La dépression est la quatrième étape de la réponse émotionnelle au changement. Dans cet article, nous vous parlerons de notre expérience de traverser l'étape la plus longue et la plus désagréable - celle des changements dans les processus commerciaux de l'entreprise afin d'atteindre leur conformité à la norme ISO 27001.
En attente
La première question que nous nous sommes posée après avoir sélectionné l’organisme certificateur et le consultant était de combien de temps aurions-nous réellement besoin pour effectuer tous les changements nécessaires ?
Le plan de travail initial était planifié de telle manière que nous devions le réaliser dans un délai de 3 mois.
Tout semblait simple : il a fallu rédiger quelques dizaines de politiques et modifier légèrement nos processus internes ; puis formez vos collègues sur les changements et attendez encore 3 mois (pour que des « enregistrements », c'est-à-dire des preuves du fonctionnement des politiques), apparaissent. Il semblait que c'était tout - et le certificat était dans notre poche.
De plus, nous n'allions pas rédiger des politiques à partir de zéro - après tout, nous avions un consultant qui, comme nous le pensions, était censé nous fournir tous les modèles « corrects ».
Suite à ces conclusions, nous avons alloué 3 jours pour préparer chaque politique.
Les changements techniques ne semblaient pas non plus intimidants : il fallait mettre en place la collecte et le stockage des événements, vérifier si les sauvegardes étaient conformes à la politique que nous avions rédigée, équiper les bureaux de systèmes de contrôle d'accès si nécessaire, et quelques autres petites choses. .
L'équipe préparant tout le nécessaire à la certification était composée de deux personnes. Nous avions prévu qu'ils seraient impliqués dans la mise en œuvre parallèlement à leurs principales responsabilités, et cela prendrait à chacun d'eux au maximum 1,5 à 2 heures par jour.
En résumé, nous pouvons dire que notre vision de l’étendue des travaux à venir était plutôt optimiste.
La réalité
En réalité, tout était naturellement différent : les modèles de politique fournis par le consultant se sont révélés pour la plupart inapplicables à notre entreprise ; Il n'y avait presque aucune information claire sur Internet sur quoi et comment faire. Comme vous pouvez l’imaginer, le plan visant à « rédiger une politique en 3 jours » a lamentablement échoué. Nous avons donc cessé de respecter les délais presque dès le début du projet et notre humeur a commencé à décliner lentement.
L'expertise de l'équipe était catastrophiquement réduite - à tel point qu'il ne suffisait même pas de poser les bonnes questions au consultant (qui d'ailleurs n'a pas fait preuve de beaucoup d'initiative). Les choses ont commencé à avancer encore plus lentement, puisque 3 mois après le début de la mise en œuvre (c'est-à-dire au moment où tout aurait dû être prêt), l'un des deux acteurs clés a quitté l'équipe. Il a été remplacé par un nouveau chef du service informatique, qui a dû achever rapidement le processus de mise en œuvre et fournir au système de gestion de la sécurité de l'information tout ce qui est le plus nécessaire d'un point de vue technique. La tâche s'annonçait difficile... Les responsables commençaient à devenir déprimés.
De plus, l'aspect technique de la question s'est également avéré avoir des « nuances ». Nous sommes confrontés à la tâche de modernisation globale des logiciels tant sur les postes de travail que sur les équipements serveurs. Lors de la configuration du système pour collecter des événements (journaux), il s'est avéré que nous ne disposions pas de suffisamment de ressources matérielles pour le fonctionnement normal du système. Et le logiciel de sauvegarde avait également besoin d'être modernisé.
Spoiler : En conséquence, le SMSI a été héroïquement mis en œuvre en 6 mois. Et personne n'est même mort !
Qu’est-ce qui a le plus changé ?
Bien entendu, lors de la mise en œuvre de la norme, un grand nombre de petits changements ont eu lieu dans les processus de l’entreprise. Nous avons souligné pour vous les changements les plus significatifs :
- Formalisation du processus d'évaluation des risques
Auparavant, l'entreprise ne disposait d'aucun processus formel d'évaluation des risques ; elle n'était effectuée qu'en passant, dans le cadre de la planification stratégique globale. L’une des tâches les plus importantes résolues dans le cadre de la certification a été la mise en œuvre de la politique d’évaluation des risques de l’entreprise, qui décrit toutes les étapes de ce processus et les personnes responsables de chaque étape.
- Contrôle des supports de stockage amovibles
L'un des risques importants pour les entreprises était l'utilisation de clés USB non cryptées : en effet, n'importe quel employé pouvait écrire n'importe quelle information dont il disposait sur une clé USB et, au mieux, la perdre. Dans le cadre de la certification, la possibilité de télécharger des informations sur des clés USB a été désactivée sur tous les postes de travail des employés - l'enregistrement des informations n'est devenu possible que via une application au service informatique.
