Cît costă SMSI/ISO 27001?

Vroiam să scriu despre altele dar……

“Certificare ISO la preţuri speciale – 599 euro”…E un anunţ primit prin mail de la un amic. Mă încăpăţînez, fiind suficient de naiv, dar în limite legale, să întreb: onoare, mai există pe la unii?  Sau asta este starea de “normalitate”?

Sînt convins că, nefiind o cerinţă legală, foarte puţini doritori ar mai fi prin piaţă, dacă în cazul licitaţiilor publice nu s-ar solicita acest “carton” ….Cîţi ar implementa pentru că este recunoscut ca “best practices”? Cîte firme îl cer partenerilor de afaceri? …Business rules..de Romania…..

 

Cît costă, deci? …….Cît plătim…….Ăsta ar fi un răspuns caustic…..you get what you pay…Sau răspunsul clasic de consultant: Depinde.

Lucrurile ar trebui să stea cam aşa.

 

  • Information security înseamnă mai mult decît IT security. SMSI depăşeşte sfera IT.
  • Prin urmare, ca firmă, ne uităm ce resurse interne avem, pentru că resursele acestea vor fi implicate în proiect.
  • Consultantul? Cel puţin 30 de zile om muncă, cel puţin 2 oameni! …. Bine, am exagerat  se poate şi într-o zi, două…..maxim 7…indiferent de dimensiunea şi obiectul de activitate…you get what you pay…….
  • Costurile cu certificarea, supravegeherea şi recertificarea? Diferă de la organismele de certificare internă (SRAC, SIMTEX….) la cele de certificare externă……you get what you pay
  • Costurile cu implementarea controalelor?…Despre acestea se face vorbire mai rar. Nu le poate estima consultantul. Depind în cea mai mare măsură de controalele implementate (unele există cu certitudine în firmă, dar nu funcţionaeză corect)… you get what you pay…există cel puţin o modalitate prin care un risc poate fi tratat: îl accepţi as it is🙂.

În concluzie, fie că e vorba de 599 de euro, fie de 7000 sau 12000, sînt preţuri foarte corecte. Pentru că existînd în piaţă, înseamnă că există cerere şi ofertă…Că dacă nu ar fi nu s-ar mai povesti…

 

ISO develops International Standards but does not operate any schemes for assessing conformance with them.”🙂

26 de gânduri despre “Cît costă SMSI/ISO 27001?

  1. Și totuși CHIAR NU există organisme, cel puțin internaționale, care să fie sesizate despre certificări la colțul blocului?
    Prin ce se diferențiază cartonul pe care-l obții pentru 599 de euro de cel de 7-15 mii?
    Cine se ocupă de frustrarea clienților care au făcut implementări de 6-12 luni față de cei care cumpără certificatul cu 599 Eur?

    Apreciază

  2. Conformitatea cu cerinţele standardului este strict problema organismelor de certificare!

    În exemplul meu nu „cartonul” costă 599 de euro ci „consultanţa” pentru obţinerea sa.

    Pentru frustrare există alte leacuri🙂

    Apreciază

  3. Scump, domnu’, scump, dincolo era mai ieftin: E un nene cu 300 de euro (nu ştiu dacă TVA inclus sau nu), şi alţii la 450. Durează o săptămână şi eşti 100% pregătit.

    Acesta este rezultatul unei cereri artificiale induse de statul român, care solicită 5 standarde (9001, 14001, 18001, 27001 şi SA 8000) cam la orice licitaţie publică şi se ajunge la situaţii aberante în care ai o firmă de 2-10 angajaţi cu un sistem integrat de management. La un obiect de activitate gen instalaţii electrice, montat termopane sau construcţii.

    Pe de altă parte, se pare că ASRO a început o mişcare de protejare a mărcii ISO care înclin să cred că va duce la eliminarea de pe piaţă a acestor oferte (deşi atâta timp cât va exista cererea va fi greu).

    Apreciază

  4. Mda, ASRO, brrr… m-am si speriat. Nu cumva ei au generat asta prin faptul ca exista un standard national de certificare???? Nu cumva sunt cei care au acceptat traducerea aia de prost gust a lui 27K?
    Uita-te la raportul de pe 2008 (ca ala de pe 2009 ne trebe un an sa-l producem) sa vezi monstra de maturitate – cele mai importante metrice sunt cate pagini au tiparit si vandut!!! Cam tot atatea pagini am tiparit si eu!!! Uita-te si printre randuri si o sa vezi ca aprox 75% din standarde au fost cumparat de top 10 clienti. Singurul lucru care o sa-l faca e sa ia pe aia inregistrati si sa verifice ca au macar standardul cumparat pe numele lor. Atat pot sa faca. Mai e pana departe…..

