סוף העולם שמאלה: הכנה ל-ISO 27001 בזנזיבר
יחידת העלית של GSECTRA – המרצים במסלול ISO 27001 Lead Auditor
מאת מירב ורד, מנכל"ית חברת יעוץ אבטחת המידע DataSEC מקבוצת SQLink
לאחר רצף טיסות מייגע בן 15 שעות, נחתתי במה שנדמה היה באותו רגע כארץ המובטחת, שבני ישראל הלכו 40 שנה במדבר בכדי להגיע אליה. יכולתי להישבע שלי לקח יותר זמן. דלת המטוס נפתחה ומשב רוח חם ולח הכה בפניי. הגעתי לזנזיבר – אי קטן באפריקה, ממזרח לטנזניה, המונה כמיליון תושבים וידוע בעיקר בתעשיות התבלינים והתיירות שלו. התושבים המוסלמים כהי העור, דוברים סווהילית ומסבירי פנים. נסעתי במונית מקרטעת בכבישי האי היפהפה, הגדוש בצמחייה, עצי קוקוס גבוהים וריח של ים. עד מהרה נזכרתי במורשת הפולנית שלי והבנתי כי לא אצליח ליהנות מכל אלו. אני הגעתי לעבוד.
הפרויקט יצא לדרך בשנת 2005, בחסותו הגאה של נשיא זנזיבר דאז, עבייד קרומֶה. הגעתי מטעם חברת Securitree International הישראלית, שזכתה במכרז בינלאומי לתכנון, ליווי והקמה של אתר הממשלה בו יופקו תעודות זהות ביומטריות מתקדמות לתושבי האי. תחילתו של הפרויקט היתה בבחירת מיקום פיזי להקמתו של האתר, בו היינו אמורים לשלב, בין היתר, כלים ותהליכי אבטחה פיזית מחמירים. בביקורי הראשון באי נפגשתי עם הנשיא, שביקש כי אבחר בין שלוש אופציות בהן ניתן יהיה להקים את האתר. לצורך כך, קבעתי להיפגש עם מוחמד, ממונה הבטחון של זנזיבר. זכורה לי היטב חווית הנסיעה הזו. מוחמד התנצל על שעליו לעצור בדרך בשוק, לצורך קניות של מצרכי מזון לשלוש נשותיו. מוחמד ערך קניות בשיטת ה-Drive-Thru, תוך שהוא עוצר בסמוך לרוכלים שישבו על שבילי העפר, מוציא את ראשו מחלון הרכב, מקבל את הסחורה ומשליך אותה למרגלותיי. עד מהרה, היו נעליי מוקפות בדגי קרפיון מפרפרים, חצאי דלעת ענקית ופירות טרופיים.
כשנתיים מאוחר יותר, נתבקשנו להכין את האתר להסמכה לתקני ISO 9001 ו-ISO 27001 (בזמנו נקרא 17799). תהליך ההכנה דרש גיבוש של תהליכים סיסטמטיים קפדניים, מילוי שוטף של טפסים, דיווח ושיפור מתמיד. ממשלת זנזיבר לא היתה אז ממוחשבת ואפילו שרי הממשלה הבכירים לא ערכו היכרות אישית עם מקלדת. תקני ISO היו זרים לחלוטין באי ותהליכי עבודה מתועדים המובנים על בסיס מתודולוגיה מוגדרת, לא היו מוכרים כלל. מנקודת מוצא זו, ציפיתי לפרוייקט חורק שיניים. אך כפי שאמר פעם אחד משחקני הכדורגל, המציאות היתה שונה ב-360 מעלות. מנהל האתר, מוחמד (אחר), אדם מבריק ורהוט, הקשיב בלהט לכל תיאור של תהליך חדש שגיבשתי, למד במהרה והנחיל בדייקנות את התהליכים וההוראות בקרב עובדיו. ארבעים עובדי האתר הלכו בדרכו בקפדנות רבה. לאחר שבעה ביקורים נוספים היה האתר מוכן למבדק ההסמכה. טסתי לזנזיבר עם שוקי פרייס ממכון התקנים ושם עברנו את שני המבדקים בשבחים רבים. למחרת, ערכה הממשלה מסיבת עיתונאים מפוארת, בה סיפר מנהל האתר הגאה על תהליכי ההכנה שעבר.
חברת DataSEC מקבוצת SQLINK ממשיכה ללוות את ממשלת זנזיבר במבדקי ההסמכה השנתיים. אתר הנפקת תעודות הזהות של ממשלת זנזיבר, היה הארגון הראשון באפריקה שהוסמך לתקן 27001 ISO ועד עצם היום הזה מהווה מוקד עלייה לרגל לנשיאים ולראשי ממשלות מרחבי אפריקה כולה, שמגיעים לראות מקרוב איך נראית הצלחה…
