Το τέταρτο στάδιο της συναισθηματικής αντίδρασης στην αλλαγή είναι η κατάθλιψη. Σε αυτό το άρθρο θα σας πούμε για την εμπειρία μας να περνάμε από το πιο παρατεταμένο και δυσάρεστο στάδιο - για αλλαγές στις επιχειρηματικές διαδικασίες της εταιρείας προκειμένου να επιτευχθεί η συμμόρφωσή τους με το πρότυπο ISO 27001.
Αναμονή
Η πρώτη ερώτηση που θέσαμε στον εαυτό μας μετά την επιλογή του φορέα πιστοποίησης και του συμβούλου ήταν πόσο χρόνο θα χρειαζόμασταν πραγματικά για να κάνουμε όλες τις απαραίτητες αλλαγές;
Το αρχικό πλάνο εργασίας ήταν προγραμματισμένο με τέτοιο τρόπο που έπρεπε να το ολοκληρώσουμε εντός 3 μηνών.
Όλα φαίνονταν απλά: ήταν απαραίτητο να γράψουμε μερικές δεκάδες πολιτικές και να αλλάξουμε ελαφρώς τις εσωτερικές μας διαδικασίες. στη συνέχεια εκπαιδεύστε τους συναδέλφους για τις αλλαγές και περιμένετε άλλους 3 μήνες (ώστε να εμφανιστούν «αρχεία», δηλαδή αποδείξεις της λειτουργίας των πολιτικών). Φαινόταν ότι αυτό ήταν όλο - και το πιστοποιητικό ήταν στην τσέπη μας.
Επιπλέον, δεν επρόκειτο να γράψουμε πολιτικές από την αρχή - τελικά, είχαμε έναν σύμβουλο που, όπως νομίζαμε, υποτίθεται ότι θα μας έδινε όλα τα «σωστά» πρότυπα.
Ως αποτέλεσμα αυτών των συμπερασμάτων, διαθέσαμε 3 ημέρες για την προετοιμασία κάθε πολιτικής.
Οι τεχνικές αλλαγές δεν φάνηκαν επίσης τρομακτικές: ήταν απαραίτητο να ρυθμίσετε τη συλλογή και αποθήκευση συμβάντων, να ελέγξετε εάν τα αντίγραφα ασφαλείας συμμορφώνονται με την πολιτική που γράψαμε, να εξοπλίσετε τα γραφεία με συστήματα ελέγχου πρόσβασης όπου ήταν απαραίτητο και μερικά άλλα μικρά πράγματα .
Η ομάδα που ετοίμαζε όλα τα απαραίτητα για την πιστοποίηση αποτελούνταν από δύο άτομα. Σχεδιάσαμε ότι θα εμπλακούν στην υλοποίηση παράλληλα με τις κύριες αρμοδιότητές τους και αυτό θα χρειαζόταν το πολύ 1,5-2 ώρες την ημέρα.
Συνοψίζοντας, μπορούμε να πούμε ότι η άποψή μας για το επερχόμενο εύρος εργασίας ήταν αρκετά αισιόδοξη.
Πραγματικότητα
Στην πραγματικότητα, όλα ήταν φυσικά διαφορετικά: τα πρότυπα πολιτικής που παρείχε ο σύμβουλος αποδείχτηκαν ως επί το πλείστον ανεφάρμοστα για την εταιρεία μας. Δεν υπήρχαν σχεδόν καθόλου σαφείς πληροφορίες στο Διαδίκτυο για το τι και πώς να κάνετε. Όπως μπορείτε να φανταστείτε, το σχέδιο «να γραφτεί μια πολιτική σε 3 ημέρες» απέτυχε παταγωδώς. Έτσι σταματήσαμε να τηρούμε προθεσμίες σχεδόν από την αρχή του έργου και η διάθεσή μας άρχισε σιγά σιγά να πέφτει.