    Apreciază

  5. Hit me baby, stii unde ma gasesti!!

    Eu cred ca sunt foarte vinovati, cu RENAR-ul lor cu tot, cu totii la pachet, compara ce si-au propus, ce au facut de-a lungul anilor. Le dau 20 ani, si fii sigur ca o sa fac tot posibilul sa traiesc pana atunci si o sa ne vedem tot aici.

    E stupid sa le spun la studenti ca eu lucrez intr-o nisa care se cheama ISO27K si ISO20K, intr-o tara cu mii de companii certificate cum numa China mai are!!!

    Apreciază

  6. Dupa cum spuneam, economiceste vorbind, pretul este dat de cerere si oferta. Dar aici vorbim de practica. Si ma roade invidia profesioanla….
    Pe majoritatea certificatelor din Ro este trecut la domeniul SMSI obiectul de activitate al firmei. Baietii aia care in citeva zile si pentru citeva sute de euro pun pe picioare un astfel de SMSI sint geniali!!!! Genii!!!!

    Apreciază

  7. @Coco,
    n-am nici o adresă. Ţi-am găsit profilul pe LinkedIN şi ţi-am făcut acolo o invitaţie.
    @Adrian
    nu cred că putem vorbi de genii, nici măcar în sens ironic. Cred că este mai degrabă o adaptare a ofertei la cerere. Când clientul vede oferta de 300-450-599 euro pe piaţă ŞI NU ŞTIE despre ce este vorba, nu prea ai cum să-l educi sau să-l faci să înţeleagă. Pentru el este încă o cheltuială impusă arbitrar de stat, un fel de şpagă să intre la licitaţie.
    Cei care ştiu şi înţeleg despre ce este vorba, ignoră pur şi simplu asemenea oferte şi merg pe recomandări sau reputaţie.
    Asta este, există şi Logan şi Lexus.

    Apreciază

  8. Cristian: 300 era pentru ISO9001
    Chestia cu educatia e super faina… dar cine sa faca o educatie pro calitate?
    In primul rand poate ca nu ar trebui impus ISO27001 la toti buticarii ci doar la cei care au de a face cu securitatea informatiilor? Hai sa fim seriosi, daca pui termopan nu ai acces la nici un document … cat de cat confidential, dar daca faci sistemul de securitate video al unei banci, cred ca e cam trichi, ar trebui sa sufli si in iaurt inainte de a te angaja cu cineva in firma caruia practic poate intra oricine.

    Fain articolul ala din Jurnalul. As mai adauga o completare acolo: E mai mult decat lipsa de educatie ce se intampla cu noi. Este prostie nativa! Suntem indobitociti prin iobagie, fanariotizati, comunisto-rusofonizati si alte asemenea chestii balcanice. Nu ma refer la individul dornic de supravietuire, ci la inteligenta colectiva si sociala, de care din pacate o sa ne bucuram doar in scurtele vizite prin vest.
    Parerea mea!

    Apreciază

  9. Adaptarea cererei la ofertă?

    Repet: teoretic lucrurile stau aşa practic însă, eu care nu pricep regulile jocului economic de la noi (nu pot să accept scuzele/motivaţiile ce se aduc unor comportamente), spun că e o mizerie.
    Şi spun asta pentru că, tot teoretic, atunci cînd un auditat se laudă cu o astfel de certificare, eu auditor-CISA, ar trebui să diminuez riscul auditului. Dar oare, pot să îmi permit luxul ăsta?

    Tot teoretic întreb: un salon de cosmetică, certificat ISO 9001, ar trebui să aibă o procedură pentru epilare inghinală, dacă oferă astfel de servicii?

    Nu există doar un singur vinovat pentru că, aşa cum spui tu Cristi, situaţia este mai complexă.

    Oferta aia, acoperă prin livrabile DOMENIUL SCRIS PE CERTIFICAT? În majoritatea cazurilor nu. Situaţia nu se va schimba prea curînd. Şi din nefericire „laissez faire-laissez passer”-ul liberalismului economic s-a dovedit parşiv la noi. Probabil nu va mai exista firmă în RO care să nu aibă toate ISO-urile posibile.

