المرحلة الرابعة من الاستجابة العاطفية للتغيير هي الاكتئاب. سنخبرك في هذه المقالة عن تجربتنا في اجتياز المرحلة الأطول والأكثر إزعاجًا - حول التغييرات في العمليات التجارية للشركة من أجل تحقيق امتثالها لمعيار ISO 27001.
توقع
كان السؤال الأول الذي طرحناه على أنفسنا بعد اختيار هيئة التصديق والاستشاري هو كم من الوقت نحتاجه حقًا لإجراء جميع التغييرات اللازمة؟
تمت جدولة خطة العمل الأولية بحيث كان علينا إكمالها في غضون 3 أشهر.
بدا كل شيء بسيطًا: كان من الضروري كتابة بضع عشرات من السياسات وإجراء تغييرات طفيفة على عملياتنا الداخلية؛ ثم قم بتدريب الزملاء على التغييرات وانتظر 3 أشهر أخرى (حتى تظهر "السجلات"، أي دليل على عمل السياسات). يبدو أن هذا كل شيء، وكانت الشهادة في جيوبنا.
بالإضافة إلى ذلك، لم نكن نكتب السياسات من الصفر - بعد كل شيء، كان لدينا مستشار، كما اعتقدنا، كان من المفترض أن يقدم لنا جميع القوالب "الصحيحة".
ونتيجة لهذه الاستنتاجات، خصصنا 3 أيام لإعداد كل سياسة.
كما أن التغييرات التقنية لم تبدو شاقة: كان من الضروري إعداد عملية جمع وتخزين الأحداث، والتحقق مما إذا كانت النسخ الاحتياطية تتوافق مع السياسة التي كتبناها، وتحديث المكاتب بأنظمة التحكم في الوصول عند الضرورة، وبعض الأشياء الصغيرة الأخرى .
يتكون الفريق الذي يقوم بإعداد كل ما هو ضروري للحصول على الشهادة من شخصين. خططنا أنهم سيشاركون في التنفيذ بالتوازي مع مسؤولياتهم الرئيسية، وهذا سيستغرق كل منهم بحد أقصى 1,5-2 ساعة في اليوم.
لتلخيص ذلك، يمكننا القول أن نظرتنا لنطاق العمل القادم كانت متفائلة للغاية.
واقع
في الواقع، كان كل شيء مختلفًا بشكل طبيعي: فقد تبين أن نماذج السياسة التي قدمها المستشار غير قابلة للتطبيق في الغالب على شركتنا؛ لم تكن هناك معلومات واضحة تقريبًا على الإنترنت حول ما يجب فعله وكيفية القيام به. وكما يمكنك أن تتخيل، فإن خطة "كتابة سياسة واحدة في 3 أيام" فشلت فشلاً ذريعًا. لذلك توقفنا عن الالتزام بالمواعيد النهائية منذ بداية المشروع تقريبًا، وبدأ مزاجنا في الانخفاض ببطء.
وكانت خبرة الفريق صغيرة إلى حد كارثي - لدرجة أنه لم يكن كافياً حتى طرح الأسئلة الصحيحة على المستشار (الذي، بالمناسبة، لم يُظهر الكثير من المبادرة). بدأت الأمور تتحرك بشكل أبطأ، لأنه بعد 3 أشهر من بدء التنفيذ (أي في الوقت الذي كان يجب أن يكون فيه كل شيء جاهزًا)، غادر أحد المشاركين الرئيسيين الفريق. تم استبداله برئيس جديد لخدمة تكنولوجيا المعلومات، والذي كان عليه إكمال عملية التنفيذ بسرعة وتزويد نظام إدارة أمن المعلومات بكل ما هو ضروري من الناحية الفنية. بدت المهمة صعبة.. بدأ المسؤولون يشعرون بالاكتئاب.
بالإضافة إلى ذلك، تبين أن الجانب الفني من المشكلة يحتوي أيضًا على "فروق دقيقة". نحن نواجه مهمة تحديث البرامج العالمية سواء على محطات العمل أو على أجهزة الخادم. أثناء إعداد النظام لجمع الأحداث (السجلات)، اتضح أنه لم يكن لدينا ما يكفي من موارد الأجهزة لتشغيل النظام بشكل طبيعي. ويحتاج برنامج النسخ الاحتياطي أيضًا إلى التحديث.
