Airtel – povestea de succes a unei certificari ISO 27001: Avantaje, provocari si lectii invatate pe parcurs
11 octombrie 2012. In urma cu aproximativ un deceniu, cand ISO/IEC 27001 de-abia fusese introdus pe piata, era la moda sa se discute despre aceasta certificare. Astazi, insa, s-a ajuns la un punct in care organizatiile cauta sa profite de potentialul standardului care le ajuta sa devina mature din punct de vedere al proceselor. Acest lucru l-a avut in vedere si compania Bharti Airtel (www.airtel.in), cel mai mare furnizor de servicii mobile din India, atunci cand a hotarat sa se certifice ISO 27001 in 2009.
Cu 28 certificate, Airtel devenea organizatia cu cel mai mare numar de certificate ISO 27001 din lume in acel moment. Acest record a fost urmat la nivel mondial de NTT Docomo si Larsen & Toubro.
Puncte de start
Certificarile ISO 27001 au devenit esentiale in ziua de azi (Regulile IT 2011 le stipuleaza drept un standard impus). Deci prin ce se diferentiaza implementarea facute de Airtel? Dupa cum o spune Felix Mohan, vicepresedinte si director IT la nivel mondial la Airtel,
“Implementarea ISO 27001 facuta de Airtel a facut o legatura eficienta intre asigurarea si managementul riscului si obiectivele companiei, fara a compromite principiile standardului.”
Cu mult timp inainte de a se certifica ISO 27001 in 2009, Airtel avea toate procesele relevante in vigoare (incepand cu 2007). ISO 27001 nu poate fi implementat retroactiv, o greseala de care multe organizatii se fac vinovate, dupa parerea lui Mohan.
Airtel a trecut de fiecare audit de supraveghere cu zero neconformitati, a precizat Mohan. Aceasta este o realizare laudabila daca luam in considerare faptul ca Airtel a plecat la drum cu un total de 28 certificate ISO 27001 (numar redus la 19 in urma restructurarii si consolidarii companiei in 2010), fiecare din ele fiind reauditate in fiecare an si acoperind cele peste 340 de locatii geografice in care isi desfasoara activitatea compania.
Lacune des intalnite in implementarea ISO 27001
Potrivit lui Mohan, cea mai mare lacuna in implementarea ISO 27001 rezida in definirea domeniului de aplicare. Orice organizatie poate pretinde ca este certificata ISO 27001, limitandu-si in mod convenabil domeniul certificarii. Acest lucru o poate ajuta sa se califice pentru invitatiile la licitatii care au ca cerinta certificarea ISO 27001, insa o poate lipsi de beneficiile care decurg din maturitatea si securitatea proceselor obtinute in urma implementarii ISO 27001.
Cea de-a doua problema se refera la mentinerea certificarii. Dupa ce euforia initiala a certificarii ia sfarsit, unele companii nu se mai preocupa de auditurile de supraveghere si de neconformitati, a mai precizat Mohan. Desi multe organizatii pretind ca detin inca certificate ISO 27001, termenele de valabilitatea ale acestor certificate poate fi depasite, potrivit lui Mohan.
Parcursul urmat de Airtel catre certificarea ISO 27001
• Definirea domeniului certificarii ISO 27001
“Airtel adera la ISO 27001 in adevaratul sens al cuvantului, domeniul certificarii acoperind toate domeniile si masurile de control,” a declarat Mohan. Desi Airtel avea la indemana optiunea de a obtine un singur certificat pentru intreaga companie, aceasta varianta a fost respinsa deoarece nu ar fi condus la o adevarata maturitate a proceselor.
Procesele Airtel au fost impartite in domenii, iar fiecare domeniu a fost certificat in mod individual si fiecare sfera de influenta a primit propria sa certificare. Centrele de date Airtel au fost inglobate intr-un singur domeniu. Operatiunile IT si cele de retea au primit certificate separate, ceea ce a ridicat totalul la un numar de 28 certificari.
