La cuarta etapa de la respuesta emocional al cambio es la depresión. En este artículo le contaremos nuestra experiencia al atravesar la etapa más prolongada y desagradable: los cambios en los procesos comerciales de la empresa para lograr su cumplimiento con la norma ISO 27001.
Esperando
La primera pregunta que nos hicimos tras seleccionar la entidad certificadora y el consultor fue ¿cuánto tiempo necesitaríamos realmente para realizar todos los cambios necesarios?
El plan de trabajo inicial estaba programado de tal manera que debíamos completarlo en 3 meses.
Todo parecía sencillo: era necesario redactar un par de docenas de políticas y cambiar ligeramente nuestros procesos internos; luego capacitar a los colegas sobre los cambios y esperar otros 3 meses (para que aparezcan “registros”, es decir, evidencia del funcionamiento de las políticas). Parecía que eso era todo y el certificado estaba en nuestro bolsillo.
Además, no íbamos a redactar políticas desde cero; después de todo, teníamos un consultor que, según pensábamos, debía darnos todas las plantillas "correctas".
Como resultado de estas conclusiones, asignamos 3 días para preparar cada póliza.
Los cambios técnicos tampoco parecieron desalentadores: fue necesario configurar la recopilación y el almacenamiento de eventos, verificar si las copias de seguridad cumplían con la política que escribimos, modernizar las oficinas con sistemas de control de acceso cuando fuera necesario y algunas otras pequeñas cosas. .
El equipo que preparó todo lo necesario para la certificación estuvo formado por dos personas. Planeamos que participarían en la implementación en paralelo con sus responsabilidades principales, y esto les tomaría a cada uno de ellos un máximo de 1,5 a 2 horas al día.
En resumen, podemos decir que nuestra visión sobre el próximo alcance del trabajo era bastante optimista.
La realidad
En realidad, todo fue naturalmente diferente: los modelos de políticas proporcionados por el consultor resultaron ser en su mayoría inaplicables para nuestra empresa; Casi no había información clara en Internet sobre qué y cómo hacer. Como se puede imaginar, el plan de “redactar una póliza en 3 días” fracasó estrepitosamente. Así que dejamos de cumplir con los plazos casi desde el comienzo del proyecto y nuestro estado de ánimo comenzó a decaer lentamente.
La experiencia del equipo era catastróficamente pequeña, hasta el punto de que ni siquiera fue suficiente para hacer las preguntas adecuadas al consultor (quien, por cierto, no mostró mucha iniciativa). Las cosas empezaron a moverse aún más lentamente, ya que 3 meses después del inicio de la implementación (es decir, en el momento en que todo debería haber estado listo), uno de los dos participantes clave abandonó el equipo. Fue reemplazado por un nuevo jefe del servicio de TI, quien tuvo que completar rápidamente el proceso de implementación y dotar al sistema de gestión de seguridad de la información de todo lo necesario desde el punto de vista técnico. La tarea parecía difícil... Los que estaban a cargo comenzaron a deprimirse.
Además, el aspecto técnico de la cuestión también tenía “matices”. Nos enfrentamos a la tarea de modernizar globalmente el software tanto en las estaciones de trabajo como en los equipos de servidores. Al configurar el sistema para recopilar eventos (registros), resultó que no teníamos suficientes recursos de hardware para el funcionamiento normal del sistema. Y el software de respaldo también necesitaba modernización.
Spoiler: Como resultado, el SGSI se implementó heroicamente en 6 meses. ¡Y nadie murió siquiera!
¿Qué ha cambiado más?
Por supuesto, durante la implementación de la norma, se produjeron una gran cantidad de pequeños cambios en los procesos de la empresa. Hemos destacado los cambios más significativos para usted:
- Formalización del proceso de evaluación de riesgos.
Anteriormente, la empresa no contaba con un proceso formal de evaluación de riesgos: se hacía sólo de pasada como parte de la planificación estratégica general. Una de las tareas más importantes resueltas como parte de la certificación fue la implementación de la Política de Evaluación de Riesgos de la empresa, que describe todas las etapas de este proceso y los responsables de cada etapa.
- Control sobre medios de almacenamiento extraíbles
Uno de los riesgos importantes para las empresas era el uso de unidades flash USB no cifradas: de hecho, cualquier empleado podría escribir cualquier información disponible en una unidad flash y, en el mejor de los casos, perderla. Como parte de la certificación, se deshabilitó la capacidad de descargar cualquier información en unidades flash en todas las estaciones de trabajo de los empleados; el registro de información solo fue posible a través de una aplicación dirigida al departamento de TI.
- Control de superusuario
Uno de los principales problemas era el hecho de que todos los empleados del departamento de TI tenían derechos absolutos sobre todos los sistemas de la empresa: tenían acceso a toda la información. Al mismo tiempo, nadie realmente los controlaba.
