Autor: Goran Račić, Infigo IS
Naganjanje ISO standarda i certifikata nije seksi. To nije nešto čime mahneš ljudima i onda oni pohrle jer svi žive za certifikaciju – vendorski certifikati znaju biti fora, čovjek nauči nešto što nije znao, otkrije brži način obavljanja nečega što je prije trajalo sto godina, ali poštivanje standarda je zapravo muka. Korisna muka, ali muka.
Kao što je davno ljudski rod zaključio da je pametno rukovati se jer smo tako vidjeli da ovaj drugi ne drži oružje, moderni svijet je odlučio da su standardi dobri jer se tako lakše posluje. Zapravo, ne samo da se lakše posluje nego su zbog standarda životi postali sigurniji i bolji. Ali usklađivanje s njima zna biti dugotrajan i skup proces.
S druge strane, svi poslovni partneri kad vide određeni standard znaju točno što mogu očekivati bez da kopaju po vašim poslovnim procesima. Pitanje je samo koji vam standardi sve trebaju da biste uspješno poslovali i izgledali ozbiljno pred ostatkom svijeta – ISO, Međunarodna organizacija za standardizaciju, je od svojeg osnutka 1947. izdala preko 24.500 međunarodnih standarda!
No ako stavimo sa strane ISO standarde i neke od većih certifikata, postoje procesi koje tvrtke provode bez da ih bilo tko tjera, ali su itekakva potvrda da su predani onome što rade. SOC 2 Type 1 je jedna od tih stvari, a u Infigo IS-u možemo pričati o njemu jer ga posjedujemo već drugu godinu te razmišljamo o Type 2 u nekoj (skorijoj) budućnosti.
SOC 2 Type 1 nije ni certifikat, makar ga ljudi tako vole nazivati, nego izvješće o usklađenosti. To je skup i zahtjevan proces za cijelu organizaciju koji provode vanjski revizori i pretresaju sve što stavljate u opseg.
SOC 2 stavlja u fokus sigurnost, zapravo radi evaluaciju organizacijskih kontrola nad sigurnosti, dostupnosti, integritetu, povjerljivosti i privatnosti informacija i sustava koji obrađuju te informacije. Koliko je nama poznato, dvije hrvatske tvrtke koje posjeduju SOC 2 Type 1 su Infobip i Infigo IS (domaće urede vanjskih tvrtki ala Google ne uzimamo u obzir).
Infigo IS je odlučio podvrgnuti evaluaciji svoj Managed Security Services (MSS) dio i FRaud and Anti-Money Laundering (FRAML) sustav za sprečavanje prevara i pranja novca. I uz puno posla i pod čvrstom rukom vodiljom našeg konzultanta Danijela Hanžeka, uspjeli smo zadovoljiti stroge prohtjeve vanjskih revizora.
Mnoge organizacije imaju dosta muke jer uspješna provedba često zahtjeva formiranje posebnog tima kojeg si ne mogu baš svi priuštiti, a nemaju ni praktičnih znanja. Kako Infigo IS ima svoj konzultantski odjel, oni su na svoja pleća preuzeli dobar dio tereta te su djelovali kao središnja točka koja je nadzirala proces u ostalim odjelima (MSS, interni IT, prodaja, HR…).
I što smo s tim dobili? Pa, da vam netko kaže “ja osobno garantiram da su svi vaši podaci sigurni *wink, wink*” ili da vam netko kaže “vanjski revizori su pretresli od tehničkih uvjeta do zaposlenika i jamče ovim izvještajem, kojeg možete dobiti na uvid, da su vaši podaci u našem oblaku sigurni”, kome biste vjerovali?