Dział Usług Outsourcingowych BCC (aktualnie All for One Poland) świadczy usługi outsourcingu i serwisu rozwiązań IT, w tym przede wszystkim systemów SAP. Charakterystyczną cechą tych usług jest wysoki poziom uprawnień dostępu pracowników BCC do systemów, danych i informacji będących krytycznymi zasobami klientów.

Aby zagwarantować klientom wyższy poziom bezpieczeństwa, w BCC podjęto decyzję o wdrożeniu Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnego z normą ISO/IEC 27001. Projekt realizowany był siłami wewnętrznych specjalistów, trwał sześć miesięcy i w grudniu 2006 r. został uwieńczony uzyskaniem certyfikatu zgodności z normą ISO/IEC 27001. Był to jeden z pierwszych takich certyfikatów, przyznanych dostawcy usług IT w Polsce.

Polityka Bezpieczeństwa Informacji

Cel implementacji SZBI jest oczywisty. Jest nim ochrona informacji. Jednak jest on zdefiniowany na tak ogólnym poziomie, aby system można było zastosować w każdej organizacji.

W poszczególnych organizacjach ochrona informacji jest różnie pojmowana, dlatego w BCC w pierwszej kolejności zostały zdefiniowane cele stosowania SZBI. Cele te to zapewnienie klientom:

  • dostępności systemów i usług gwarantujących efektywną pracę,
  • poufności danych i informacji,
  • bezpieczeństwa systemów i danych,
  • wsparcia pracowników klienta zgodnie z interesem ich przedsiębiorstwa oraz prawem,
  • zaufanego i lojalnego partnera.

Aby móc sprostać powyższym wymaganiom, należało sformułować Politykę Bezpieczeństwa Informacji, czyli podstawowe zasady, wokół których zbudowany zostanie cały SZBI. W polityce zostały zawarte powyższe cele oraz sposoby ich realizacji, którymi są:

  • zarządzanie ryzykiem i zapewnienie planów ciągłości działania,
  • wysokie i ciągle doskonalone kompetencje zawodowe pracowników,
  • zagwarantowanie fizycznego bezpieczeństwa powierzonych zasobów,
  • zdefiniowanie, przestrzeganie i kontrola zasad ochrony systemów, danych i informacji,
  • ciągłe doskonalenie i wewnętrzna promocja SZBI oraz edukacja pracowników w tym zakresie,
  • rejestrowanie incydentów związanych z bezpieczeństwem informacji i podejmowanie działań korygujących i zapobiegawczych,
  • stosowanie rozwiązań i technologii o wysokich i sprawdzonych standardach oraz partnerska współpraca z ich producentami.

Decyzję o wdrożeniu SZBI zgodnego z normą ISO/IEC 27001 podjęto po to, by zagwarantować klientom wyższy poziom bezpieczeństwa

Analiza ryzyka

Polityka Bezpieczeństwa Informacji zdefiniowała, jak SZBI będzie funkcjonował w BCC (aktualnie All for One Poland). Kolejny krok, czyli analiza ryzyka, pozwolił określić słabe i mocne strony polityki bezpieczeństwa w kontekście celów, jakie stawiane są przed systemem. Utworzono zbiór elementów (np. notebook, karta dostępu, system produkcyjny) wpływających na bezpieczeństwo informacji.

Każdy taki element oceniono pod względem stwarzanego zagrożenia oraz podatności na to zagrożenie. W tym procesie poszczególnym elementom przypisano wartość pewnego ryzyka, które generują, funkcjonując bądź będąc wykorzystywane w świadczeniu usług dla klientów BCC. Dzięki analizie ryzyka możliwe było racjonalne podejście do bezpieczeństwa informacji, czyli takie, które uwzględniało zarówno potrzeby, sposób zabezpieczania, jak i koszt uzyskania odpowiedniego poziomu bezpieczeństwa.

Ciągłość działania systemów i usług

Polityka Bezpieczeństwa wskazała, co należy osiągnąć, analiza ryzyka określiła, jak to należy zrobić. Po tych dwóch podstawowych etapach przystąpiono do realizacji założeń projektu. Z dwóch pierwszych faz wynikło, że z punktu widzenia prowadzenia działalności outsourcingowej i serwisowej dla BCC najważniejsze jest zapewnienie ciągłości działania outsourcowanych systemów klientów oraz prowadzonych usług.

