La quarta etapa de la resposta emocional al canvi és la depressió. En aquest article us explicarem la nostra experiència de passar per l'etapa més prolongada i desagradable: els canvis en els processos de negoci de l'empresa per aconseguir el seu compliment amb la norma ISO 27001.
Esperant
La primera pregunta que ens vam fer després de seleccionar l'organisme de certificació i el consultor va ser quant de temps necessitaríem realment per fer tots els canvis necessaris?
El pla de treball inicial estava programat de manera que l'havíem de completar en un termini de 3 mesos.
Tot semblava senzill: calia escriure un parell de dotzenes de polítiques i canviar lleugerament els nostres processos interns; després formar els companys sobre els canvis i esperar 3 mesos més (perquè apareguin “registres”, és a dir, constància del funcionament de les polítiques). Semblava que això era tot, i el certificat estava a la nostra butxaca.
A més, no anàvem a escriure polítiques des de zero; després de tot, teníem un consultor que, com pensàvem, se suposa que ens havia de donar totes les plantilles "correctes".
Com a resultat d'aquestes conclusions, hem destinat 3 dies per preparar cada pòlissa.
Els canvis tècnics tampoc semblaven descoratjadors: calia configurar la recollida i l'emmagatzematge d'esdeveniments, comprovar si les còpies de seguretat s'ajusten a la política que vam redactar, equipar les oficines amb sistemes de control d'accés quan fos necessari i algunes petites coses més. .
L'equip que preparava tot el necessari per a la certificació estava format per dues persones. Vam preveure que s'impliquéssin en la implementació paral·lelament a les seves principals responsabilitats, i això trigaria a cadascun d'ells un màxim d'1,5-2 hores al dia.
Per resumir, podem dir que la nostra visió de l'abast del treball que s'acostava era força optimista.
Realitat
En realitat, tot era naturalment diferent: les plantilles de polítiques proporcionades pel consultor van resultar en la seva majoria inaplicables a la nostra empresa; Gairebé no hi havia informació clara a Internet sobre què i com fer. Com us podeu imaginar, el pla d'"escriure una política en 3 dies" va fallar estrepitosamente. Així que vam deixar de complir els terminis gairebé des del principi del projecte i el nostre estat d'ànim va començar a baixar lentament.
L'experiència de l'equip era catastròficament petita, tant és així que ni tan sols n'hi havia prou amb fer les preguntes adequades al consultor (que, per cert, no va mostrar gaire iniciativa). Les coses van començar a avançar encara més lentament, ja que 3 mesos després de l'inici de la implementació (és a dir, en el moment en què tot hauria d'estar preparat), un dels dos participants clau va abandonar l'equip. Va ser substituït per un nou cap del servei d'informàtica, que va haver de completar ràpidament el procés d'implantació i dotar al sistema de gestió de la seguretat de la informació tot el més necessari des del punt de vista tècnic. La tasca semblava difícil... Els responsables van començar a deprimir-se.
A més, la part tècnica de la qüestió també va tenir "matisos". Ens trobem davant la tasca de modernització global del programari tant en estacions de treball com en equips de servidor. En configurar el sistema per recopilar esdeveniments (registres), va resultar que no teníem prou recursos de maquinari per al funcionament normal del sistema. I el programari de còpia de seguretat també necessitava una modernització.
Spoiler: com a resultat, l'ISMS es va implementar heroicament en 6 mesos. I ni tan sols va morir ningú!
Què ha canviat més?
Per descomptat, durant la implementació de l'estàndard, es van produir un gran nombre de petits canvis en els processos de l'empresa. Hem destacat els canvis més significatius per a vostè:
- Formalització del procés d'avaluació de riscos
Anteriorment, l'empresa no tenia cap procés formal d'avaluació de riscos; només es feia de passada com a part de la planificació estratègica general. Una de les tasques més importants resoltes en el marc de la certificació va ser la implantació de la Política d'Avaluació de Riscos de l'empresa, que descriu totes les etapes d'aquest procés i els responsables de cada etapa.
- Control dels mitjans d'emmagatzematge extraïbles
Un dels riscos importants per a les empreses era l'ús de unitats flash USB no xifrades: de fet, qualsevol empleat podia escriure qualsevol informació disponible en una unitat flash i, en el millor dels casos, perdre-la. Com a part de la certificació, la possibilitat de descarregar qualsevol informació a les unitats flash es va desactivar a totes les estacions de treball dels empleats; només es va poder enregistrar informació mitjançant una aplicació al departament de TI.
- Control de superusuari
Un dels principals problemes va ser el fet que tots els empleats del departament informàtic tenien drets absoluts en tots els sistemes de l'empresa: tenien accés a tota la informació. Al mateix temps, ningú els controlava realment.