حرق: ونتيجة لذلك، تم تنفيذ نظام إدارة أمن المعلومات (ISMS) بشكل بطولي خلال 6 أشهر. ولم يمت أحد حتى!
ما الذي تغير أكثر؟
وبطبيعة الحال، أثناء تنفيذ المعيار، حدث عدد كبير من التغييرات الصغيرة في عمليات الشركة. لقد أبرزنا أهم التغييرات بالنسبة لك:
- إضفاء الطابع الرسمي على عملية تقييم المخاطر
في السابق، لم يكن لدى الشركة عملية رسمية لتقييم المخاطر، بل كانت تتم فقط بشكل عابر كجزء من التخطيط الاستراتيجي الشامل. إحدى أهم المهام التي تم حلها كجزء من الشهادة هي تنفيذ سياسة تقييم المخاطر الخاصة بالشركة، والتي تصف جميع مراحل هذه العملية والأشخاص المسؤولين عن كل مرحلة.
- التحكم في وسائط التخزين القابلة للإزالة
كان أحد المخاطر الكبيرة التي تواجه الأعمال هو استخدام محركات أقراص USB المحمولة غير المشفرة: في الواقع، يمكن لأي موظف كتابة أي معلومات متاحة له على محرك أقراص فلاش، وفي أحسن الأحوال، فقدها. كجزء من الشهادة، تم تعطيل القدرة على تنزيل أي معلومات على محركات الأقراص المحمولة في جميع محطات عمل الموظفين - وأصبح تسجيل المعلومات ممكنًا فقط من خلال تطبيق مقدم إلى قسم تكنولوجيا المعلومات.
- تحكم فائق للمستخدم
كانت إحدى المشاكل الرئيسية هي حقيقة أن جميع موظفي قسم تكنولوجيا المعلومات يتمتعون بحقوق مطلقة في جميع أنظمة الشركة - حيث كان لديهم إمكانية الوصول إلى جميع المعلومات. وفي الوقت نفسه، لا أحد يسيطر عليهم حقًا.
لقد قمنا بتنفيذ نظام منع فقدان البيانات (DLP) - وهو برنامج لمراقبة تصرفات الموظفين الذي يقوم بتحليل الأنشطة الخطيرة وغير المنتجة وحظرها والتنبيه بها. يتم الآن إرسال التنبيهات حول تصرفات موظفي قسم تكنولوجيا المعلومات إلى عنوان البريد الإلكتروني لمدير عمليات الشركة.
- نهج تنظيم البنية التحتية للمعلومات
تتطلب الشهادة تغييرات وأساليب عالمية. نعم، كان علينا ترقية عدد من معدات الخادم بسبب زيادة الحمل. وعلى وجه الخصوص، قمنا بتخصيص خادم منفصل لأنظمة جمع الأحداث. تم تجهيز الخادم بمحركات أقراص SSD كبيرة وسريعة. لقد تخلينا عن برامج النسخ الاحتياطي واخترنا أنظمة التخزين التي تحتوي على جميع الوظائف الضرورية خارج الصندوق. لقد اتخذنا العديد من الخطوات الكبيرة نحو مفهوم "البنية التحتية كرمز"، مما سمح لنا بتوفير مساحة كبيرة على القرص من خلال التخلص من النسخ الاحتياطي لعدد من الخوادم. في أقصر وقت ممكن (أسبوع واحد)، تمت ترقية جميع البرامج الموجودة على محطات العمل إلى نظام التشغيل Win1. إحدى المشكلات التي حلها التحديث هي القدرة على تمكين التشفير (في الإصدار الاحترافي).
