Die vierte Stufe der emotionalen Reaktion auf Veränderungen ist die Depression. In diesem Artikel erzählen wir Ihnen von unseren Erfahrungen in der langwierigsten und unangenehmsten Phase – von Änderungen in den Geschäftsprozessen des Unternehmens, um deren Konformität mit der Norm ISO 27001 zu erreichen.
Erwartung
Die erste Frage, die wir uns nach der Auswahl der Zertifizierungsstelle und des Beraters stellten, war: Wie viel Zeit würden wir wirklich brauchen, um alle notwendigen Änderungen vorzunehmen?
Der ursprüngliche Arbeitsplan war so geplant, dass wir ihn innerhalb von drei Monaten abschließen mussten.
Alles sah einfach aus: Es war notwendig, ein paar Dutzend Richtlinien zu schreiben und unsere internen Prozesse leicht zu ändern; schulen Sie dann Ihre Kollegen in den Änderungen und warten Sie weitere 3 Monate (damit „Aufzeichnungen“ erscheinen, also Beweise für das Funktionieren der Richtlinien). Das schien alles zu sein – und das Zertifikat befand sich in unserer Tasche.
Außerdem wollten wir keine Richtlinien von Grund auf neu schreiben – schließlich hatten wir einen Berater, der uns, wie wir dachten, alle „richtigen“ Vorlagen geben sollte.
Aufgrund dieser Schlussfolgerungen haben wir drei Tage für die Ausarbeitung jeder Richtlinie eingeplant.
Auch die technischen Änderungen sahen nicht abschreckend aus: Es war notwendig, die Sammlung und Speicherung von Ereignissen einzurichten, zu überprüfen, ob die Backups den von uns verfassten Richtlinien entsprechen, die Büros bei Bedarf mit Zugangskontrollsystemen nachzurüsten und noch ein paar andere Kleinigkeiten .
Das Team, das alles Notwendige für die Zertifizierung vorbereitete, bestand aus zwei Personen. Wir haben geplant, dass sie parallel zu ihren Hauptaufgaben in die Umsetzung eingebunden werden und dass jeder von ihnen maximal 1,5-2 Stunden am Tag in Anspruch nehmen wird.
Zusammenfassend können wir sagen, dass unsere Einschätzung des bevorstehenden Arbeitsumfangs recht optimistisch war.
Realität
In Wirklichkeit war natürlich alles anders: Die vom Berater bereitgestellten Richtlinienvorlagen erwiesen sich für unser Unternehmen als größtenteils nicht anwendbar; Im Internet gab es fast keine klaren Informationen darüber, was und wie zu tun ist. Wie Sie sich vorstellen können, ist der Plan, „in drei Tagen eine Police zu schreiben“, kläglich gescheitert. Deshalb haben wir fast von Beginn des Projekts an keine Fristen mehr eingehalten und unsere Stimmung begann sich langsam zu verschlechtern.
Die Expertise des Teams war katastrophal gering – so sehr, dass es nicht einmal ausreichte, dem Berater (der übrigens nicht viel Initiative zeigte) die richtigen Fragen zu stellen. Die Dinge begannen sich noch langsamer zu bewegen, da drei Monate nach Beginn der Implementierung (also in dem Moment, in dem alles hätte fertig sein sollen) einer der beiden Schlüsselbeteiligten das Team verließ. An seine Stelle trat ein neuer Leiter des IT-Dienstes, der den Implementierungsprozess zügig abschließen und das Informationssicherheitsmanagementsystem mit allem technisch Notwendigen ausstatten musste. Die Aufgabe sah schwierig aus ... Die Verantwortlichen begannen deprimiert zu werden.
Darüber hinaus stellte sich heraus, dass auch die technische Seite des Problems „Nuancen“ aufwies. Wir stehen vor der Aufgabe einer globalen Softwaremodernisierung sowohl auf Workstations als auch auf Servergeräten. Beim Einrichten des Systems zum Sammeln von Ereignissen (Protokollen) stellte sich heraus, dass wir nicht über genügend Hardwareressourcen für den normalen Betrieb des Systems verfügten. Und auch die Backup-Software musste modernisiert werden.