Hem implementat un sistema de prevenció de pèrdues de dades (DLP), un programa per controlar les accions dels empleats que analitza, bloqueja i alerta sobre activitats perilloses i improductives. Ara les alertes sobre les accions dels empleats del departament de TI s'envien a l'adreça de correu electrònic del director d'operacions de l'empresa.
- Enfocament per organitzar la infraestructura de la informació
La certificació requeria canvis i enfocaments globals. Sí, vam haver d'actualitzar diversos equips de servidor a causa de l'augment de la càrrega. En particular, hem dedicat un servidor separat per als sistemes de recollida d'esdeveniments. El servidor estava equipat amb unitats SSD grans i ràpides. Vam abandonar el programari de còpia de seguretat i vam optar per sistemes d'emmagatzematge que tinguin totes les funcionalitats necessàries fora de la caixa. Vam fer diversos grans passos cap al concepte "infraestructura com a codi", que ens va permetre estalviar molt d'espai al disc eliminant la còpia de seguretat d'una sèrie de servidors. En el menor temps possible (1 setmana), tot el programari de les estacions de treball es va actualitzar a Win10. Un dels problemes que va resoldre la modernització va ser la possibilitat d'habilitar el xifratge (a la versió Pro).
- Control dels documents en paper
L'empresa tenia riscos significatius associats a l'ús de documents en paper: es podien perdre, deixar-los al lloc equivocat o destruir-los de manera inadequada. Per minimitzar aquest risc, hem marcat tots els documents en paper segons el nivell de confidencialitat i hem desenvolupat un procediment per destruir diferents tipus de documents. Ara, quan un empleat obre una carpeta o agafa un document, sap exactament en quina categoria pertany aquesta informació i com gestionar-la.
- Lloguer d'un centre de dades de còpia de seguretat
Anteriorment, tota la informació de l'empresa s'emmagatzemava en servidors situats en un centre de dades segur de tercers. Tanmateix, no hi havia cap procediment d'emergència en aquest centre de dades. La solució va ser llogar un centre de dades al núvol de còpia de seguretat i fer-hi una còpia de seguretat de la informació més important. Actualment, la informació de l'empresa s'emmagatzema en dos centres de dades geogràficament remots, la qual cosa minimitza el risc de la seva pèrdua.
- Proves de continuïtat del negoci
La nostra empresa té una Política de Continuïtat de Negoci (BCP) en vigor des de fa diversos anys, que descriu què han de fer els empleats en diferents escenaris negatius (pèrdua d'accés a l'oficina, epidèmia, tall de subministrament elèctric, etc.). Tanmateix, mai hem realitzat proves de continuïtat, és a dir, mai hem mesurat quant de temps trigaria a restaurar el negoci en cadascuna d'aquestes situacions. En preparació per a l'auditoria de certificació, no només ho vam fer, sinó que també vam desenvolupar un pla de proves de continuïtat del negoci per a l'any vinent. Val a dir que un any després, davant la necessitat de passar completament al teletreball, vam completar aquesta tasca en tres dies.
És important tenir en compte, que totes les empreses que es preparen per a la certificació tenen condicions d'inici diferents; per tant, en el vostre cas, es poden requerir canvis completament diferents.
Reaccions dels empleats als canvis
Curiosament, aquí esperàvem el pitjor, no va resultar tan dolent. No es pot dir que els companys van rebre la notícia de la certificació amb gran entusiasme, però el següent va quedar clar:
- Tots els empleats clau van entendre la importància i la inevitabilitat d'aquest esdeveniment;
- Tots els altres empleats van admirar els empleats clau.
Per descomptat, les particularitats de la nostra indústria ens van ajudar molt: externalitzar les funcions de comptabilitat. La gran majoria dels nostres empleats s'enfronten bé als canvis constants de la legislació russa. En conseqüència, la introducció d'un parell de dotzenes de regles noves que ara s'han d'observar no va ser una cosa fora del normal per a ells.
Hem preparat una nova formació i proves obligatòries ISO 27001 per a tots els nostres empleats. Tothom va treure obedientment les notes adhesives amb contrasenyes dels seus monitors i va netejar els escriptoris plens de documents. No es va notar cap insatisfacció forta; en general, vam tenir molta sort amb els nostres empleats.
Així, hem passat l'etapa més dolorosa, la "depressió", associada als canvis en els nostres processos de negoci. Va ser dur i difícil, però el resultat al final va superar totes les nostres expectatives més disparades.
Llegeix els materials anteriors de la sèrie:
5 etapes de la inevitabilitat de la certificació ISO/IEC 27001. Depressió.
5 etapes de la inevitabilitat de la certificació ISO/IEC 27001. Adopció.
Font: www.habr.com