- السيطرة على المستندات الورقية
واجهت الشركة مخاطر كبيرة مرتبطة باستخدام المستندات الورقية: فقد يتم فقدانها، أو تركها في المكان الخطأ، أو إتلافها بشكل غير صحيح. لتقليل هذه المخاطر، قمنا بتمييز جميع المستندات الورقية وفقًا لمستوى السرية وقمنا بتطوير إجراء لتدمير أنواع مختلفة من المستندات. الآن، عندما يفتح الموظف مجلدًا أو يأخذ مستندًا، فإنه يعرف بالضبط الفئة التي تقع فيها هذه المعلومات وكيفية التعامل معها.
- استئجار مركز بيانات احتياطية
في السابق، تم تخزين جميع معلومات الشركة على خوادم موجودة في مركز بيانات آمن تابع لجهة خارجية. ومع ذلك، لم تكن هناك إجراءات طوارئ مطبقة في مركز البيانات هذا. كان الحل هو استئجار مركز بيانات سحابي احتياطي وإجراء نسخ احتياطي لأهم المعلومات هناك. حاليًا، يتم تخزين معلومات الشركة في مركزي بيانات بعيدين جغرافيًا، مما يقلل من مخاطر خسارتها.
- اختبار استمرارية الأعمال
كان لدى شركتنا سياسة استمرارية الأعمال (BCP) المعمول بها منذ عدة سنوات، والتي تصف ما يجب على الموظفين فعله في مختلف السيناريوهات السلبية (فقدان الوصول إلى المكتب، والوباء، وانقطاع التيار الكهربائي، وما إلى ذلك). ومع ذلك، لم نقم مطلقًا بإجراء اختبار الاستمرارية - أي أننا لم نقم أبدًا بقياس المدة التي ستستغرقها استعادة الأعمال في كل من هذه المواقف. استعدادًا لتدقيق الشهادة، لم نفعل ذلك فحسب، بل قمنا أيضًا بتطوير خطة اختبار استمرارية الأعمال للعام المقبل. تجدر الإشارة إلى أنه بعد مرور عام، عندما واجهنا الحاجة إلى التحول بالكامل إلى العمل عن بعد، أكملنا هذه المهمة في ثلاثة أيام.
من المهم أن نلاحظأن جميع الشركات التي تستعد للحصول على الشهادة لديها شروط بداية مختلفة - لذلك، في حالتك، قد تكون هناك حاجة إلى تغييرات مختلفة تمامًا.
ردود فعل الموظفين على التغييرات
ومن الغريب - هنا توقعنا الأسوأ - لم يكن الأمر سيئًا للغاية. ولا يمكن القول إن الزملاء استقبلوا خبر الشهادة بحماس كبير، ولكن كان ما يلي واضحا:
- لقد فهم جميع الموظفين الرئيسيين أهمية هذا الحدث وحتميته؛
- نظر جميع الموظفين الآخرين إلى الموظفين الرئيسيين.
بالطبع، ساعدتنا تفاصيل صناعتنا كثيرًا - الاستعانة بمصادر خارجية للوظائف المحاسبية. تتعامل الغالبية العظمى من موظفينا بشكل جيد مع التغييرات المستمرة في التشريعات الروسية. وبناء على ذلك، فإن إدخال بضع عشرات من القواعد الجديدة، التي يجب مراعاتها الآن، لم يكن شيئا خارجا عن المألوف بالنسبة لهم.
لقد قمنا بإعداد تدريب واختبار إلزامي جديد لمعيار ISO 27001 لجميع موظفينا. قام الجميع بطاعة بإزالة الملاحظات اللاصقة التي تحتوي على كلمات مرور من شاشاتهم وقاموا بإزالة المكاتب المليئة بالمستندات. لم يتم ملاحظة أي استياء عالٍ - بشكل عام، كنا محظوظين جدًا بموظفينا.
وهكذا تجاوزنا المرحلة الأكثر إيلاما - "الاكتئاب" - المرتبطة بالتغيرات في عملياتنا التجارية. لقد كان الأمر صعبًا وصعبًا، لكن النتيجة في النهاية فاقت كل توقعاتنا.
اقرأ المواد السابقة من السلسلة:
5 مراحل لحتمية الحصول على شهادة ISO/IEC 27001 اكتئاب.
5 مراحل لحتمية الحصول على شهادة ISO/IEC 27001 تبني.
المصدر: www.habr.com