Certyfikacja to filar cyberbezpieczeństwa. Polskie Centrum Badań i Certyfikacji S.A. z nowym podejściem do cyberedukacji

Artykuł sponsorowany

Nasza dzisiejsza pozycja wśród światowych liderów na polskim i międzynarodowym rynku certyfikacji to najlepszy dowód na to, że nasze kompetencje, wiarygodność i spektrum świadczonych usług nie tylko pozwala nam funkcjonować zgodnie z aktualnymi trendami, ale też te trendy wyprzedzać i kształtować. Jesteśmy nie tylko nowocześni i wiarygodni, co jest niezbędne, by skutecznie konkurować na rynku. Uważnie śledzimy potrzeby naszych klientów i podpowiadamy im rozwiązania podnoszące jakość i bezpieczeństwo, które skutecznie podnoszą wartość biznesu naszych partnerów. Naszą misją jest wspieranie klientów w rozwijaniu konkurencyjnego biznesu i prowadzeniu działalności w duchu społecznej odpowiedzialności. Krótko mówiąc, jesteśmy partnerem biznesu na ścieżce jakości. I potrafimy odpowiadać na wyzwania czasu. Dobrym przykładem jest nasze zaangażowanie w obszar cyberbezpieczeństwa, który wraz z dynamiczną rewolucją cyfrową nabrał szczególnej wagi.

Paulina Pietrasik-Stippa, członkini Zarządu PCBC S.A - wywiad

Jeśli mówimy o cyberbezpieczeństwie, to jaki jest pierwszy certyfikat, którego uzyskanie firma powinna rozważyć, aby jej klienci i ona sama mogli poczuć się bezpiecznie w cyfrowym świecie?

Kluczowa jest świadomość cyberzagrożeń. Dlatego tak duży nacisk kładziemy na rozwój szkoleń. Kolejny lub równoległy krok, to wybór ścieżki certyfikacji, który zależy od specyficznych potrzeb i celów firmy, jej branży oraz rodzaju wyrobów czy oferowanych usług, a także danych, jakimi zarządza. Oczywiście zawsze warto zaplanować konsultację z ekspertami ds. bezpieczeństwa informatycznego lub audytorami, aby określić, które normy są najbardziej odpowiednie dla danej organizacji. Bez wątpienia w wymiarze związanym z cyberbezpieczeństwem pierwsza norma ISO, po którą nowoczesna firma może, a nawet powinna sięgnąć, aby należycie zadbać o swoje bezpieczeństwo w tej sferze, to system ISO/IEC 27001 - System Zarządzania Bezpieczeństwem Informacji.

Co tak naprawdę potwierdza certyfikat ISO/IEC 27001? Jaki komunikat wysyła do swoich kontrahentów i klientów firma, która go zdobyła?

System ten skupia się na zachowaniu poufności, integralności i dostępności posiadanych informacji. To jedna z najważniejszych norm związanych z bezpieczeństwem informacji. ISO/IEC 27001 definiuje standardy i wymagania dla tworzenia, wdrażania, utrzymywania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji. Wiele wyjaśnia sama nazwa aktualnej normy, opisującej ten system: „Bezpieczeństwo informacji, cyberbezpieczeństwo i ochrona prywatności”.  Nazwa jest spójna z tym, co na co dzień dzieje w naszym otoczeniu - coraz więcej osób i firm rozumie, jak cennym zasobem są informacje i jak ważna jest ochrona informacji i naszej prywatności przed cyberatakami i dostępem osób nieuprawnionych. Firma z certyfikatem ISO/IEC 27001 komunikuje za jego pośrednictwem, że podchodzi do tych zagadnień systemowo, spełnia wymagania prawne oraz jest wiarygodnym parterem w biznesie. Certyfikat to ważny element zaufania. Certyfikacja to filar cyberbezpieczeństwa.

Czy to oznacza, że posiadanie tego certyfikatu gwarantuje odporność firmy na atak cyfrowy?

W dużej mierze to rodzaj takiej gwarancji, o ile inne czynniki nie zawiodą. Szczególnie mam na myśli czynnik ludzki, który bywa, niestety, zawodny – czasem przez brak wiedzy, czasem przez nieostrożność. I o tym należy nieustannie przypominać. Oczywiście, certyfikat ISO/IEC 27001, który potwierdza zgodność z normą dotyczącą systemu zarządzania bezpieczeństwem informacji, jest bardzo ważnym krokiem w kierunku zwiększenia bezpieczeństwa cyfrowego w firmie. Posiadanie certyfikatu ISO/IEC 27001 oznacza, że firma po wdrożeniu systemu powiedziała: „sprawdzam!” i pozwoliła, by niezależna jednostka oceniła czy wdrożenie było skuteczne i czy wymagania normy są spełnione. Certyfikat potwierdza zatem, że firma ustanowiła zabezpieczenia, identyfikuje zagrożenia i zmniejsza ich wpływ na działalność organizacji, ustanowiła cele i zasady bezpieczeństwa informacji, ale również że stale podnosi świadomość pracowników. Jednak certyfikat nie gwarantuje w pełni, że firma jest odporna na atak cyfrowy. Hakerzy stale dopracowują swoje metody, a systemy informatyczne wciąż mają luki. Wyścig o cyberbezpieczeństwo trwa i musimy się nieustannie doskonalić kompetencyjnie oraz organizacyjnie.

