A cuarta etapa da resposta emocional ao cambio é a depresión. Neste artigo falarémosche da nosa experiencia de pasar pola etapa máis prolongada e desagradable: os cambios nos procesos de negocio da empresa para lograr o cumprimento da norma ISO 27001.
Agardando
A primeira pregunta que nos fixemos despois de seleccionar o organismo certificador e o consultor foi canto tempo necesitaríamos realmente para facer todos os cambios necesarios?
O plan de traballo inicial estaba programado de tal xeito que tiñamos que rematalo nun prazo de 3 meses.
Todo parecía sinxelo: era necesario redactar un par de ducias de políticas e cambiar lixeiramente os nosos procesos internos; logo formar aos compañeiros sobre os cambios e esperar outros 3 meses (para que aparezan “rexistros”, é dicir, evidencias do funcionamento das políticas). Parecía que iso era todo, e o certificado estaba no noso peto.
Ademais, non íamos escribir políticas desde cero; despois de todo, tiñamos un consultor que, como pensabamos, debía darnos todos os modelos "correctos".
Como resultado destas conclusións, destinamos 3 días para elaborar cada póliza.
Os cambios técnicos tampouco parecían desalentadores: houbo que configurar a recollida e almacenamento de eventos, comprobar se as copias de seguridade cumpren a política que redactamos, acondicionar as oficinas con sistemas de control de acceso cando fose necesario e algunhas pequenas cousas máis. .
O equipo que preparaba todo o necesario para a certificación estaba formado por dúas persoas. Planificamos que se implicasen na implementación en paralelo coas súas principais responsabilidades, e isto levaría a cada un deles un máximo de 1,5-2 horas ao día.
En resumo, podemos dicir que a nosa visión do próximo alcance do traballo foi bastante optimista.
Realidade
En realidade, todo era naturalmente diferente: os modelos de políticas proporcionados polo consultor resultaron ser na súa maioría inaplicables á nosa empresa; Case non había información clara en Internet sobre o que e como facer. Como podes imaxinar, o plan de "escribir unha política en 3 días" fracasou estrepitosamente. Así que deixamos de cumprir os prazos case desde o inicio do proxecto, e o noso estado de ánimo comezou a caer lentamente.
A experiencia do equipo foi catastróficamente pequena, tanto que nin sequera foi suficiente para facer as preguntas correctas ao consultor (que, por certo, non mostrou moita iniciativa). As cousas comezaron a avanzar aínda máis lentamente, xa que 3 meses despois do inicio da implantación (é dicir, no momento no que debería estar todo listo), un dos dous participantes clave abandonou o equipo. Foi substituído por un novo xefe de servizo de informática, que tivo que completar rapidamente o proceso de implantación e dotar ao sistema de xestión da seguridade da información todo o necesario dende o punto de vista técnico. A tarefa parecía difícil... Os responsables comezaron a deprimirse.
Ademais, a parte técnica do tema tamén resultou ter "matices". Atopámonos ante a tarefa de modernización global do software tanto en estacións de traballo como en equipos de servidor. Ao configurar o sistema para recoller eventos (rexistros), resultou que non tiñamos suficientes recursos de hardware para o funcionamento normal do sistema. E o software de copia de seguridade tamén necesitaba unha modernización.
Spoiler: como resultado, o ISMS foi implementado heroicamente en 6 meses. E nin sequera morreu ninguén!
Que cambiou máis?
Por suposto, durante a implementación da norma, producíronse un gran número de pequenos cambios nos procesos da empresa. Destacamos os cambios máis significativos para ti:
- Formalización do proceso de avaliación de riscos
Anteriormente, a empresa non tiña un proceso formal de avaliación de riscos; facíase só de pasada como parte da planificación estratéxica xeral. Unha das tarefas máis importantes resoltas no marco da certificación foi a implantación da Política de Avaliación de Riscos da empresa, que describe todas as fases deste proceso e os responsables de cada unha delas.
- Control sobre os medios de almacenamento extraíbles
Un dos riscos importantes para as empresas era o uso de unidades flash USB sen cifrar: de feito, calquera empregado podía escribir calquera información dispoñible nunha unidade flash e, no mellor dos casos, perdela. Como parte da certificación, desactivouse a posibilidade de descargar calquera información en unidades flash en todas as estacións de traballo dos empregados; a gravación da información só foi posible a través dunha aplicación ao departamento de TI.
- Super Control de Usuario
Un dos principais problemas foi o feito de que todos os empregados do departamento de TI tiñan dereitos absolutos en todos os sistemas da empresa: tiñan acceso a toda a información. Ao mesmo tempo, ninguén os controlaba realmente.
