Aldaketaren erantzun emozionalaren laugarren etapa depresioa da. Artikulu honetan etaparik luzeena eta desatseginena igaro izanaren esperientzia kontatuko dizugu: ISO 27001 araua betetzen duten enpresaren negozio prozesuetan izandako aldaketei buruz.
esperantza
Organismo ziurtatzailea eta aholkularia aukeratu ondoren geure buruari egin genion lehenengo galdera zenbat denbora beharko genioke benetan beharrezko aldaketa guztiak egiteko?
Hasierako lan-plana 3 hilabeteko epean amaitu behar izan genuen moduan programatu zen.
Dena sinplea zirudien: beharrezkoa zen dozena pare bat politika idatzi eta gure barne prozesuak apur bat aldatzea; ondoren, lankideei aldaketei buruz trebatu eta beste 3 hilabete itxaron (Β«erregistroakΒ» ager daitezen, hau da, politiken funtzionamenduaren froga). Bazirudien hori guztia zela, eta ziurtagiria gure poltsikoan zegoen.
Horrez gain, ez ginen politikak hutsetik idatziko; azken finean, aholkulari bat genuen, uste genuen bezala, txantiloi "zuzenak" guztiak eman behar zizkigun.
Ondorio hauen ondorioz, 3 egun jarri genituen poliza bakoitza prestatzeko.
Aldaketa teknikoak ere ez ziren ikaragarriak iruditu: beharrezkoa zen gertaeren bilketa eta biltegiratzea konfiguratzea, babeskopiek idatzitako politika betetzen duten ala ez egiaztatu, bulegoak sarbide kontrolatzeko sistemak behar zirenean berritzea eta beste gauza txiki batzuk. .
Ziurtagiria lortzeko beharrezko guztia prestatzen ari zen taldea bi lagunek osatzen zuten. Planifikatu genuen inplementazioan parte hartuko zutela beren ardura nagusiekin batera, eta horretarako egunean 1,5-2 ordu beharko lituzke gehienez.
Laburbilduz, esan dezakegu hurrengo lan-esparruaz gure ikuspegia nahiko baikorra zela.
errealitate
Egia esan, dena berez ezberdina zen: aholkulariak emandako politika txantiloiak gehienetan gure enpresari aplikatzekoak ez zitzaizkion; Interneten ez zegoen ia informazio argirik zer eta nola egin. Imajina dezakezun bezala, "3 egun barru politika bat idazteko" planak huts egin zuen izugarri. Beraz, epeak betetzeari utzi genion ia proiektuaren hasiera-hasieratik, eta poliki-poliki gure aldartea jaisten hasi zen.
Taldearen espezializazioa katastrofikoki txikia zen - hainbeste non ez zen nahikoa aholkulariari galdera egokiak egitea (hark, bide batez, ez zuen ekimen handirik erakutsi). Gauzak are astiroago joaten hasi ziren, inplementazioa hasi eta 3 hilabetera (hau da, dena prest egon behar zen unean), funtsezko bi partaideetako batek taldea utzi zuen. Informatika zerbitzuko arduradun berri batek ordezkatu zuen, zeinak inplementazio-prozesua azkar amaitu behar izan zuen eta informazio-segurtasuna kudeatzeko sistemari ikuspuntu teknikotik beharrezko guztia eskaini. Zaila zirudien zereginak... Arduradunak deprimitzen hasi ziren.
Horrez gain, gaiaren alde teknikoak ere «ñabardurak» dituela. Software globalaren modernizazioaren zereginaren aurrean gaude bai lan-estazioetan, bai zerbitzari-ekipoetan. Gertaerak (erregistroak) biltzeko sistema konfiguratzean, sistemaren funtzionamendu arrunterako hardware baliabide nahikorik ez genuela ikusi zen. Eta backup softwareak ere modernizatu behar zuen.
Spoiler: Ondorioz, ISMS heroikoki ezarri zen 6 hilabetetan. Eta ez zen inor hil ere egin!
Zer aldatu da gehien?
Jakina, estandarraren ezarpenean, aldaketa txiki ugari gertatu ziren enpresaren prozesuetan. Zuretzat aldaketarik esanguratsuenak nabarmendu ditugu:
- Arriskuak ebaluatzeko prozesuaren formalizazioa
Aurretik, konpainiak ez zuen arriskuen ebaluazio prozesu formalik, plangintza estrategiko orokorraren zati gisa bakarrik egiten zen. Ziurtagiriaren barruan ebatzitako zeregin garrantzitsuenetako bat enpresaren Arriskuen Ebaluaziorako Politika ezartzea izan zen, prozesu honen fase guztiak eta fase bakoitzeko arduradunak deskribatzen dituena.
- Biltegiratze euskarri aldagarrien gaineko kontrola
Negozioarentzat arrisku nabarmenetako bat zifratu gabeko USB flash driveak erabiltzea zen: izan ere, edozein langilek eskura zuen edozein informazio idatz zezakeen flash drive batean eta, onenean, galdu. Ziurtagiriaren baitan, edozein informazio flash unitateetan deskargatzeko gaitasuna desgaitu zen langileen lan-estazio guztietan - informazioa grabatzea ahalbidetu zen informatika saileko aplikazio baten bidez soilik.
- Super Erabiltzaileen Kontrola
Arazo nagusietako bat izan zen IT saileko langile guztiek eskubide absolutuak zituztela enpresako sistema guztietan - informazio guztia eskura zuten. Aldi berean, inork ez zituen benetan kontrolatzen.
