Opracowanie wyników badań
1. Zakres badań
Tematem badań była ocena wprowadzonego systemu PN ISO/IEC 27001:2007 i sposób jego funkcjonowania w systemach zarządzania bezpieczeństwem informacji w wybranych firmach. Badaniu podlegały przedsiębiorstwa, które wdrożyły PN ISO/IEC 27001:2007 i posiadają akredytowany certyfikat. Istnieje 168 takich firm w Polsce, spośród których do próby reprezentatywnej, przy założeniu 95% poziomu ufności, 50% udziału populacji generalnej oraz 4% błędu szacowania zostało wybrane na podstawie wyliczeń 131 firm. Celem badań była ocena sytemu przez środowisko, a podstawowym zadaniem było pozyskanie informacji na temat jak system został wdrożony i jak funkcjonuje oraz stosunek pracowników i przełożonych do całego procesu wprowadzania systemu i jego teraźniejszego działania w przedsiębiorstwie. Informacje te zostały pozyskane poprzez przeprowadzenie ankiet telefonicznych z wybranymi przedsiębiorstwami. Odpowiedzi zostały udzielone przez 40 firm przy rzeczywistym poziomie ufności 61% dla populacji generalnej wynoszącej 131 przedsiębiorstw, podczas przeprowadzania rozmów z osobami zajmującymi się wdrażaniem i działaniem systemu.
2. Przyczyny wdrożenia systemu PN ISO/IEC 27001:2007
Najważniejszym zagadnieniem jest oczywiście powód dla jakiego przedsiębiorstwo wprowadziło ten system. Odpowiedzi w ankiecie były następujące:
1. Zapewnienie bezpieczeństwa zarządzanym informacjom.
2. Zwiększenie poczucia bezpieczeństwa pracownikom.
3. Strach przed wykradnięciem cennych informacji z przedsiębiorstwa.
4. Moda. Na poniższym wykresie (Rys.1.) przedstawione zostały odpowiedzi ankietowanych, które wyraźne pokazują, że najważniejszym powodem dla wdrożenia systemu PN ISO/IEC 27001:2007 była chęć zapewnienia bezpieczeństwa zarządzanym informacjom (75%). Potem ankietowani podawali powód jakim jest chęć zwiększenia poczucia bezpieczeństwa pracownikom oraz strach przed wykradnięciem cennych informacji ( po 12,5%). Wynika z tego, że wybrane przedsiębiorstwa chciały wdrożyć ten system zgodnie z wytycznymi przedstawionymi w normie i nie kierowały się żadnymi dodatkowymi pobudkami takimi jak moda czy konkurencyjność dla innych przedsiębiorstw.
3. Sposób wdrożenia systemu
System może być wdrażany przez firmę samodzielnie lub przy pomocy organu zewnętrznego. To właśnie samodzielności wdrażania dotyczyło następne poruszone zagadnienie, na które respondenci odpowiadali kolejno: tak lub nie.
4. Czas potrzebny na wprowadzenie systemu PN ISO/IEC 27001:2007
Prowadząc badania warto było poznać okres wdrażania Systemu Zarządzania Bezpieczeństwem Informacji. Było to kolejne zagadnienie ujęte w przeprowadzonej ankiecie. Możliwe warianty odpowiedzi były następujące: a) Poniżej 6 miesięcy; b) Od 6 do 12 miesięcy; c) Od 12 do 18 miesięcy; d) Od 18 do 24 miesięcy; e) Powyżej 24 miesięcy. Poniższy wykres (Rys.3.) świadczy o tym, że tylko 25% badanych potrzebowała na wprowadzenie systemu mniej niż 6 miesięcy. Najwięcej respondentów (57,5%) wdrożyła system w okresie od 6 do 12 miesięcy. 10% badanych podawała odpowiedz 1,5 roku, a 5% badanych 2 lata. Była też jednostka, której czas wdrażania systemu zajął ponad 2 lata. Przyczyn takich wyników może być wiele. Na pewno należy wspomnieć o sytuacji wewnątrz firmy wdrażającej system jak i sytuacji w środowisku ją otaczającym. Przykładami czynników wpływających na czas wprowadzenia tego systemu może być:
wielkość organizacji;
zakres działalności organizacji;
czas na wyszkolenie pracowników w zakresie wiedzy na temat systemu PN ISO/IEC 27001:2007;
liczba pracowników pracujących w organizacji;
budżet przedsiębiorstwa.