Spoiler: Infolgedessen wurde das ISMS in 6 Monaten heldenhaft umgesetzt. Und niemand ist gestorben!
Was hat sich am meisten verändert?
Natürlich kam es im Zuge der Implementierung des Standards zu einer Vielzahl kleinerer Änderungen in den Prozessen des Unternehmens. Wir haben die wichtigsten Änderungen für Sie hervorgehoben:
- Formalisierung des Risikobewertungsprozesses
Zuvor verfügte das Unternehmen über keinen formellen Risikobewertungsprozess – dieser wurde nur nebenbei im Rahmen der gesamten strategischen Planung durchgeführt. Eine der wichtigsten im Rahmen der Zertifizierung gelösten Aufgaben war die Umsetzung der Risikobewertungsrichtlinie des Unternehmens, die alle Phasen dieses Prozesses und die für jede Phase verantwortlichen Personen beschreibt.
- Kontrolle über Wechselspeichermedien
Eines der größten Risiken für Unternehmen war die Verwendung unverschlüsselter USB-Sticks: Tatsächlich könnte jeder Mitarbeiter alle ihm zur Verfügung stehenden Informationen auf einen USB-Stick schreiben und diese im besten Fall verlieren. Im Rahmen der Zertifizierung wurde die Möglichkeit, beliebige Informationen auf Flash-Laufwerke herunterzuladen, auf allen Mitarbeiterarbeitsplätzen deaktiviert – die Aufzeichnung von Informationen war nur noch durch einen Antrag bei der IT-Abteilung möglich.
- Super-Benutzerkontrolle
Eines der Hauptprobleme war die Tatsache, dass alle Mitarbeiter der IT-Abteilung absolute Rechte in allen Unternehmenssystemen hatten – sie hatten Zugriff auf alle Informationen. Gleichzeitig wurden sie von niemandem wirklich kontrolliert.
Wir haben ein Data Loss Prevention (DLP)-System implementiert – ein Programm zur Überwachung von Mitarbeiteraktionen, das gefährliche und unproduktive Aktivitäten analysiert, blockiert und warnt. Jetzt werden Benachrichtigungen über die Aktionen von Mitarbeitern der IT-Abteilung an die E-Mail-Adresse des Betriebsleiters des Unternehmens gesendet.
- Ansatz zur Organisation der Informationsinfrastruktur
Die Zertifizierung erforderte globale Veränderungen und Ansätze. Ja, wir mussten aufgrund der erhöhten Auslastung eine Reihe von Servergeräten aufrüsten. Insbesondere haben wir einen separaten Server für Ereigniserfassungssysteme eingerichtet. Der Server war mit großen und schnellen SSD-Laufwerken ausgestattet. Wir haben auf Backup-Software verzichtet und uns für Speichersysteme entschieden, die alle notwendigen Funktionen sofort einsatzbereit haben. Wir haben mehrere große Schritte in Richtung des „Infrastructure as Code“-Konzepts gemacht, das es uns ermöglichte, viel Speicherplatz zu sparen, indem wir die Sicherung mehrerer Server eliminierten. In kürzester Zeit (1 Woche) wurde die gesamte Software auf den Workstations auf Win10 aktualisiert. Eines der Probleme, die durch die Modernisierung gelöst wurden, war die Möglichkeit, die Verschlüsselung zu aktivieren (in der Pro-Version).
- Kontrolle über Papierdokumente
Die Verwendung von Papierdokumenten birgt für das Unternehmen erhebliche Risiken: Sie könnten verloren gehen, am falschen Ort liegen oder unsachgemäß vernichtet werden. Um dieses Risiko zu minimieren, haben wir alle Papierdokumente entsprechend der Vertraulichkeitsstufe gekennzeichnet und ein Verfahren zur Vernichtung verschiedener Arten von Dokumenten entwickelt. Wenn ein Mitarbeiter nun einen Ordner öffnet oder ein Dokument entgegennimmt, weiß er genau, in welche Kategorie diese Informationen fallen und wie er damit umgeht.