Implementamos un sistema de prevención da perda de datos (DLP), un programa para supervisar as accións dos empregados que analiza, bloquea e alerta sobre actividades perigosas e improdutivas. Agora as alertas sobre as accións dos empregados do departamento de TI envíanse ao enderezo de correo electrónico do director de operacións da empresa.
- Aproximación á organización da infraestrutura da información
A certificación requiriu cambios e enfoques globais. Si, tivemos que actualizar varios equipos de servidor debido ao aumento da carga. En particular, dedicamos un servidor separado para os sistemas de recollida de eventos. O servidor estaba equipado con unidades SSD grandes e rápidas. Abandonamos o software de copia de seguridade e optamos por sistemas de almacenamento que teñan todas as funcionalidades necesarias. Fixemos varios grandes pasos cara ao concepto de "infraestrutura como código", o que nos permitiu aforrar moito espazo no disco eliminando a copia de seguridade dunha serie de servidores. No menor tempo posible (1 semana), todo o software das estacións de traballo actualizouse a Win10. Un dos problemas que resolveu a modernización foi a posibilidade de habilitar o cifrado (na versión Pro).
- Control dos documentos en papel
A empresa tiña riscos importantes asociados ao uso de documentos en papel: podían perderse, deixarse no lugar equivocado ou destruírse de forma inadecuada. Para minimizar este risco, marcamos todos os documentos en papel segundo o nivel de confidencialidade e elaboramos un procedemento para destruír distintos tipos de documentos. Agora, cando un empregado abre un cartafol ou toma un documento, sabe exactamente en que categoría está esta información e como tratala.
- Aluguer un centro de datos de copia de seguridade
Anteriormente, toda a información da empresa almacenábase en servidores situados nun centro de datos seguro de terceiros. Non obstante, non houbo procedementos de emerxencia neste centro de datos. A solución foi alugar un centro de datos na nube de copia de seguridade e facer unha copia de seguridade da información máis importante alí. Actualmente, a información da compañía almacénase en dous centros de datos xeograficamente remotos, o que minimiza o risco da súa perda.
- Probas de continuidade do negocio
A nosa empresa conta desde hai varios anos cunha Política de Continuidade do Negocio (BCP) que describe o que deben facer os empregados ante diversos escenarios negativos (perda de acceso á oficina, epidemia, corte de luz, etc.). Non obstante, nunca realizamos probas de continuidade, é dicir, nunca medimos o tempo que levaría restaurar o negocio en cada unha destas situacións. Como preparación para a auditoría de certificación, non só fixemos isto, senón que tamén desenvolvemos un plan de probas de continuidade empresarial para o ano que vén. Cabe destacar que un ano despois, cando nos enfrontamos á necesidade de pasar por completo ao teletraballo, rematamos esta tarefa en tres días.
É importante notar, que todas as empresas que se preparan para a certificación teñen condicións de partida diferentes; polo tanto, no seu caso, poden ser necesarios cambios completamente diferentes.
Reaccións dos empregados aos cambios
Curiosamente, aquí esperabamos o peor, non resultou tan malo. Non se pode dicir que os compañeiros recibisen a noticia da certificación con moito entusiasmo, pero quedou claro o seguinte:
- Todos os empregados clave entenderon a importancia e a inevitabilidade deste evento;
- Todos os demais empregados admiraban os empregados clave.
Por suposto, as particularidades da nosa industria axudáronnos moito: a externalización de funcións contables. A gran maioría dos nosos empregados afrontan ben os cambios constantes na lexislación rusa. En consecuencia, a introdución dun par de ducias de novas regras que agora deben ser observadas non foi algo fóra do común para eles.
Preparamos unha nova formación e probas obrigatorias ISO 27001 para todos os nosos empregados. Todos quitaron obedientemente as notas adhesivas con contrasinais dos seus monitores e limparon os escritorios cheos de documentos. Non se notou ningunha insatisfacción forte; en xeral, tivemos moita sorte cos nosos empregados.
Así, pasamos a etapa máis dolorosa - "depresión" - asociada aos cambios nos nosos procesos de negocio. Foi duro e difícil, pero o resultado ao final superou todas as nosas expectativas máis salvaxes.
Ler materiais anteriores da serie:
5 etapas da inevitabilidade da certificación ISO/IEC 27001. Depresión.
5 etapas da inevitabilidade da certificación ISO/IEC 27001. Adopción.
Fonte: www.habr.com