Η τεχνογνωσία της ομάδας ήταν καταστροφικά μικρή - τόσο πολύ που δεν ήταν καν αρκετή για να κάνει τις σωστές ερωτήσεις στον σύμβουλο (ο οποίος, παρεμπιπτόντως, δεν έδειξε μεγάλη πρωτοβουλία). Τα πράγματα άρχισαν να κινούνται ακόμη πιο αργά, αφού 3 μήνες μετά την έναρξη της υλοποίησης (τη στιγμή δηλαδή που έπρεπε να ήταν όλα έτοιμα), ένας από τους δύο βασικούς συμμετέχοντες αποχώρησε από την ομάδα. Αντικαταστάθηκε από έναν νέο προϊστάμενο της υπηρεσίας πληροφορικής, ο οποίος έπρεπε να ολοκληρώσει γρήγορα τη διαδικασία υλοποίησης και να παράσχει στο σύστημα διαχείρισης ασφάλειας πληροφοριών ό,τι πιο απαραίτητο από τεχνική άποψη. Το έργο φαινόταν δύσκολο... Οι υπεύθυνοι άρχισαν να πέφτουν σε κατάθλιψη.
Επιπλέον, η τεχνική πλευρά του ζητήματος αποδείχθηκε επίσης ότι είχε «αποχρώσεις». Είμαστε αντιμέτωποι με το έργο του παγκόσμιου εκσυγχρονισμού λογισμικού τόσο σε σταθμούς εργασίας όσο και σε εξοπλισμό διακομιστή. Κατά τη ρύθμιση του συστήματος για τη συλλογή συμβάντων (logs), αποδείχθηκε ότι δεν είχαμε αρκετούς πόρους υλικού για την κανονική λειτουργία του συστήματος. Και το λογισμικό δημιουργίας αντιγράφων ασφαλείας χρειαζόταν επίσης εκσυγχρονισμό.
Spoiler: Ως αποτέλεσμα, το ISMS εφαρμόστηκε ηρωικά σε 6 μήνες. Και κανείς δεν πέθανε!
Τι έχει αλλάξει περισσότερο;
Φυσικά, κατά την εφαρμογή του προτύπου, σημειώθηκε ένας μεγάλος αριθμός μικρών αλλαγών στις διαδικασίες της εταιρείας. Έχουμε επισημάνει τις πιο σημαντικές αλλαγές για εσάς:
- Επισημοποίηση της διαδικασίας αξιολόγησης κινδύνου
Προηγουμένως, η εταιρεία δεν διέθετε επίσημη διαδικασία αξιολόγησης κινδύνου - γινόταν μόνο εν συντομία ως μέρος του γενικού στρατηγικού σχεδιασμού. Ένα από τα πιο σημαντικά καθήκοντα που επιλύθηκαν ως μέρος της πιστοποίησης ήταν η εφαρμογή της Πολιτικής Αξιολόγησης Κινδύνων της εταιρείας, η οποία περιγράφει όλα τα στάδια αυτής της διαδικασίας και τους υπεύθυνους για κάθε στάδιο.
- Έλεγχος σε αφαιρούμενα μέσα αποθήκευσης
Ένας από τους σημαντικούς κινδύνους για τις επιχειρήσεις ήταν η χρήση μη κρυπτογραφημένων μονάδων flash USB: στην πραγματικότητα, οποιοσδήποτε υπάλληλος μπορούσε να γράψει όποιες πληροφορίες είχε στη διάθεσή του σε μια μονάδα flash και, στην καλύτερη περίπτωση, να τις χάσει. Ως μέρος της πιστοποίησης, η δυνατότητα λήψης οποιασδήποτε πληροφορίας σε μονάδες flash απενεργοποιήθηκε σε όλους τους σταθμούς εργασίας των εργαζομένων - η εγγραφή πληροφοριών κατέστη δυνατή μόνο μέσω μιας εφαρμογής στο τμήμα πληροφορικής.
- Super User Control
Ένα από τα κύρια προβλήματα ήταν το γεγονός ότι όλοι οι υπάλληλοι του τμήματος πληροφορικής είχαν απόλυτα δικαιώματα σε όλα τα συστήματα της εταιρείας - είχαν πρόσβαση σε όλες τις πληροφορίες. Ταυτόχρονα, κανείς δεν τους έλεγχε πραγματικά.