Dlatego w pierwszej kolejności zaimplementowano procesy Zarządzania Ciągłością Działania, na które składają się między innymi: proces obsługi zgłoszenia serwisowego, proces zarządzania incydentem, proces zarządzania zmianą, plany ciągłości działania dotyczące zarówno systemów IT, jak i świadczenia usług przez poszczególne zespoły Działu Usług Outsourcingowych BCC. Mają one zapewnić, że usługi są realizowane zgodnie z podpisanymi kontraktami i przyjętymi w kontraktach parametrami SLA (Service Level Agreement).

Zarządzanie Ciągłością Działania to nie tylko procesy określające sposób funkcjonowania organizacji, ale również procedury funkcjonujące wewnątrz zespołów i wykorzystywane w codziennej pracy operacyjnej przy administracji i monitorowaniu systemów oraz usług. W ramach projektu zostały one zweryfikowane, zaktualizowane i uzupełnione.

Bezpieczeństwo informacji

W następnym kroku zrealizowano nie mniej ważne założenia polityki i analizy ryzyka, dotyczące bezpośrednio informacji, czyli zasad jej wykorzystywania, ochrony i dystrybucji. Jako pomoc posłużyły wytyczne normy ISO/IEC 27001:2005 oraz dobre praktyki opisane w dokumencie ISO/IEC 17799:2005.

Wdrożono i zrealizowano zabezpieczenia, które uwzględniały aspekty bezpieczeństwa prawnego, technologicznego, fizycznego i osobowego. Odpowiednie zabezpieczenia zostały wprowadzone tam, gdzie jak wynikało z analizy ryzyka, organizacja ma słabsze punkty, gdzie ryzyko jest nieakceptowalne oraz tam, gdzie mocne punkty można wzmocnić racjonalnym kosztem. Wszystkie rozwiązania ujęto w tak zwanej deklaracji stosowania, która została oparta na domenach bezpieczeństwa definiowanych przez normę.

Na przykład bardzo ważnym aspektem dotyczącym bezpieczeństwa informacji jest dostęp i uprawnienia w systemach klientów, które są outsourcowane w BCC (aktualnie All for One Poland), oraz dla których BCC realizuje usługę serwisu aplikacyjnego SAP.

Obydwa aspekty, czyli zarządzanie dostępem (udostępnianie kont w systemach oraz haseł do kont, dystrybucja haseł, administrowanie kontami i hasłami, sposób przechowywania i zabezpieczenia haseł) oraz uprawnieniami (zakładanie i usuwanie użytkowników w systemach, nadawanie i odbieranie uprawnień, zawieszanie uprawnień) zostały objęte oddzielnymi procesami, nazwanymi „Polityka zarządzania kontami dostępu” i „Polityka kontroli dostępu”. Dzięki temu mamy pewność, że nikt niepowołany nie uzyska dostępu do czynności i informacji, do których nie ma uprawnień.

Dodatkowo wprowadzono procedury, polityki i zasady normujące minima bezpieczeństwa, związane między innymi z pracą na komputerach przenośnych, pracą zdalną, monitorowaniem działań użytkowników w systemach oraz sieci komputerowej. Ważnym elementem było i jest sklasyfikowanie informacji z punktu widzenia jej poufności.

Wszystkie powyższe elementy oraz jedno z najważniejszych, a niewspomnianych dotychczas działań, tzn. edukacja wszystkich członków zespołów, spowodowały, że ogólny poziom zabezpieczenia informacji w organizacji zwiększył się skokowo. Potwierdzenie wysokiego poziomu bezpieczeństwa informacji uzyskano podczas audytu certyfikującego wykonanego przez jednostkę certyfikującą DQS.

Ogólny poziom zabezpieczenia informacji w organizacji zwiększył się skokowo

Kontrola i doskonalenie systemów

Wdrożenie i certyfikacja sytemu to tak naprawdę dopiero początek. Aby SZBI nie uległ degradacji, konieczna jest jego kontrola oraz doskonalenie na każdym poziomie. W tym celu stworzono Forum Zarządzania Bezpieczeństwem Informacji, w którego skład wchodzi między innymi kierownictwo firmy. Powołano także Pełnomocnika Zarządu ds. Bezpieczeństwa Informacji.