Jeśli certyfikat nie daje pewności, to po co w ogóle się o niego starać? Przecież proces certyfikacji jest czasochłonny i kosztowny, a co więcej wymaga powtarzania co kilka lat.

To w takim razie, po co zamykać drzwi na klucz w mieszkaniu, skoro zamek można łatwo sforsować? Można też zrezygnować z przepisów o ruchu drogowym, bo przecież i tak są łamane, a wypadków nie brakuje… Jeśli mówimy o konkretnych korzyściach, dla których warto zdobyć certyfikat, to głównym argumentem powinien być fakt, że ISO/IEC 27001 to międzynarodowo uznana norma, która zawiera określone wymagania i standardy w zakresie zarządzania bezpieczeństwem informacji. Posiadanie tego certyfikatu skutecznie pomaga w uwiarygodnieniu firmy w oczach klientów, partnerów i inwestorów. Chciałabym jednak zwrócić uwagę na aspekt, o którym niewiele się mówi, a ma on ogromne znaczenie dla stałego podnoszenia wartości firmy. Ogromną korzyścią dla przedsiębiorstwa może być również sam proces certyfikacji, który wymaga od firmy wdrożenia rygorystycznych praktyk i procedur, związanych z bezpieczeństwem informacji. Firma musi dokumentować i wdrażać konkretne praktyki i procedury związane z bezpieczeństwem informacji. A to z kolei pomaga identyfikowaniu i likwidacji luk oraz usprawnieniu działań związanych z cyberbezpieczeństwem. To rodzaj dobrze poprowadzonego treningu, który pomaga skorygować błędy i dobrze się przygotować do meczu.

Wasza firma słynie z tego, że proces certyfikacji jest prowadzony bardzo rzetelnie, a auditorzy są bardzo wymagający.

To prawda, od lat stawiamy bardzo wysoko poprzeczkę nie tylko certyfikowanym podmiotom, ale i naszej organizacji. Jesteśmy rzetelną firmą z wieloletnim doświadczeniem i nie oferujemy szybkich ścieżek ani uproszczonych procedur. Naszą reputację i obiektywizm najlepiej potwierdza fakt członkostwa PCBC S.A. w międzynarodowej organizacji IQNET. Jest to prestiżowa organizacja, działająca w 135 krajach, skupiająca wiodące firmy z branży certyfikacji z 35 krajów. Polskie Centrum Badań i Certyfikacji S.A. reprezentuje Polskę jako członek rzeczywisty IQNET od 1997 roku i nie jest to członkostwo honorowe: wiąże się ono ze stałym nadzorem nad jakością naszej pracy i regularnymi audytami. Posiadamy też akredytacje Polskiego Centrum Akredytacji (PCA), które potwierdzają zgodność naszych kompetencji w odniesieniu do zakresu zadań, jakie możemy wykonywać w obszarach: certyfikacji systemów zarządzania, certyfikacji wyrobów i badań laboratoryjnych. Intensywnie pracujemy nad doskonaleniem naszych kompetencji, czujemy dużą odpowiedzialność za naszą misję i cieszymy się z upowszechniania wysokich standardów w audytowanych firmach.

Na rynku jest wiele jednostek, które nadają certyfikaty ISO. Czy warto przejść przez ten proces z tak wymagającą firmą jak Polskie Centrum Badań i Certyfikacji?

Projakościowe podejście w zarządzaniu, w biznesie procentuje. Potwierdzają to nasze rynkowe doświadczenia. Nie warto iść na skróty, a zdecydowanie lepiej jest podjąć wysiłek rzetelnej certyfikacji. Sam proces audytu może być dla firmy bardzo istotnym etapem w podnoszeniu jakości, kompetencji i bezpieczeństwa. Są też twarde dane i analizy, które potwierdzają, że wymagający proces certyfikacji, zrealizowany przez kompetentny zespół jednostki certyfikacyjnej wiąże się z dużo większymi korzyściami dla firm. Do takiego wniosku doszli autorzy raportu Exploring Business Benefits of Internationally Recognized Certifications - Empirical Evidence from a Global Company Survey,” którzy przeanalizowali dane z badań przeprowadzonych wśród 3500 firm z 40 krajów przez *International Accreditation Forum IAF. (Mangelsdorf Axel, Denkler,Tilman, Exploring Business Benefits of Internationally Recognized Certifications - Empirical Evidence from a Global Company Survey, 2013)

Powiedzieliśmy jednak, że samo posiadanie certyfikatu ISO/IEC 27001 nie gwarantuje totalnego bezpieczeństwa informatycznej infrastruktury firmy. Jak zatem utrzymać wysoki poziom jakości, potwierdzony w certyfikacji?