Impartirea unei intreprinderi mari in componente mai mici mareste concentrarea asupra proceselor si integritatea certificarii, facand-o mult mai stricta, a explicat Mohan. Dat fiind faptul ca fiecare domeniu are propriile sale riscuri si procese critice, care ar putea sa nu se aplice in cazul altor domenii, un domeniu general al certificarii, care include tot, poate impiedica implementarea corespunzatoare a standardului ISO 27001.
• Metodologia si implementarea proceselor
Practic, implementarea standardului ISO 27001 a fost impartita in mai multe domenii si subdomenii. Fiecare domeniu in parte a fost examinat pentru a determina rolul sau prin identificarea subdomeniilor care il ajuta sa isi indeplineasca obiectivele. Acestea au inclus oameni, tehnologie si procese, iar identificarea lor a dus la crearea unui registru al activelor.
Pentru fiecare activ identificat, a fost efectuata o evaluare a riscurilor pentru a completa si registrul de risc. Ultima piesa a constituit-o registrul de control, care stabileste setul de masuri care pot fi luate pentru a atenua riscurile.
Activele au primit diferite niveluri de prioritate in functie de confidentialitatea, integritatea si disponibilitatea lor, ceea ce a ajutat conducerea sa ordoneze investitiile si implementarea masurilor de control in functie de importanta lor, a spus Mohan. Agilitatea este esentiala, a explicat el, amintindu-si cum in timpul implementarii standardului ISO 27001, Airtel a trecut printr-o restructurare interna majora.
Mohan este de parere ca singura cale de a implementa ISO 27001 cu succes este de a avea angajati instruiti care sa se ocupe de procese. Fiecarei activitati desfasurate la Airtel i s-a asociat un punct unic de contact, care conduce procesul din domeniul sau. Acesti angajati lucreaza in companie pe diverse pozitii si nu sunt selectati din randul personalului tehnic.
Punctele unice de contact le raporteaza reprezentantilor manageriali, care ii transmit datele echipei de securitate, care monitorizeaza implementarea si mentine evidenta interna la nivel central. Punctele unice de contact se ocupa si de activitatile de dupa implementare, cum ar fi auditurile interne, analizele autoevaluarilor, programele de formare, toate acestea fiind ulterior evaluate in timpul auditurilor de supraveghere. Fiecare angajat care se ocupa de cate un proces isi asuma raspunderea pentru actiunile pe care le intreprinde.
Punctele unice de contact sunt selectate si instruite la nivel central, Airtel organizand anual programe de formare pentru 30 oameni. “Probabil ca Airtel detine cel mai mare numar de auditori principali calificati si certificati din India, si anume peste 120,” a spus Mohan.
Airtel si-a dezvoltat in paralel si planuri de continuitate
Pe langa implementarea standardului ISO 27001, Airtel se mandreste si cu cea mai mare implementare BCP (planificarea continuitatii afacerii) din tara datorita implementarii standardului britanic BS 25999. Dupa ce si-a implementat ISO 27001, Airtel a fuzionat procesele legate de ISO 27001 si de BS 25999 pentru a evita repetarea.
Aceasta consolidare reprezinta o abordare unica si a fost imitata si de operatiunile Airtel din Bangladesh si din Sri Lanka. Gestionata cu ajutorul unui tablou de bord centralizat, aceasta consolidare i-a permis companiei sa economiseasca intre 40 si 60% la fiecare audit de supraveghere.
Mohan crede ca eliminarea nevoii de a aborda separat angajatii care se ocupa de anumite procese a ajutat la reducerea semnificativa a timpului de gestionare, desi s-a castigat acelasi nivel de asigurare. “Acesta este un punct prin care Airtel se diferentiaza de restul companiilor de acelasi fel, etalandu-si maturitatea proceselor pe care a castigat-o in urma implementarii ISO 27001,” a concluzionat el.