    Vom fi ţara cea mai de calitate, cu mediul cel mai curat, cu cea mai tare securitate, cu angajaţi extraordinar de bine protejaţi, cu toate la superlativ. Vom fi inegalabili şi invidiaţi în orice colţ al lumii. Vom fi mîndri……

    Mai devreme s-au mai tîrziu toate aceste anomalii se vor deconta. Cine va deconta, şi cu ce costuri, rămîne de văzut. Dar cu siguranţă se vor deconta…

    Apreciază

  10. Problema este că la noi este o „industrie” încurajată chiar de statul român, deşi înclin să cred că intenţia originară a fost bună – statul, ca orice beneficiar, trebuie să se asigure că furnizorii au capabilitatea de a furniza produsul/serviciul în parametri ceruţi. Din păcate, s-a ajuns la excese, auto-alimentate, fiindcă iniţial se cerea ISO 9001 şi din ce în ce în ce mai multe firme aveau, apoi mediu, că dă bine, apoi sănătatea şi securitatea în muncă şi de aici până la securitatea informaţiilor şi responsabilitate socială (care e un standard american inaplicabil în România!!!!) nu a fost decât un pas.

    Pe de altă parte însă, dincolo de ridicolul situaţiei, există şi un aspect pozitiv. Treptat, formele ajung să creeze fondul. Managementul companiilor româneşti este unul absolut dezastruos. Aşa ajung să cunoască şi ei nişte bune practici şi mai prin bunăvoinţa consultantului, ba de la auditorul de la organismul de certificare, ba dintr-o lectură a standardelor ajung să cunoască şi să înţeleagă şi ei ceva şi ajung să pună în practică mai un control al documentelor şi înregistrărilor, mai o gestionare a reclamaţiilor şi opiniilor (eu am început să primesc un chestionar de „satisfacţie a clienţilor” din ce în ce mai des), deja e un progres.

    Decontarea anomaliilor va începe să se facă atunci când reputaţia va începe să conteze şi la noi şi atunci organismele care şi-au dat certificările fără ca măcar un auditor să ajungă la firma respectivă vor ieşi de pe piaţă. [Din păcate, nu doar cele româneşti au coborât jos de tot standardele.]

    Apreciază

  11. Cristi, problema pentru mine nu este că statul cere astfel de certificări.

    Modul în care o cere: o firmă din B4 nu poate să participe la o licitaţie pentru servicii de audit dacă nu are 9001…hmm…Standardele de audit sînt nimicuri pe lîngă această certificate..

    Statul ar fi care va să zică primul actor.
    Al doilea este mul de afaceri, firma. El nu este vinovat. Repet, orice manager vrea optimizare financiară. Dacă ar şti că cineva pune valoare pe acele cartoane, cu siguranţă nu apelează la ofertele de la colţul străzii.

    Actorul nr.3 : „consultantul”. Aici e buba şi putregaiul cele mai mari. De fapt, ce naiba înseamnă „consultant” în Ro?

    Actorul nr. 4: nu îl nominalizez….Dar este la fel de vinovat pentru „ochii închişi” atunci cînd nu trebuie….

    Dacă ISO 27006 recomandă pentru auditul extern al unei companii cu 2-10 angajaţi, 5 zile om muncă, din care 3 on site, cît ar dura implementarea? Cît ar dura implementarea dacă SMSI adresează întregul obiect de activitate al doritorului?….Întrebări de cîrcotaş🙂

    Apreciază

  12. Apropo de ISO9001 şi B4, acum câteva luni am fost abordat de o mare firmă de consultanţă pentru implementare ISO 9001. Le-am făcut o ofertă decentă – oricum, o sumă insignifiantă pentru nivelul lor, cred că şi secretara lor avea un salariu mai mare, dar mi s-a reproşat, şi încă pe un ton indignat, că este foarte mult. Deci cei cu 300 prind inclusiv la firme unde ar trebui să existe un… standard.

    Apreciază

  13. Cum am raspuns si in privat, inteleg ce vrea ASRO, problema lor e numa de protejarea marcii ISO sau iso. In acelasi document tocmai recunosc ca nu o sa faca audit de compliance cu propriul lor standard, asa ca treba de kko o sa merga nestingherita ca si pana acuma

    Apreciază

  14. Dau dreptate celor din B4. Ce proceduri de calitate legate de audit să le faca cineva ce habar nu are de ISA-uri, IAS-uri și alte alea legate de raportări financiare? Este exemplul perfect legat de optimizarea de care făceam vorbire: un instrument care să le faciliteze participarea în licitații, probabil. Au deja propriile proceduri de lucru, validate la nivel de grup.