Poprzez stały trening i bieżącą weryfikację tej formy. Nie zostawiamy naszych klientów samych sobie po wydaniu certyfikatu i nie czekamy z założonymi rękami do czasu, gdy nadejdzie moment odnawiania certyfikatu. Bezpieczeństwo w cyfrowym świecie, podobnie jak każdy inny wymiar bezpieczeństwa, to przede wszystkim ludzie i stan ich wiedzy na temat zagrożeń w sieci. Certyfikat ISO/IEC 27001 , ale też certyfikat ISO 22301, czyli międzynarodowa norma dotycząca zarządzania ciągłością działania firmy, gdzie identyfikacja i zapobieganie ryzykom związanym z bezpieczeństwem cyfrowym stanowią istotny element, opierają się na sprawdzaniu procedur i dokumentów, ale też na rozmowach z pracownikami i obserwacji procesów. Dzięki temu są one bardzo dobrym i potrzebnym punktem wyjścia w budowaniu bezpieczeństwa firmy, ale nie mogą być jedynym środkiem zabezpieczającym. Firmy powinny stosować podejście wielowarstwowe do bezpieczeństwa cyfrowego, uwzględniając zarówno procesy, technologie, edukację pracowników, monitoring i reakcję na incydenty, aby zwiększyć swoją zdolność do obrony przed atakami cyfrowymi. Powinny również szkolić, regularnie przeprowadzać audyty i testy penetracyjne, aby ocenić skuteczność zabezpieczeń.

Co zatem proponujecie swoim klientom, którzy już mają Wasze certyfikaty? Jak możecie im pomóc w zapewnieniu codziennego bezpieczeństwa w sferze cyfrowej?

Jak każda nowoczesna firma świadcząca usługi, podczas projektowania naszej oferty wychodzimy od realnych potrzeb naszych klientów. Wiedząc, że kwestia cyberbezpieczeństwa w każdej firmie zaczyna się od procedur, ale na koniec dnia sprowadza się w dużym stopniu do kwestii stanu świadomości pracowników, stworzyliśmy ofertę szkoleń, w których główny nacisk kładziemy właśnie na ludzki aspekt cyberbezpieczeństwa. Środowisko cybernetyczne jest dynamiczne, a zagrożenia ciągle się zmieniają. Nawet firma z certyfikatem ISO/IEC 27001 musi być gotowa na nowe i zaawansowane ataki, które mogą się pojawić w przyszłości. Nasi eksperci uważają, że pierwszym krokiem na ścieżce stałego zapewniania bezpieczeństwa firmy w cyfrowym świecie są przede wszystkim stałe szkolenia dla kadry zarządzającej oraz pracowników. Dlatego jako firma doświadczona nie tylko w certyfikacji, ale też w badaniach i szkoleniach, oferujemy cykl szkoleń zaadresowanych nie do działów IT, ale po prostu do pracowników. Nasze szkolenia zatytułowane są „Bezpieczny pracownik w sieci” i ich celem jest podnoszenie kompetencji pracowników w zakresie bezpieczeństwa IT. Przygotowaliśmy również propozycje dla innych szczebli zarządzania oraz w kolejnym kroku audyty bezpieczeństwa, realizowane przez nasz wewnętrzny zespół ekspertów IT.

Czy szkoleniami w zakresie cyberbezpieczeństwa nie powinny się zajmować firmy z branży IT?

Polskie Centrum Badań i Cerytyfikacji to nie tylko ekspercki zespół złożony z profesjonalistów o kilkunastoletnim doświadczeniu zawodowym w branży cyberbezpieczeństwa. Mamy ogromne doświadczenie w certyfikacji i audycie ISO/IEC 27001, ale nasza ekspertyza nie kończy się jedynie na tej normie - posiadamy dogłębną znajomość wielu innych standardów, co sprawia, że jesteśmy wszechstronnie przygotowani do sprostania różnorodnym wyzwaniom w dziedzinie audytu. No i może na koniec przypomnę, że jako podmiot, należący do Skarbu Państwa, gwarantujemy także najwyższy poziom wiarygodności i przekonania, że nasi audytorzy są naprawdę obiektywni, niezależni, ale również wiarygodni, co nie jest bez znaczenia zwłaszcza w sytuacji, gdy podczas audytu cyberbezpieczeństwa trzeba udostępnić firmową sieć obcemu człowiekowi.  Przecież bezpieczeństwo zaczyna się od wzajemnego zaufania, a do nas można mieć zaufanie.