Datu galeraren prebentzioa (DLP) sistema ezarri dugu, langileen ekintzak monitorizatzeko programa, jarduera arriskutsu eta ez-produktiboei buruz aztertzen, blokeatzen eta abisatzen dituena. Orain, IT saileko langileen ekintzei buruzko alertak konpainiako Operazio Zuzendariaren helbide elektronikora bidaltzen dira.
- Informazio azpiegitura antolatzeko planteamendua
Ziurtagiriak aldaketa eta ikuspegi globalak behar zituen. Bai, zerbitzari-ekipamendu batzuk berritu behar izan genituen karga handitu zelako. Bereziki, ekitaldiak biltzeko sistemetarako zerbitzari bereizi bat eskaini dugu. Zerbitzaria SSD unitate handi eta azkarrez hornituta zegoen. Babeskopia-softwarea alde batera utzi eta beharrezko funtzionalitate guztiak dituzten biltegiratze sistemen aldeko apustua egin genuen. Hainbat urrats handi egin genituen "azpiegitura kode gisa" kontzepturako, eta horri esker, diskoko leku asko aurreztu genuen zerbitzari batzuen babeskopia ezabatuz. Ahalik eta denbora laburrenean (aste 1), lan-estazioetako software guztia Win10-era eguneratu zen. Modernizazioak konpondu zuen arazoetako bat enkriptatzea gaitzeko gaitasuna izan zen (Pro bertsioan).
- Paperezko dokumentuen kontrola
Enpresak arrisku handiak zituen paperezko dokumentuak erabiltzearekin lotuta: gal zitezkeen, leku okerrean utzi edo gaizki suntsitu. Arrisku hori gutxitzeko, paperezko dokumentu guztiak konfidentzialtasun mailaren arabera markatu ditugu eta dokumentu mota desberdinak suntsitzeko prozedura garatu dugu. Orain, langile batek karpeta bat irekitzen duenean edo dokumentu bat hartzen duenean, zehatz-mehatz daki informazio hori zein kategoriatan sartzen den eta nola kudeatu.
- Babeskopiako datu-zentro bat alokatzea
Aurretik, konpainiaren informazio guztia hirugarrenen datu-zentro seguru batean kokatutako zerbitzarietan gordetzen zen. Hala ere, ez zegoen larrialdiko prozedurarik datu-zentro honetan. Irtenbidea hodeiko datu-zentro bat alokatzea zen eta bertan informazio garrantzitsuenaren babeskopia egitea zen. Gaur egun, konpainiaren informazioa geografikoki urruneko bi datu-zentrotan gordetzen da, eta horrek galtzeko arriskua gutxitzen du.
- Negozioaren jarraikortasunaren probak
Gure enpresak hainbat urte daramatza Negozioaren Jarraipeneko Politika (BCP) indarrean, eta bertan langileek hainbat eszenatoki negatibotan egin behar dutena deskribatzen du (bulegorako sarbidea galtzea, epidemia, argindarra etetea, etab.). Hala ere, ez dugu inoiz jarraitutasun-probarik egin; hau da, ez dugu inoiz neurtu zenbat denbora beharko litzatekeen negozioa berreskuratzeko egoera horietako bakoitzean. Ziurtagiriaren auditoretza prestatzeko, hau egin ez ezik, datorren urterako negozioaren jarraikortasunaren probak ere garatu ditugu. Azpimarratzekoa da urtebete beranduago, urrutiko lanera guztiz aldatzeko beharraren aurrean, hiru egunetan egin genuela zeregin hori.
Garrantzitsua da kontuan hartzeaZiurtagiria prestatzen ari diren enpresa guztiek hasierako baldintza desberdinak dituztela; beraz, zure kasuan, aldaketa guztiz desberdinak behar izan daitezke.
Langileen erreakzioak aldaketen aurrean
Bitxia bada ere - hemen okerrena espero genuen - ez zen hain gaizki atera. Ezin da esan lankideek ilusio handiz jaso zutenik ziurtagiriaren berria, baina ondokoa argi zegoen:
- Funtsezko langile guztiek ulertu zuten ekitaldi honen garrantzia eta ezinbestekoa;
- Gainerako langile guztiek langile gakoei begira jarri zieten.
Jakina, gure industriaren berezitasunak asko lagundu zigun: kontabilitate-funtzioak azpikontratatzea. Gure langile gehienek ondo aurre egiten diete Errusiako legediaren etengabeko aldaketei. Horrenbestez, orain bete beharreko dozena pare bat arau berri sartzea ez zen haientzat ohikoa den zerbait.
ISO 27001 derrigorrezko prestakuntza eta proba berriak prestatu ditugu gure langile guztientzat. Denek esanekotasunez kendu zituzten monitoreetatik pasahitzak zituzten ohar itsaskorrak eta dokumentuz jositako mahaiak garbitu zituzten. Ez zen atsekabe ozenik nabaritu; oro har, zorte handia izan genuen gure langileekin.
Horrela, gure negozio prozesuetan izandako aldaketekin lotutako etapa mingarriena gainditu dugu -βdepresioaβ. Zaila eta zaila izan zen, baina azkenean gure itxaropenik basatienak gainditu zituen emaitzak.
Irakurri serieko aurreko materialak:
ISO/IEC 5 ziurtagiriaren ezinbesteko 27001 etapa. Depresioa.
ISO/IEC 5 ziurtagiriaren ezinbesteko 27001 etapa. Adopzioa.
Iturria: www.habr.com