Četvrta faza emocionalnog odgovora na promjenu je depresija. U ovom članku ćemo vam reći o našem iskustvu prolaska kroz najdužu i najneugodniju fazu - o promjenama u poslovnim procesima tvrtke kako bi se postigla njihova usklađenost sa standardom ISO 27001.
očekivanje
Prvo pitanje koje smo si postavili nakon odabira certifikacijskog tijela i konzultanta bilo je koliko će nam stvarno vremena trebati da napravimo sve potrebne promjene?
Početni plan rada bio je zacrtan na način da smo ga morali završiti u roku od 3 mjeseca.
Sve je izgledalo jednostavno: bilo je potrebno napisati nekoliko desetaka politika i malo promijeniti interne procese; zatim obučiti kolege o promjenama i pričekati još 3 mjeseca (da se pojave “zapisi”, odnosno dokazi o funkcioniranju politika). Činilo se da je to sve – a potvrda je bila u našem džepu.
Osim toga, nismo namjeravali pisati politike od nule - na kraju krajeva, imali smo konzultanta koji nam je, kako smo mislili, trebao dati sve "ispravne" predloške.
Kao rezultat ovih zaključaka, dodijelili smo 3 dana za pripremu svake politike.
Tehničke promjene također nisu izgledale zastrašujuće: bilo je potrebno postaviti prikupljanje i pohranjivanje događaja, provjeriti jesu li sigurnosne kopije u skladu s politikom koju smo napisali, opremiti urede sustavima kontrole pristupa gdje je to potrebno i još par sitnica .
Tim koji je pripremao sve što je potrebno za certifikaciju činilo je dvoje ljudi. Planirali smo da će oni biti uključeni u implementaciju paralelno sa svojim glavnim obavezama, a to će svakom od njih oduzeti najviše 1,5-2 sata dnevno.
Ukratko, možemo reći da je naš pogled na nadolazeći opseg posla bio prilično optimističan.
Stvarnost
U stvarnosti je sve bilo prirodno drugačije: predlošci politike koje je dao konzultant pokazali su se uglavnom neprimjenjivima na našu tvrtku; Na internetu gotovo da nije bilo jasnih informacija o tome što i kako učiniti. Kao što možete zamisliti, plan da se "napiše jedna polica u 3 dana" neslavno je propao. Tako smo gotovo od samog početka projekta prestali poštovati rokove i raspoloženje nam je počelo polako padati.
Stručnost tima bila je katastrofalno mala - toliko da nije bila dovoljna ni za postavljanje pravih pitanja konzultantu (koji, usput, nije pokazao previše inicijative). Stvari su se počele odvijati još sporije, budući da je 3 mjeseca nakon početka implementacije (odnosno u trenutku kada je sve trebalo biti spremno) jedan od dva ključna sudionika napustio tim. Zamijenio ga je novi voditelj informatičke službe, koji je morao brzo završiti proces implementacije i osigurati sustavu upravljanja informacijskom sigurnošću sve najnužnije s tehničkog aspekta. Zadatak je izgledao težak... Glavni su počeli padati u depresiju.
Osim toga, pokazalo se da tehnička strana problema također ima "nijanse". Pred nama je zadatak globalne modernizacije softvera kako na radnim stanicama tako i na poslužiteljskoj opremi. Prilikom postavljanja sustava za prikupljanje događaja (logova) pokazalo se da nemamo dovoljno hardverskih resursa za normalan rad sustava. Softver za sigurnosno kopiranje također je trebao modernizirati.
Spoiler: Kao rezultat toga, ISMS je herojski implementiran u 6 mjeseci. A nitko nije ni umro!
Što se najviše promijenilo?
Naravno, tijekom implementacije standarda dogodio se velik broj malih promjena u procesima tvrtke. Za vas smo izdvojili najznačajnije promjene:
- Formalizacija procesa procjene rizika
Prethodno tvrtka nije imala formalni proces procjene rizika - to se radilo samo usput kao dio cjelokupnog strateškog planiranja. Jedan od najvažnijih zadataka koji je riješen u sklopu certificiranja bila je implementacija Politike procjene rizika tvrtke koja opisuje sve faze ovog procesa i osobe odgovorne za svaku fazu.
- Kontrola nad prijenosnim medijima za pohranu
Jedan od značajnih rizika za poslovanje bilo je korištenje nešifriranih USB flash pogona: zapravo, svaki zaposlenik mogao je zapisati bilo koju informaciju koja mu je dostupna na flash pogon i, u najboljem slučaju, izgubiti ga. U sklopu certificiranja, na svim radnim stanicama zaposlenika onemogućeno je preuzimanje bilo kakvih informacija na flash diskove - snimanje informacija postalo je moguće samo putem aplikacije IT odjelu.
- Super korisnička kontrola
Jedan od glavnih problema bila je činjenica da su svi zaposlenici IT odjela imali apsolutna prava u svim sustavima tvrtke – imali su pristup svim informacijama. Pritom ih zapravo nitko nije kontrolirao.
