Den fjerde fase af følelsesmæssig reaktion på forandring er depression. I denne artikel vil vi fortælle dig om vores erfaring med at gå igennem det mest langvarige og ubehagelige stadie - om ændringer i virksomhedens forretningsprocesser for at opnå deres overensstemmelse med ISO 27001-standarden.
forventning
Det første spørgsmål, vi stillede os selv efter at have valgt det certificerende organ og konsulent, var, hvor meget tid ville vi egentlig have brug for til at foretage alle de nødvendige ændringer?
Den indledende arbejdsplan var planlagt på en sådan måde, at vi skulle færdiggøre den inden for 3 måneder.
Alt så enkelt ud: det var nødvendigt at skrive et par dusin politikker og ændre vores interne processer lidt; Træn derefter kollegerne i ændringerne og vent yderligere 3 måneder (så der vises "optegnelser", det vil sige beviser for, at politikkerne fungerer). Det så ud til, at det var alt - og certifikatet var i lommen.
Derudover skulle vi ikke skrive politikker fra bunden - vi havde jo en konsulent, der, som vi troede, skulle give os alle de "korrekte" skabeloner.
Som et resultat af disse konklusioner afsatte vi 3 dage til at udarbejde hver politik.
De tekniske ændringer så heller ikke skræmmende ud: det var nødvendigt at opsætte indsamling og lagring af begivenheder, tjekke om sikkerhedskopierne overholder den politik, vi skrev, eftermontere kontorerne med adgangskontrolsystemer, hvor det var nødvendigt, og et par andre småting .
Holdet, der forberedte alt nødvendigt til certificering, bestod af to personer. Vi planlagde, at de skulle inddrages i implementeringen sideløbende med deres hovedansvar, og det ville tage hver af dem maksimalt 1,5-2 timer om dagen.
For at opsummere kan vi sige, at vores syn på det kommende arbejdsomfang var ret optimistisk.
Reality
I virkeligheden var alt naturligt anderledes: De politikskabeloner, som konsulenten leverede, viste sig for det meste at være uanvendelige for vores virksomhed; Der var næsten ingen klar information på internettet om, hvad og hvordan man gør. Som du kan forestille dig, mislykkedes planen om at "skrive én politik på 3 dage" dybt. Så vi holdt op med at overholde deadlines næsten lige fra starten af projektet, og vores humør begyndte langsomt at falde.
Teamets ekspertise var katastrofalt lille - så meget, at det ikke engang var nok at stille de rigtige spørgsmål til konsulenten (som i øvrigt ikke udviste meget initiativ). Tingene begyndte at gå endnu langsommere, siden 3 måneder efter starten af implementeringen (det vil sige i det øjeblik, hvor alt skulle have været klar), forlod en af de to nøgledeltagere holdet. Han blev afløst af en ny leder af IT-servicen, som hurtigt skulle gennemføre implementeringsprocessen og forsyne informationssikkerhedsstyringssystemet med alt det teknisk mest nødvendige. Opgaven så svær ud... De ansvarlige begyndte at blive deprimerede.
Derudover viste den tekniske side af sagen sig også at have "nuancer". Vi står over for opgaven med global softwaremodernisering både på arbejdsstationer og på serverudstyr. Under opsætningen af systemet til at indsamle hændelser (logfiler), viste det sig, at vi ikke havde nok hardwareressourcer til systemets normale funktion. Og backupsoftwaren trængte også til modernisering.
Spoiler: Som et resultat blev ISMS heroisk implementeret på 6 måneder. Og ingen døde endda!
Hvad har ændret sig mest?
Under implementeringen af standarden skete der naturligvis en lang række små ændringer i virksomhedens processer. Vi har fremhævet de vigtigste ændringer for dig:
- Formalisering af risikovurderingsprocessen
Tidligere havde virksomheden ingen formel risikovurderingsproces - det blev kun gjort i forbifarten som en del af den overordnede strategiske planlægning. En af de vigtigste opgaver, der blev løst som led i certificeringen, var implementeringen af virksomhedens Risk Assessment Policy, som beskriver alle faser af denne proces og de personer, der er ansvarlige for hver fase.
- Kontrol over flytbare lagermedier
En af de væsentlige risici for erhvervslivet var brugen af ukrypterede USB-flashdrev: Faktisk kunne enhver medarbejder skrive enhver tilgængelig information på et flashdrev og i bedste fald miste den. Som en del af certificeringen blev muligheden for at downloade enhver information til flashdrev deaktiveret på alle medarbejderarbejdsstationer - registrering af information blev kun mulig gennem en ansøgning til IT-afdelingen.
- Super brugerkontrol
Et af hovedproblemerne var, at alle ansatte i IT-afdelingen havde absolutte rettigheder i alle virksomhedens systemer - de havde adgang til al information. Samtidig var der ikke rigtig nogen, der styrede dem.