    Înşelarea intenţionată a unei persoane, prin folosirea minciunii şi escrocheriei, în scopul obţinerii unui avantaj personal necuvenit, social sau economic, cum se numește?

    Am ajuns să avem norme sociale, acceptate şi întărite de grupuri care, indirect, sprijină activități ilegale. În foarte mult cazuri, organizaţia însăşi comite aceste fapte, de multe ori datorită faptului că aceasta poate fi singurul răspuns la cerinţele economice din aceste vremuri.

    Ce observăm, chiar în aceste zile? Instituţiile cu atribuţii de reglementare creează un sistem de inegalităţi şi stimulează impulsurile de agresivitate şi lăcomie.

    Comportamentul actual nu este decît rezultatul valorilor care scuză acest comportament! Și se învață direct sau prin asociere indirectă cu cei care practică acest tip de comportament.

    Apreciază

  15. Editat: Valy ISACA nu are nici o treaba cu implemenarea și auditul în cazul ISO 27001.

    Cristi: Securitate si responsabilitate sociala neaplicabila in Romania? Da-mi voie sa cred, ca daca pornim de la astfel de preconceptii nu avem ce cauta dincolo de Oradea.
    Imi cer scuze daca gresesc. Tu ai un site care da proceduri ISO 27001?

    Coco: Eu sunt mai naiv… asa ca nu cred ca nu exista organisme internationale de verificare si coercitie. Si inca ceva. A patra putere in stat ar putea apara egalitatea dintre marile puteri financiare si cele de apartament. Asta pentru a accentua discrepantele create de anomaliile dumpingului de criza sau prostitutia anumitor consultanti. Totul este sa se stie?! Sa afle? Sau sa fie jurnalisti?

    Cum naiba poti cere 500 de euro pe o implementare care ar dura teoretic pana la 6 luni daca vrei sa o faci cum trebe, sau cat de cat sa treaca de SRAC? Tin minte ca pe noi ne-au chestionat (ca sa nu zic frecat) 2 zile pentru nu stiu ce clasificare a informatiilor. Pai… un om care sa stie sa se bata in piept cu auditorul de la SRAC nu costa doar 100 de eur per zi cu tot cu deplasara lui in site. Sau sunt eu exagerat?

    Nu vreau sa fiu rautacios, dar cumva normele SRAC sunt diferite de la o companie la alta, sau de la un implementator la altul? Sper ca gresesc. Dar din cele 26 de companii listate pe site-ul SRAC cred ca am trecut doar prin jumate din ele… Nu cumva erau mai multe cateva luni in urma?!!!???!!!!??? S-a schimbat ceva intre timp?

    Apreciază

  16. @Vali
    1) Nu mă refeream la responsabilitate socială, ci la standardul SA8000 care este inaplicabil la realităţile economice româneşti, de altfel, ISO urmează să scoată un standard propriu. SA8000 este mai degrabă aplicabil în Asia sau America Latină. La noi, Codul Muncii acoperă cam tot ce cere SA8000.
    2) Da, am un site de proceduri, printre care şi 27001. Sunt template-uri generice. Amuzant este că pe 27001 cumpărători au fost în principal firme de… consultanţă.
    3) Pentru 500 de euro se oferă, de obicei, un set de tempalte-uri de proceduri (poate chiar cele cumpărate de la mine), o abureală de curs (bonus) şi câteva înregistrări prefabricate – câteva pseudo-analize de risc, câteva fişe de incidente şi eventual pus săracii oameni să facă un inventar al computerelor şi extrabonus, al softurilor folosite…

    Apreciază

  17. 😀 Nice, deci tu ai dat template-uri asa cum se face la multe case de profil din lume, ei le-au luat cu 500 si le vand cu 600 la mai multi clienti🙂
    Ai pierdut din punct de vedere economic (cantitativ cota de piata), sau doar ti-ai crescut calitativ cota de piata?😉
    Personal am vrut odata sa cumpar o procedura ca sa vad comparativ cu ce facem noi. Mi s-a parut neetic🙂

    Apreciază

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s