5. Kwestia zmiany systemu informatycznego firmy
Prowadząc badania istotne było również poznanie odpowiedzi na pytanie dotyczące konieczności (alternatywnie braku) całkowitej zmiana systemu informatycznego firmy po wdrożeniu PN ISO/IEC 27001:2007. Respondenci mogli zareagować odpowiadając:
a) Tak
b) Nie.
Z powyższego wykresu (Rys.4.) wynika, że system ISO 27001 nie zmusił do całkowitej zmiany systemu informatycznego. Taką odpowiedz podało aż 92.5%. W pozostałych przypadkach(7.5%) należało wprowadzić nowy system informatyczny. Taki rozkład odpowiedzi jest przede wszystkim wynikiem rodzaju działalności przedsiębiorstw. Zmiany były konieczne w firmach zajmujących się działalnością przede wszystkim teleinformatyczną co potem potwierdziło się po sprawdzeniu kwestii profilu danego przedsiębiorstwa. Firmy takie mogły sobie pozwolić na istotne zmiany w tym systemie oraz posiadały odpowiedni sztab ludzi, którzy mogliby zająć się tą kwestią.
6. Problemy ze zmianą systemu informatycznego w przedsiębiorstwach
Biorąc pod uwagę odpowiedzi dotyczące konieczności zmiany systemu informatycznego firmy istotne jest poznanie problemów spowodowanych powyższa zmianą. Ankietowane firmy mogły wskazać następujące warianty odpowiedzi:
a) Problem z przekazywaniem informacji wewnątrz i na zewnątrz firmy.
b) Problem z wykonywaniem poleceń.
c) Problemy spowodowane częstym sypaniem się systemu.
d) Inne (jakie?)
Na powyższym wykresie (Rys.5) można zauważyć, że jednym z problemów było przekazywanie informacji wewnątrz i na zewnątrz firmy. Taką odpowiedz podała jedna spośród trzech firm odpowiadających na to pytanie. Dwie pozostałe uznały, że problemy były wynikiem częstego „sypania się” systemu. Na tej podstawie można stwierdzić, że system nie funkcjonował tak dokładnie jak powinien a także utrudnił przepływ informacji, zarówno wewnątrz i jak i poza firmą.
a) Tak
b) Nie
Na podstawie wykresu (Rys.6.) widzimy wyraźnie, że problemy te nie miały żadnego odniesienia do jakości usług świadczonych przez ankietowane firmy. Powstałe utrudnienia nie spowodowały zaburzeń podczas wykonywanej pracy oraz w dostawie usługi do klienta.
7. Audyty wewnętrzne
Wariant c (mniej niż 2 razy na 3 lata) wybrało 7,5% respondentów. W przypadku jednej z badanych firm częstotliwość audytów wewnętrznych jest różna od narzucanych możliwości wyboru. Można powiedzieć, że firmy często i w konsekwencji systematycznie prowadzą audyty wewnętrzne, które są istotne dla prawidłowego i coraz lepszego funkcjonowania systemu PN ISO/IEC 27001:2007.
8. Funkcjonowanie systemu zarządzania informacjami po wdrożeniu systemu PN ISO/IEC 27001:2007
Ważnym zagadnieniem jest oczywiście działanie systemu zarządzania oraz ochrony informacji w przedsiębiorstwie po wdrożeniu całego systemu. Dlatego też, ankietowani zostali poproszeni o odpowiedź w tym zakresie. Możliwości reakcji były następujące:
1.) System funkcjonuje lepiej niż dotychczas, ale utrudnienia przy jego wdrażaniu były problematyczne;
2.) System funkcjonuje zdecydowanie lepiej;
3.) System funkcjonuje zdecydowanie gorzej, nie był potrzebny, a jego wdrożenie zajęło dużo czasu;
4.) Nie mam zdania na ten temat, ponieważ system po prostu należało wdrożyć.