Vi har implementeret et Data Loss Prevention (DLP) system - et program til overvågning af medarbejders handlinger, der analyserer, blokerer og advarer om farlige og uproduktive aktiviteter. Nu sendes advarsler om handlinger fra IT-afdelingens medarbejdere til e-mailadressen på virksomhedens driftsdirektør.
- Tilgang til organisering af informationsinfrastruktur
Certificering krævede globale ændringer og tilgange. Ja, vi var nødt til at opgradere en del serverudstyr på grund af den øgede belastning. Vi har især dedikeret en separat server til hændelsesindsamlingssystemer. Serveren var udstyret med store og hurtige SSD-drev. Vi forlod backup-software og valgte lagersystemer, der har al den nødvendige funktionalitet ud af kassen. Vi tog flere store skridt hen imod konceptet "infrastruktur som kode", som gjorde det muligt for os at spare en masse diskplads ved at eliminere backup af en række servere. På kortest mulig tid (1 uge) blev al software på arbejdsstationer opgraderet til Win10. Et af de problemer, som moderniseringen løste, var muligheden for at aktivere kryptering (i Pro-versionen).
- Kontrol over papirdokumenter
Virksomheden havde betydelige risici forbundet med brugen af papirdokumenter: De kunne gå tabt, efterlades det forkerte sted eller uretmæssigt destrueres. For at minimere denne risiko har vi mærket alle papirdokumenter i henhold til fortrolighedsniveauet og udviklet en procedure til at destruere forskellige typer dokumenter. Nu, når en medarbejder åbner en mappe eller tager et dokument, ved han præcis, hvilken kategori disse oplysninger falder ind under, og hvordan de skal håndteres.
- Leje af et backup-datacenter
Tidligere blev alle virksomhedsoplysninger gemt på servere placeret i et tredjeparts sikkert datacenter. Der var dog ingen nødprocedurer på plads i dette datacenter. Løsningen var at leje et backup cloud-datacenter og tage backup af de vigtigste informationer der. I øjeblikket opbevares virksomhedens oplysninger i to geografisk fjerntliggende datacentre, hvilket minimerer risikoen for tab.
- Forretningskontinuitetstest
Vores virksomhed har haft en Business Continuity Policy (BCP) på plads i flere år, som beskriver, hvad medarbejderne skal gøre i forskellige negative scenarier (tab af adgang til kontoret, epidemi, strømafbrydelse osv.). Vi har dog aldrig gennemført kontinuitetstest - det vil sige, vi har aldrig målt, hvor lang tid det ville tage at genoprette forretningen i hver af disse situationer. Som forberedelse til certificeringsrevisionen gjorde vi ikke kun dette, men udviklede også en plan for forretningskontinuitetstestning for det kommende år. Det er værd at bemærke, at et år senere, da vi stod over for behovet for helt at skifte til fjernarbejde, afsluttede vi denne opgave på tre dage.
Det er vigtigt at bemærke, at alle virksomheder, der forbereder sig til certificering, har forskellige startbetingelser - derfor kan der i dit tilfælde være behov for helt andre ændringer.
Medarbejdernes reaktioner på ændringer
Mærkeligt nok - her forventede vi det værste - det viste sig ikke så slemt. Det kan ikke siges, at kolleger modtog nyheden om certificering med stor entusiasme, men følgende var klart:
- Alle nøglemedarbejdere forstod vigtigheden og uundgåeligheden af denne begivenhed;
- Alle andre medarbejdere så op til nøglemedarbejdere.
Naturligvis hjalp vores branches særlige kendetegn os meget - outsourcing af regnskabsfunktioner. Langt de fleste af vores medarbejdere klarer konstante ændringer i russisk lovgivning godt. Derfor var indførelsen af et par dusin nye regler, som nu skal overholdes, ikke noget ud over det sædvanlige for dem.
Vi har udarbejdet ny obligatorisk ISO 27001 træning og test for alle vores medarbejdere. Alle fjernede lydigt klisterlapperne med adgangskoder fra deres skærme og ryddede skrivebordene fyldt med dokumenter væk. Der blev ikke bemærket højlydt utilfredshed – generelt var vi meget heldige med vores medarbejdere.
Således har vi passeret det mest smertefulde stadie - "depression" - forbundet med ændringer i vores forretningsprocesser. Det var hårdt og svært, men resultatet overgik til sidst alle vores vildeste forventninger.
Læs tidligere materialer fra serien:
5 stadier af uundgåeligheden af ISO/IEC 27001 certificering. Depression.
5 stadier af uundgåeligheden af ISO/IEC 27001 certificering. Adoption.
Kilde: www.habr.com