvrtke. To jest, temelj svake njihove odluke je odnos između visine ulaganja i koristi, ili da se izrazimo menadžerskim rječnikom – povrat na investiciju (engl. return on investment – ROI).
To znači da prije predlaganja takvog ulaganja morate napraviti domaću zadaću – dobro promislite kako prezentirati koristi, koristeći se jezikom koji će menadžment razumjeti i podržati.
Pokušat ću vam u tome pomoći – koristi informacijske sigurnosti, pogotovo provedbe norme ISO 27001 su brojne. Ali iz mog iskustva ove četiri su najvažnije:
1. Sukladnost
Možda se čini neobičnim ovo navesti kao prvu prednost, ali upravo se tako ostvaruje najbrži “povrat ulaganja” – ISO 27001 pruža metodologiju s kojom organizacija na najefikasniji način može postići sukladnost sa propisima u području zaštite podataka, privatnosti i IT upravljanju (posebno ako se radi o financijskoj, zdravstvenoj ili državnoj organizaciji).
2. Marketinška prednost
Na sve konkurentnijem tržištu ponekad je jako teško pronaći nešto po čemu kupcima možete biti prepoznatljivi. Norma ISO 27001 vam zaista može osigurati da ponudite nešto jedinstveno, pogotovo ako baratate osjetljivim informacijama klijenata.
3. Smanjivanje troškova
Informacijska sigurnost obično se smatra troškom koji ne donosi očitu financijsku dobit. Ipak, financijsku korist možete ostvariti ukoliko smanjite troškove uzrokovane incidentima – vjerojatno se suočavate s prekidom usluga ili povremenim curenjem informacija, a nađe se i poneki nezadovoljni djelatnik. Ili nezadovoljni bivši djelatnik.
Istini za volju, još uvijek ne postoji metodologija i/ili tehnologija koja bi vam omogućila da izračunate koliko novaca možete uštedjeti sprječavanjem takvih incidenata. Ali uvijek je dobro skrenuti pozornost menadžmenta na takve slučajeve.
4. Uvođenje reda u poslovanje
Ova korist se najčešće podcjenjuje – ako ste tvrtka koja se u zadnjih nekoliko godina naglo razvila, možete naići na probleme poput – tko o čemu odlučuje, tko je odgovoran za određene informacijske resurse, tko odobrava pristup informacijskim sustavima, i sl.
Norma ISO 27001 posebno je korisna u rješavanju takvih stvari – prisilit će vas da vrlo precizno definirate odgovornosti i zaduženja, i da na taj način ojačate svoju internu organizaciju.
Da zaključim – umjesto da norma ISO 27001 bude samo još jedan certifikat na zidu, ona vašoj tvrtki može donijeti mnoge koristi. U većini slučajeva će vas menadžment poslušati ako te koristi prezentirate na jasan način.
Pogledajte i naš besplatni webinar ISO 27001 benefits: How to obtain management support.