Έχουμε εφαρμόσει ένα σύστημα πρόληψης απώλειας δεδομένων (DLP) - ένα πρόγραμμα για την παρακολούθηση των ενεργειών των εργαζομένων που αναλύει, αποκλείει και ειδοποιεί για επικίνδυνες και μη παραγωγικές δραστηριότητες. Τώρα αποστέλλονται ειδοποιήσεις για τις ενέργειες των υπαλλήλων του τμήματος πληροφορικής στη διεύθυνση email του Διευθυντή Λειτουργίας της εταιρείας.
- Προσέγγιση οργάνωσης πληροφοριακής υποδομής
Η πιστοποίηση απαιτούσε παγκόσμιες αλλαγές και προσεγγίσεις. Ναι, χρειάστηκε να αναβαθμίσουμε έναν αριθμό εξοπλισμού διακομιστή λόγω του αυξημένου φόρτου. Συγκεκριμένα, έχουμε αφιερώσει έναν ξεχωριστό διακομιστή για συστήματα συλλογής εκδηλώσεων. Ο διακομιστής ήταν εξοπλισμένος με μεγάλες και γρήγορες μονάδες SSD. Εγκαταλείψαμε το λογισμικό δημιουργίας αντιγράφων ασφαλείας και επιλέξαμε συστήματα αποθήκευσης που διαθέτουν όλες τις απαραίτητες λειτουργίες εκτός συσκευασίας. Κάναμε πολλά μεγάλα βήματα προς την ιδέα της «υποδομής ως κώδικα», η οποία μας επέτρεψε να εξοικονομήσουμε πολύ χώρο στο δίσκο εξαλείφοντας το αντίγραφο ασφαλείας ενός αριθμού διακομιστών. Στο συντομότερο δυνατό χρονικό διάστημα (1 εβδομάδα), όλο το λογισμικό στους σταθμούς εργασίας αναβαθμίστηκε σε Win10. Ένα από τα ζητήματα που έλυσε ο εκσυγχρονισμός ήταν η δυνατότητα ενεργοποίησης της κρυπτογράφησης (στην έκδοση Pro).
- Έλεγχος σε έντυπα έγγραφα
Η εταιρεία είχε σημαντικούς κινδύνους που συνδέονται με τη χρήση εγγράφων σε χαρτί: θα μπορούσαν να χαθούν, να αφεθούν σε λάθος μέρος ή να καταστραφούν ακατάλληλα. Για να ελαχιστοποιήσουμε αυτόν τον κίνδυνο, σημειώσαμε όλα τα έντυπα έγγραφα σύμφωνα με το επίπεδο εμπιστευτικότητας και αναπτύξαμε μια διαδικασία για την καταστροφή διαφορετικών τύπων εγγράφων. Τώρα, όταν ένας υπάλληλος ανοίγει έναν φάκελο ή παίρνει ένα έγγραφο, ξέρει ακριβώς σε ποια κατηγορία ανήκουν αυτές οι πληροφορίες και πώς να τις χειριστεί.
- Ενοικίαση εφεδρικού κέντρου δεδομένων
Προηγουμένως, όλες οι πληροφορίες της εταιρείας αποθηκεύονταν σε διακομιστές που βρίσκονται σε ασφαλές κέντρο δεδομένων τρίτων. Ωστόσο, δεν υπήρχαν διαδικασίες έκτακτης ανάγκης σε αυτό το κέντρο δεδομένων. Η λύση ήταν να νοικιάσετε ένα εφεδρικό κέντρο δεδομένων cloud και να δημιουργήσετε αντίγραφα ασφαλείας των πιο σημαντικών πληροφοριών εκεί. Επί του παρόντος, οι πληροφορίες της εταιρείας αποθηκεύονται σε δύο γεωγραφικά απομακρυσμένα κέντρα δεδομένων, γεγονός που ελαχιστοποιεί τον κίνδυνο απώλειας.