- Contrôle super utilisateur
L'un des principaux problèmes résidait dans le fait que tous les employés du service informatique disposaient de droits absolus sur tous les systèmes de l'entreprise : ils avaient accès à toutes les informations. En même temps, personne ne les contrôlait vraiment.
Nous avons mis en place un système de prévention des pertes de données (DLP) - un programme de surveillance des actions des employés qui analyse, bloque et alerte sur les activités dangereuses et improductives. Désormais, les alertes sur les actions des employés du service informatique sont envoyées à l'adresse e-mail du directeur des opérations de l'entreprise.
- Approche d'organisation de l'infrastructure de l'information
La certification nécessitait des changements et des approches globales. Oui, nous avons dû mettre à niveau un certain nombre d'équipements de serveur en raison de l'augmentation de la charge. En particulier, nous avons dédié un serveur distinct pour les systèmes de collecte d'événements. Le serveur était équipé de disques SSD volumineux et rapides. Nous avons abandonné les logiciels de sauvegarde et opté pour des systèmes de stockage dotés de toutes les fonctionnalités nécessaires prêtes à l'emploi. Nous avons fait plusieurs grands pas vers le concept « infrastructure as code », ce qui nous a permis d'économiser beaucoup d'espace disque en éliminant la sauvegarde d'un certain nombre de serveurs. Dans les plus brefs délais (1 semaine), tous les logiciels des postes de travail ont été mis à niveau vers Win10. L'un des problèmes résolus par la modernisation était la possibilité d'activer le cryptage (dans la version Pro).
- Contrôle des documents papier
L'entreprise courait des risques importants liés à l'utilisation de documents papier : ils pouvaient être perdus, laissés au mauvais endroit ou détruits de manière inappropriée. Pour minimiser ce risque, nous avons marqué tous les documents papier selon le niveau de confidentialité et développé une procédure de destruction de différents types de documents. Désormais, lorsqu'un collaborateur ouvre un dossier ou prend un document, il sait exactement à quelle catégorie appartient cette information et comment la traiter.
- Louer un centre de données de secours
Auparavant, toutes les informations de l'entreprise étaient stockées sur des serveurs situés dans un centre de données sécurisé tiers. Cependant, aucune procédure d’urgence n’était en place dans ce centre de données. La solution consistait à louer un centre de données cloud de sauvegarde et à y sauvegarder les informations les plus importantes. Actuellement, les informations de l’entreprise sont stockées dans deux centres de données géographiquement éloignés, ce qui minimise le risque de perte.
- Tests de continuité des activités
Notre entreprise a mis en place depuis plusieurs années une Politique de Continuité d'Activité (PCA), qui décrit ce que les employés doivent faire dans divers scénarios négatifs (perte d'accès au bureau, épidémie, panne de courant, etc.). Cependant, nous n'avons jamais effectué de tests de continuité, c'est-à-dire que nous n'avons jamais mesuré combien de temps il faudrait pour rétablir l'activité dans chacune de ces situations. En préparation de l'audit de certification, nous avons non seulement fait cela, mais avons également élaboré un plan de tests de continuité des activités pour l'année à venir. Il convient de noter qu'un an plus tard, lorsque nous avons été confrontés à la nécessité de passer complètement au travail à distance, nous avons accompli cette tâche en trois jours.
Il est important de noter, que toutes les entreprises se préparant à la certification ont des conditions de départ différentes - par conséquent, dans votre cas, des changements complètement différents peuvent être nécessaires.
Réactions des employés aux changements
Curieusement - ici, nous nous attendions au pire - cela ne s'est pas si mal passé. On ne peut pas dire que les collègues ont reçu la nouvelle de la certification avec beaucoup d'enthousiasme, mais ce qui suit était clair :
- Tous les employés clés ont compris l'importance et le caractère inévitable de cet événement ;
- Tous les autres employés admiraient les employés clés.
Bien entendu, les spécificités de notre secteur nous ont beaucoup aidés : l'externalisation des fonctions comptables. La grande majorité de nos employés s'adaptent bien aux changements constants de la législation russe. En conséquence, l’introduction de quelques douzaines de nouvelles règles qui doivent désormais être respectées n’était pas pour eux quelque chose d’extraordinaire.
Nous avons préparé de nouvelles formations et tests ISO 27001 obligatoires pour tous nos employés. Tout le monde a docilement retiré les notes autocollantes avec les mots de passe de leurs écrans et a débarrassé les bureaux jonchés de documents. Aucune insatisfaction bruyante n'a été constatée - en général, nous avons eu beaucoup de chance avec nos employés.
Ainsi, nous avons franchi l'étape la plus douloureuse - la « dépression » - associée aux changements dans nos processus commerciaux. C'était dur et difficile, mais le résultat final a dépassé toutes nos attentes les plus folles.
Lisez les documents précédents de la série :
5 étapes de la fatalité de la certification ISO/IEC 27001. Dépression.
5 étapes de la fatalité de la certification ISO/IEC 27001. Adoption.
Source: habr.com