Hemos implementado un sistema de Prevención de pérdida de datos (DLP), un programa para monitorear las acciones de los empleados que analiza, bloquea y alerta sobre actividades peligrosas e improductivas. Ahora las alertas sobre las acciones de los empleados del departamento de TI se envían a la dirección de correo electrónico del Director de Operaciones de la empresa.
- Enfoque para organizar la infraestructura de la información.
La certificación requería cambios y enfoques globales. Sí, tuvimos que actualizar varios equipos de servidores debido al aumento de carga. En particular, hemos dedicado un servidor independiente para los sistemas de recopilación de eventos. El servidor estaba equipado con unidades SSD grandes y rápidas. Abandonamos el software de respaldo y optamos por sistemas de almacenamiento que tienen todas las funciones necesarias listas para usar. Dimos varios pasos importantes hacia el concepto de "infraestructura como código", lo que nos permitió ahorrar una gran cantidad de espacio en disco al eliminar la copia de seguridad de varios servidores. En el menor tiempo posible (1 semana), todo el software de las estaciones de trabajo se actualizó a Win10. Uno de los problemas que resolvió la modernización fue la capacidad de habilitar el cifrado (en la versión Pro).
- Control sobre documentos en papel.
La empresa tenía riesgos importantes asociados con el uso de documentos en papel: podían perderse, dejarse en el lugar equivocado o destruirse inadecuadamente. Para minimizar este riesgo, hemos marcado todos los documentos en papel según el nivel de confidencialidad y hemos desarrollado un procedimiento para destruir diferentes tipos de documentos. Ahora, cuando un empleado abre una carpeta o coge un documento, sabe exactamente en qué categoría entra esa información y cómo manejarla.
- Alquilar un centro de datos de respaldo
Anteriormente, toda la información de la empresa se almacenaba en servidores ubicados en un centro de datos seguro de terceros. Sin embargo, no existían procedimientos de emergencia en este centro de datos. La solución fue alquilar un centro de datos en la nube de respaldo y realizar una copia de seguridad de la información más importante allí. Actualmente, la información de la empresa se almacena en dos centros de datos geográficamente remotos, lo que minimiza el riesgo de su pérdida.
- Pruebas de continuidad del negocio
Nuestra empresa cuenta desde hace varios años con una Política de Continuidad del Negocio (BCP), que describe lo que los empleados deben hacer en diversos escenarios negativos (pérdida de acceso a la oficina, epidemia, corte de energía, etc.). Sin embargo, nunca hemos realizado pruebas de continuidad, es decir, nunca hemos medido cuánto tiempo llevaría restaurar el negocio en cada una de estas situaciones. Como preparación para la auditoría de certificación, no solo hicimos esto, sino que también desarrollamos un plan de pruebas de continuidad del negocio para el próximo año. Vale la pena señalar que un año después, cuando nos enfrentamos a la necesidad de cambiar completamente al trabajo remoto, completamos esta tarea en tres días.
Importante tener en cuenta, que todas las empresas que se preparan para la certificación tienen condiciones iniciales diferentes; por lo tanto, en su caso, es posible que se requieran cambios completamente diferentes.
Reacciones de los empleados a los cambios.
Curiosamente, aquí esperábamos lo peor, pero no resultó tan malo. No se puede decir que los compañeros recibieran la noticia de la certificación con mucho entusiasmo, pero lo siguiente quedó claro:
- Todos los empleados clave comprendieron la importancia y la inevitabilidad de este evento;
- Todos los demás empleados admiraban a los empleados clave.
Por supuesto, las particularidades de nuestro sector nos ayudaron mucho: la subcontratación de las funciones contables. La gran mayoría de nuestros empleados se adaptan bien a los constantes cambios en la legislación rusa. Por lo tanto, la introducción de un par de docenas de nuevas reglas que ahora deben observarse no fue algo fuera de lo común para ellos.
Hemos preparado nuevas capacitaciones y pruebas obligatorias ISO 27001 para todos nuestros empleados. Todos quitaron obedientemente las notas adhesivas con las contraseñas de sus monitores y limpiaron los escritorios llenos de documentos. No se notó ningún descontento ruidoso; en general, tuvimos mucha suerte con nuestros empleados.
Así, hemos superado la etapa más dolorosa, la "depresión", asociada con los cambios en nuestros procesos comerciales. Fue duro y difícil, pero al final el resultado superó todas nuestras expectativas más locas.
Lea materiales anteriores de la serie:
5 etapas de la inevitabilidad de la certificación ISO/IEC 27001. Depresión.
5 etapas de la inevitabilidad de la certificación ISO/IEC 27001. Adopción.
Fuente: habr.com