Rozkład odpowiedzi, świadczy o zdecydowanym polepszeniu zarządzania informacji oraz ich ochrony w badanych przedsiębiorstwach. Można więc wnioskować, że norma dotycząca systemu została dobrze skonstruowana i nie posiada w swojej treści żadnych błędów, które mogłyby przełożyć się na praktyczne działanie systemu. Mały odsetek ankietowanych podkreśla jedynie problemy we wdrażaniu systemu, jednak jego funkcjonowanie uważa za lepsze. Problemy przy jego wprowadzeniu mogą wynikać z braku odpowiedniej wiedzy pracowników, braku szkoleń czy też z błędami firmy wprowadzającej system i prawdopodobnie są w ogóle niezwiązane z konstrukcją samej normy. Udzielone odpowiedzi pokazuje poniższy wykres (Rys.9.).
9. Porównanie pozycji badanych przedsiębiorstw po wdrożeniu systemu PN ISO/IEC 27001:2007
Wiadomym jest, że po wprowadzeniu jakiegokolwiek systemu pozycja firmy na rynku może umocnić się, jeżeli ten działa poprawnie lub obniżyć się, gdy system nie spełnia swojej funkcji i wręcz dezorganizuje pracę całego przedsiębiorstwa. Dlatego też ankietowani zostali zapytani o tą kwestie. Przeważająca liczba respondentów dokonała odpowiedzi (Rys.10.), że pozycja ich przedsiębiorstw na rynku zdecydowanie umocniła się. Znowu świadczy to o odpowiednim skonstruowaniu całej normy oraz o tym, że system został wdrożony poprawnie, jak również o tym, że konsumenci korzystający z usług danego przedsiębiorstwa darzą je większym zaufaniem, gdy to posiada system PN ISO/IEC 27001:2007. Można też stwierdzić, że konkurencyjność przedsiębiorstwa z tym systemem jest większa.
10. Jakość sposobu przekazywania informacji w przedsiębiorstwie po wdrożeniu systemu PN ISO/IEC 27001:2007
Najbardziej istotną kwestią w cały badaniu jest indywidualna ocena wprowadzonego systemu przez ankietowanych. Zadane pytanie dotyczyło usprawnienia lub utrudnienia sposobu przekazywania informacji w przedsiębiorstwie, czyli ogólnie rzecz biorąc jakości wysyłania/odbioru danych. Odpowiedzi nie były narzucane, więc każdy respondent mógł wyrazić swoją opinię lub przedstawiał zdanie pracowników dotyczące działania systemu (Rys.11).
Podsumowanie
Po przeprowadzeniu badania i dokonaniu analizy wyników z ankiet nasuwa się wniosek, że system PN ISO/IEC 27001:2007 jest doskonałym narzędziem do zarządzania i ochrony informacji w przedsiębiorstwach niezależnie od ich wielkości, branży i położenia. Sprawdza się również stwierdzenie, że wprowadzenie systemu opartego na postanowieniach normy PN ISO/IEC 27001:2007 pozwala przedsiębiorstwu na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie. Wprowadzony system polepsza sposób przepływu informacji oraz chroni je przed wykradnięciem czy niepowołanym dostępem. Jedynym utrudnieniem jest zwiększenie zakresu obowiązków pracowników oraz powiększenie liczby dokumentów, ze względu na potrzebę prowadzenia dokumentacji systemowej. Firmy poddane badaniu zgodnie twierdzą, że system umocnił pozycję ich przedsiębiorstw na rynku oraz zwiększył ich konkurencyjność. Ogólna ocena systemu jest na pewno pozytywna i wynika to z przeprowadzonego badania oraz jego funkcjonowania w wybranych firmach, które udało się poddać ankiecie. Należy również dodać, że zabezpieczenie informacji w ogromnym stopniu wiąże się z zarządzaniem jakością, a mianowicie skoordynowanymi działaniami, dotyczącymi kierowania organizacją i jej nadzorowania w odniesieniu do jakości, ponieważ wprowadzenie tego systemu jest tego typu skoordynowanym działaniem. Tym samym rodzajem działań są częste audyty wewnętrzne, które doskonalą funkcjonowanie całej aparatury systemowej. Świadczy to o tym, że przedsiębiorstwa dbają o jakość swoich wyrobów jakimi są w tym wypadku ważne dane i informacje. Wpływa to na wizerunek przedsiębiorstwa, które może szczycić się doskonałą jakością wykonywanych usług oraz produkowanych dóbr.
Autorzy: Edyta Czarnacka
Izabela Dębosz
Magdalena Pietrzyk