Zadaniem Forum jest podejmowanie kluczowych decyzji oraz określanie strategii doskonalenia i rozwoju systemu. Będzie to realizowane na przykład poprzez dokonywanie okresowych przeglądów systemu oraz analizę ryzyka. Zadaniem pełnomocnika jest bieżąca administracja systemem, kontrola jednostek oraz członków organizacji pod względem realizacji założeń systemu, inicjacja działań korygujących, naprawczych i doskonalących.

SZBI BCC uznany za wzorcowy przez DQS

21 listopada w warszawskiej Galerii Porczyńskich przedstawiciele firm wyróżnionych za profesjonalne podejście do systemów zarządzania odebrali statuetki Firma Roku 2007 przyznane przez instytucję certyfikującą DQS. BCC otrzymało nagrodę w kategorii firmy usługowej. DQS Polska realizuje kilkaset audytów certyfikujących rocznie, badając zgodność systemów zarządzania różnych organizacji z takimi normami jak ISO 9001, ISO 14001, ISO/TS 16949, ISO/IEC 27001 i inne. Corocznie z tego grona DQS wyróżnia tych klientów, którzy mogą stanowić wzór do naśladowania dla innych organizacji. Nagroda została przyznana BCC za doskonalenie SZBI oraz Systemu Zarządzania Jakością. „Uczestniczyłem w licznych audytach SZBI w Niemczech i innych krajach na całym świecie. Uważam, że rozwiązania funkcjonujące w BCC, zwłaszcza te w zakresie Zarządzania Ciągłością Działania, mogą być uznane za prawdziwy benchmark dla wielu firm” – mówi Reinhard Witzke, Audytor Wiodący w DQS GmbH.  „Głównym celem wdrożenia SZBI było stworzenie solidnej podstawy do utrzymania najwyższych standardów bezpieczeństwa naszych klientów, obsługiwanych w zakresie outsourcingu i serwisu rozwiązań SAP i IT. Cieszę się, że pracę naszych specjalistów, którzy wdrożyli SZBI, doceniają nie tylko klienci, ale także DQS – instytucja certyfikująca o bardzo wysokich wymaganiach wobec audytowanych organizacji” – powiedział Waldemar Sokołowski, Dyrektor ds. Usług Outsourcingowych BCC. Specjaliści z Zespołu ds. Bezpieczeństwa Informacji BCC, którzy zrealizowali wdrożenie SZBI, wspierają wdrożenia i rozwój systemów zarządzania bezpieczeństwem informacji ISO/IEC 27001 oraz systemów zarządzania usługami IT ISO/IEC 20000 u kilku klientów BCC (aktualnie All for One Poland).

Należy tutaj zaznaczyć, że nie tylko na pełnomocniku spoczywają te obowiązki. Luki w działaniu oraz słabości systemu i organizacji mogą być zgłaszane przez wszystkich jej członków.

Kontrola działania SZBI dokonywana jest przede wszystkim poprzez audyty. Ich podstawowym zadaniem jest zebranie informacji (wykrycie słabych i mocnych punktów) będących podstawą dalszych działań (doskonalących bądź korygujących). W ten sposób domykany jest cykl Deminga (planuj, opracuj, sprawdzaj, działaj), który stanowi podstawę normy ISO/IEC 27001.

Rozwój

W procesie rozwoju każdej organizacji występują przełomowe punkty, po przejściu których wcześniej stosowane zasady się dezaktualizują, niektóre aspekty działalności się formalizują, wypracowywane zostają nowe normy określające zasady oraz kulturę pracy i świadczenia usług. Celem wprowadzenia systemów zarządzania do firmy jest pomoc w sprostaniu tym wewnętrznym, a także (a może przede wszystkim) zewnętrznym wyzwaniom.

Właśnie taki cel przyświeca wprowadzeniu systemów do BCC, poczynając od Systemu Zarządzania Jakością (ISO 9001), poprzez System Zarządzania Bezpieczeństwem Informacji (ISO/IEC 27001), a kończąc na wdrażanym obecnie Systemie Zarządzania Usługami Informatycznymi (ITIL, ISO/IEC 20000).

Wszystkie te systemy tworzą tzw. Zintegrowany System Zarządzania. Ostatecznym celem składających się nań standardów jest sprawniejsza wewnętrzna organizacja firmy, zapewniająca wyższy poziom bezpieczeństwa świadczonych usług.