Čtvrtou fází emoční reakce na změnu je deprese. V tomto článku vám povíme o našich zkušenostech z toho, že jsme procházeli nejvleklejší a nejnepříjemnější fází – o změnách v obchodních procesech společnosti, abychom dosáhli souladu s normou ISO 27001.
Čekání
První otázka, kterou jsme si položili po výběru certifikačního orgánu a konzultanta, byla, kolik času skutečně budeme potřebovat na provedení všech nezbytných změn?
Prvotní plán prací byl naplánován tak, že jsme ho museli stihnout do 3 měsíců.
Všechno vypadalo jednoduše: bylo nutné napsat pár desítek zásad a mírně změnit naše interní procesy; pak zaškolte kolegy na změny a počkejte další 3 měsíce (aby se objevily „záznamy“, tedy důkazy o fungování politik). Zdálo se, že to je vše - a certifikát byl v naší kapse.
Navíc jsme nehodlali psát zásady od nuly – koneckonců jsme měli konzultanta, který, jak jsme si mysleli, nám měl dát všechny „správné“ šablony.
V důsledku těchto závěrů jsme vyčlenili 3 dny na přípravu každé politiky.
Technické změny také nevypadaly nijak děsivě: bylo nutné nastavit shromažďování a ukládání událostí, zkontrolovat, zda zálohy odpovídají zásadám, které jsme napsali, dovybavit kanceláře systémy kontroly přístupu tam, kde je to nutné, a několik dalších drobností .
Tým připravující vše potřebné k certifikaci tvořili dva lidé. Plánovali jsme, že se budou podílet na implementaci souběžně se svými hlavními povinnostmi, a to každému z nich zabere maximálně 1,5–2 hodiny denně.
Shrneme-li, lze říci, že náš pohled na nadcházející náplň práce byl poměrně optimistický.
Realita
Ve skutečnosti bylo vše přirozeně jinak: šablony zásad poskytnuté konzultantem se ukázaly být pro naši společnost většinou nepoužitelné; Na internetu nebyly téměř žádné jasné informace o tom, co a jak dělat. Jak si dokážete představit, plán „napsat jednu politiku za 3 dny“ selhal. Téměř od samého začátku projektu jsme tedy přestali plnit termíny a naše nálada začala pomalu klesat.
Odbornost týmu byla katastrofálně malá – natolik, že nestačila ani pokládat ty správné otázky konzultantovi (který mimochodem neprojevoval příliš iniciativy). Věci se daly do pohybu ještě pomaleji, jelikož 3 měsíce po zahájení realizace (tedy v okamžiku, kdy už mělo být vše připraveno) opustil tým jeden ze dvou klíčových účastníků. Nahradil ho nový vedoucí IT služby, který musel rychle dokončit proces implementace a zajistit systému řízení bezpečnosti informací vše nejnutnější z technického hlediska. Úkol vypadal složitě... Ti, kteří to měli na starosti, začali být v depresi.
Kromě toho se ukázalo, že technická stránka problému má také „nuance“. Stojíme před úkolem globální modernizace softwaru jak na pracovních stanicích, tak na serverových zařízeních. Při nastavování systému na sběr událostí (logů) se ukázalo, že nemáme dostatek hardwarových prostředků pro normální fungování systému. A modernizaci potřeboval i zálohovací software.
Spoiler: Výsledkem bylo, že ISMS byl hrdinně implementován za 6 měsíců. A nikdo ani nezemřel!
Co se nejvíce změnilo?
Během implementace standardu samozřejmě došlo k velkému množství drobných změn v procesech společnosti. Vybrali jsme pro vás ty nejvýznamnější změny:
- Formalizace procesu hodnocení rizik
Dříve společnost neměla žádný formální proces hodnocení rizik – prováděla se pouze letmo jako součást celkového strategického plánování. Jedním z nejdůležitějších úkolů řešených v rámci certifikace byla implementace firemní Politiky hodnocení rizik, která popisuje všechny fáze tohoto procesu a osoby odpovědné za jednotlivé fáze.
- Kontrola nad vyměnitelnými paměťovými médii
Jedním z významných rizik pro podnikání bylo používání nešifrovaných USB flash disků: ve skutečnosti si každý zaměstnanec mohl na flash disk zapsat jakékoli informace, které měl k dispozici, a v nejlepším případě je ztratit. V rámci certifikace byla na všech zaměstnaneckých stanicích deaktivována možnost stahování jakýchkoli informací na flash disky – záznam informací byl umožněn pouze prostřednictvím aplikace na IT oddělení.
- Super uživatelská kontrola
Jedním z hlavních problémů byl fakt, že všichni zaměstnanci IT oddělení měli absolutní práva ve všech firemních systémech – měli přístup ke všem informacím. Přitom je nikdo pořádně nekontroloval.