- Anmietung eines Backup-Rechenzentrums
Bisher wurden alle Unternehmensinformationen auf Servern gespeichert, die sich in einem sicheren Rechenzentrum eines Drittanbieters befanden. Allerdings gab es in diesem Rechenzentrum keine Notfallmaßnahmen. Die Lösung bestand darin, ein Backup-Cloud-Rechenzentrum zu mieten und dort die wichtigsten Informationen zu sichern. Derzeit werden die Informationen des Unternehmens in zwei geografisch entfernten Rechenzentren gespeichert, was das Risiko eines Verlusts minimiert.
- Prüfung der Geschäftskontinuität
In unserem Unternehmen gibt es seit mehreren Jahren eine Business Continuity Policy (BCP), die beschreibt, was Mitarbeiter in verschiedenen negativen Szenarien (Zugangsverlust zum Büro, Epidemie, Stromausfall usw.) tun sollen. Allerdings haben wir nie Kontinuitätstests durchgeführt – das heißt, wir haben nie gemessen, wie lange es dauern würde, den Betrieb in jeder dieser Situationen wiederherzustellen. Zur Vorbereitung des Zertifizierungsaudits haben wir nicht nur dies getan, sondern auch einen Business-Continuity-Testplan für das kommende Jahr entwickelt. Es ist erwähnenswert, dass wir diese Aufgabe ein Jahr später, als wir vor der Notwendigkeit standen, vollständig auf Fernarbeit umzusteigen, in drei Tagen erledigt haben.
Es ist wichtig zu beachten, dass alle Unternehmen, die sich auf die Zertifizierung vorbereiten, unterschiedliche Startbedingungen haben – daher können in Ihrem Fall ganz andere Änderungen erforderlich sein.
Reaktionen der Mitarbeiter auf Veränderungen
Seltsamerweise – hier hatten wir das Schlimmste erwartet – kam es gar nicht so schlimm. Man kann nicht sagen, dass die Kollegen die Nachricht von der Zertifizierung mit großer Begeisterung aufgenommen hätten, aber Folgendes war klar:
- Alle wichtigen Mitarbeiter waren sich der Bedeutung und Unvermeidlichkeit dieses Ereignisses bewusst.
- Alle anderen Mitarbeiter blickten zu wichtigen Mitarbeitern auf.
Dabei haben uns natürlich die Besonderheiten unserer Branche sehr geholfen – die Auslagerung von Buchhaltungsfunktionen. Die überwiegende Mehrheit unserer Mitarbeiter kommt mit den ständigen Änderungen der russischen Gesetzgebung gut zurecht. Dementsprechend war die Einführung einiger Dutzend neuer Regeln, die nun beachtet werden müssen, für sie nichts Ungewöhnliches.
Wir haben neue obligatorische ISO 27001-Schulungen und -Tests für alle unsere Mitarbeiter vorbereitet. Gehorsam entfernten alle die Haftnotizen mit den Passwörtern von ihren Monitoren und räumten die mit Dokumenten übersäten Schreibtische weg. Von lautstarker Unzufriedenheit war nichts zu spüren – generell hatten wir großes Glück mit unseren Mitarbeitern.
Damit haben wir die schmerzhafteste Phase – die „Depression“ – hinter uns, die mit Veränderungen in unseren Geschäftsprozessen einhergeht. Es war hart und schwierig, aber das Ergebnis übertraf am Ende alle unsere kühnsten Erwartungen.
Lesen Sie frühere Materialien aus der Serie:
5 Stufen der Unvermeidlichkeit der ISO/IEC 27001-Zertifizierung. Depression.
5 Stufen der Unvermeidlichkeit der ISO/IEC 27001-Zertifizierung. Annahme.
Source: habr.com