- Δοκιμή επιχειρησιακής συνέχειας
Η εταιρεία μας έχει θεσπίσει μια Πολιτική Επιχειρησιακής Συνέχειας (BCP) εδώ και αρκετά χρόνια, η οποία περιγράφει τι πρέπει να κάνουν οι εργαζόμενοι σε διάφορα αρνητικά σενάρια (απώλεια πρόσβασης στο γραφείο, επιδημία, διακοπή ρεύματος κ.λπ.). Ωστόσο, ποτέ δεν πραγματοποιήσαμε δοκιμές συνέχειας - δηλαδή, ποτέ δεν μετρήσαμε πόσο χρόνο θα χρειαζόταν για την αποκατάσταση της επιχείρησης σε καθεμία από αυτές τις καταστάσεις. Κατά την προετοιμασία για τον έλεγχο πιστοποίησης, όχι μόνο κάναμε αυτό, αλλά αναπτύξαμε επίσης ένα σχέδιο δοκιμών επιχειρηματικής συνέχειας για το επόμενο έτος. Αξίζει να σημειωθεί ότι ένα χρόνο αργότερα, όταν βρεθήκαμε αντιμέτωποι με την ανάγκη να περάσουμε πλήρως στην απομακρυσμένη εργασία, ολοκληρώσαμε αυτό το έργο σε τρεις ημέρες.
Είναι σημαντικό να σημειωθεί, ότι όλες οι εταιρείες που προετοιμάζονται για πιστοποίηση έχουν διαφορετικές συνθήκες εκκίνησης - επομένως, στην περίπτωσή σας, ενδέχεται να απαιτούνται εντελώς διαφορετικές αλλαγές.
Αντιδράσεις των εργαζομένων στις αλλαγές
Παραδόξως - εδώ περιμέναμε τα χειρότερα - αποδείχθηκε όχι και τόσο άσχημο. Δεν μπορούμε να πούμε ότι οι συνάδελφοι έλαβαν την είδηση της πιστοποίησης με μεγάλο ενθουσιασμό, αλλά τα ακόλουθα ήταν ξεκάθαρα:
- Όλοι οι βασικοί υπάλληλοι κατάλαβαν τη σημασία και το αναπόφευκτο αυτής της εκδήλωσης.
- Όλοι οι άλλοι υπάλληλοι κοίταξαν τους βασικούς υπαλλήλους.
Φυσικά, μας βοήθησαν πολύ οι ιδιαιτερότητες του κλάδου μας - η εξωτερική ανάθεση λογιστικών λειτουργιών. Η συντριπτική πλειοψηφία των εργαζομένων μας αντιμετωπίζει καλά τις συνεχείς αλλαγές στη ρωσική νομοθεσία. Κατά συνέπεια, η εισαγωγή κάποιων δεκάδων νέων κανόνων που τώρα πρέπει να τηρούνται δεν ήταν κάτι ασυνήθιστο για αυτούς.
Έχουμε ετοιμάσει νέα υποχρεωτική εκπαίδευση και δοκιμή ISO 27001 για όλους τους υπαλλήλους μας. Όλοι αφαίρεσαν υπάκουα αυτοκόλλητα με κωδικούς πρόσβασης από τις οθόνες τους και καθάρισαν τα τραπέζια γεμάτα έγγραφα. Δεν παρατηρήθηκε ηχηρή δυσαρέσκεια - γενικά, ήμασταν πολύ τυχεροί με τους υπαλλήλους μας.
Έτσι, περάσαμε το πιο οδυνηρό στάδιο - την «κατάθλιψη» - που σχετίζεται με αλλαγές στις επιχειρηματικές μας διαδικασίες. Ήταν δύσκολο και δύσκολο, αλλά το αποτέλεσμα στο τέλος ξεπέρασε όλες τις πιο τρελές προσδοκίες μας.
Διαβάστε προηγούμενα υλικά από τη σειρά:
5 στάδια του αναπόφευκτου της πιστοποίησης ISO/IEC 27001. Κατάθλιψη.
5 στάδια του αναπόφευκτου της πιστοποίησης ISO/IEC 27001. Υιοθεσία.
Πηγή: www.habr.com