Implementovali jsme systém Data Loss Prevention (DLP) - program pro sledování akcí zaměstnanců, který analyzuje, blokuje a upozorňuje na nebezpečné a neproduktivní činnosti. Na e-mailovou adresu provozního ředitele společnosti jsou nyní zasílány výstrahy o akcích zaměstnanců IT oddělení.
- Přístup k organizaci informační infrastruktury
Certifikace vyžadovala globální změny a přístupy. Ano, kvůli zvýšené zátěži jsme museli upgradovat řadu serverových zařízení. Zejména jsme vyhradili samostatný server pro systémy sběru událostí. Server byl vybaven velkými a rychlými SSD disky. Opustili jsme zálohovací software a rozhodli jsme se pro úložné systémy, které mají všechny potřebné funkce ihned po vybalení. Udělali jsme několik velkých kroků směrem ke konceptu „infrastruktura jako kód“, který nám umožnil ušetřit spoustu místa na disku odstraněním zálohování řady serverů. V nejkratším možném čase (1 týden) byl veškerý software na pracovních stanicích upgradován na Win10. Jedním z problémů, které modernizace vyřešila, byla možnost povolit šifrování (ve verzi Pro).
- Kontrola nad papírovými dokumenty
Společnost měla značná rizika spojená s používáním papírových dokumentů: mohly být ztraceny, ponechány na nesprávném místě nebo nesprávně zničeny. Abychom toto riziko minimalizovali, označili jsme všechny papírové dokumenty podle stupně utajení a vyvinuli postup pro zničení různých typů dokumentů. Nyní, když zaměstnanec otevře složku nebo vezme dokument, přesně ví, do jaké kategorie tyto informace spadají a jak s nimi naložit.
- Pronájem záložního datového centra
Dříve byly všechny informace o společnosti uloženy na serverech umístěných v zabezpečeném datovém centru třetí strany. V tomto datovém centru však nebyly zavedeny žádné nouzové postupy. Řešením bylo pronajmout si záložní cloudové datové centrum a tam zálohovat nejdůležitější informace. V současné době jsou informace společnosti uloženy ve dvou geograficky vzdálených datových centrech, což minimalizuje riziko jejich ztráty.
- Testování kontinuity provozu
Naše společnost má již několik let zavedenu Business Continuity Policy (BCP), která popisuje, co by zaměstnanci měli dělat v různých negativních scénářích (ztráta přístupu do kanceláře, epidemie, výpadek proudu atd.). Nikdy jsme však neprováděli testování kontinuity – to znamená, že jsme nikdy neměřili, jak dlouho by trvalo obnovení podnikání v každé z těchto situací. V rámci přípravy na certifikační audit jsme nejen provedli toto, ale také vypracovali plán testování obchodní kontinuity na nadcházející rok. Za zmínku stojí, že o rok později, kdy jsme byli postaveni před nutnost kompletně přejít na práci na dálku, jsme tento úkol splnili za tři dny.
Důležité upozornění, že všechny společnosti připravující se na certifikaci mají odlišné výchozí podmínky – proto ve vašem případě mohou být vyžadovány zcela jiné změny.
Reakce zaměstnanců na změny
Kupodivu – tady jsme čekali to nejhorší – nedopadlo to tak špatně. Nedá se říci, že by kolegové přijali zprávu o certifikaci s velkým nadšením, ale bylo jasné:
- Všichni klíčoví zaměstnanci pochopili důležitost a nevyhnutelnost této události;
- Všichni ostatní zaměstnanci vzhlíželi ke klíčovým zaměstnancům.
Samozřejmě nám hodně pomohla specifika našeho oboru – outsourcing účetních funkcí. Naprostá většina našich zaměstnanců se dobře vyrovnává s neustálými změnami ruské legislativy. Zavedení několika desítek nových pravidel, která je nyní nutné dodržovat, pro ně tedy nebylo nic neobvyklého.
Pro všechny naše zaměstnance jsme připravili nová povinná školení a testování ISO 27001. Všichni poslušně sundali ze svých monitorů nalepené papírky s hesly a uklidili stoly poseté dokumenty. Nebyla zaznamenána žádná hlasitá nespokojenost - obecně jsme měli velké štěstí na naše zaměstnance.
Tím jsme prošli nejbolestivější fází – „depresí“ – spojenou se změnami v našich obchodních procesech. Bylo to těžké a těžké, ale výsledek nakonec předčil všechna naše nejdivočejší očekávání.
Přečtěte si předchozí materiály ze série:
5 fází nevyhnutelnosti certifikace ISO/IEC 27001. Deprese.
5 fází nevyhnutelnosti certifikace ISO/IEC 27001. Přijetí.
Zdroj: www.habr.com