Implementirali smo Data Loss Prevention (DLP) sustav - program za praćenje radnji zaposlenika koji analizira, blokira i upozorava na opasne i neproduktivne aktivnosti. Sada se upozorenja o postupcima zaposlenika IT odjela šalju na e-mail adresu direktora operacija tvrtke.
- Pristup organiziranju informacijske infrastrukture
Certifikacija je zahtijevala globalne promjene i pristupe. Da, morali smo nadograditi niz serverske opreme zbog povećanog opterećenja. Konkretno, posvetili smo poseban poslužitelj za sustave prikupljanja događaja. Poslužitelj je bio opremljen velikim i brzim SSD diskovima. Odustali smo od softvera za sigurnosno kopiranje i odlučili se za sustave za pohranu podataka koji imaju sve potrebne funkcije odmah po otvaranju. Napravili smo nekoliko velikih koraka prema konceptu "infrastruktura kao kod", što nam je omogućilo uštedu puno prostora na disku eliminacijom sigurnosne kopije određenog broja poslužitelja. U najkraćem mogućem roku (1 tjedan) sav softver na radnim stanicama je nadograđen na Win10. Jedan od problema koji je modernizacija riješila bila je mogućnost omogućavanja enkripcije (u Pro verziji).
- Kontrola papirnatih dokumenata
Tvrtka je imala značajne rizike povezane s korištenjem papirnatih dokumenata: mogli su se izgubiti, ostaviti na krivom mjestu ili nepropisno uništiti. Kako bismo minimizirali ovaj rizik, sve smo papirnate dokumente označili stupnjem povjerljivosti i razvili proceduru za uništavanje različitih vrsta dokumenata. Sada, kada zaposlenik otvori mapu ili uzme dokument, on točno zna u koju kategoriju ta informacija spada i kako s njom postupati.
- Najam backup data centra
Prethodno su sve informacije o tvrtki bile pohranjene na poslužiteljima koji su se nalazili u sigurnom podatkovnom centru treće strane. Međutim, u ovom podatkovnom centru nije bilo hitnih postupaka. Rješenje je bilo unajmiti rezervni podatkovni centar u oblaku i tamo napraviti sigurnosnu kopiju najvažnijih informacija. Trenutno se podaci tvrtke pohranjuju u dva geografski udaljena podatkovna centra, što minimizira rizik od njihovog gubitka.
- Testiranje kontinuiteta poslovanja
Naša tvrtka već nekoliko godina ima Politiku kontinuiteta poslovanja (BCP) koja opisuje što bi zaposlenici trebali učiniti u različitim negativnim scenarijima (gubitak pristupa uredu, epidemija, nestanak struje itd.). Međutim, nikada nismo proveli testiranje kontinuiteta – to jest, nikada nismo mjerili koliko bi vremena trebalo da se obnovi poslovanje u svakoj od ovih situacija. U pripremi za certifikacijski audit ne samo da smo to napravili, već smo izradili i plan testiranja kontinuiteta poslovanja za narednu godinu. Vrijedi napomenuti da smo godinu dana kasnije, kada smo se suočili s potrebom potpunog prelaska na daljinski rad, taj zadatak obavili u tri dana.
Važno je napomenuti, da sve tvrtke koje se pripremaju za certifikaciju imaju različite početne uvjete - stoga bi u vašem slučaju mogle biti potrebne potpuno drugačije promjene.
Reakcije zaposlenika na promjene
Čudno - ovdje smo očekivali najgore - pokazalo se da nije tako loše. Ne može se reći da su kolege vijest o certificiranju primile s velikim oduševljenjem, no jasno je bilo sljedeće:
- Svi ključni zaposlenici shvatili su važnost i neizbježnost ovog događaja;
- Svi ostali zaposlenici ugledali su se na ključne zaposlenike.
Naravno, puno nam je pomogla specifičnost naše branše – outsourcing računovodstvenih funkcija. Velika većina naših zaposlenika dobro se nosi sa stalnim promjenama ruskog zakonodavstva. Sukladno tome, uvođenje nekoliko desetaka novih pravila kojih se sada moraju pridržavati za njih nije bilo ništa neobično.
Pripremili smo novu obaveznu obuku i testiranje ISO 27001 za sve naše zaposlenike. Svi su poslušno skinuli ceduljice s lozinkama sa svojih monitora i raščistili stolove zatrpane dokumentima. Nije primijećeno glasno nezadovoljstvo - općenito smo imali puno sreće s našim zaposlenicima.
Time smo prošli najbolniju fazu - „depresiju“ - povezanu s promjenama u našim poslovnim procesima. Bilo je teško i teško, ali rezultat je na kraju nadmašio sva naša najluđa očekivanja.
Pročitajte prethodne materijale iz serije:
5 faza neizbježnosti ISO/IEC 27001 certifikacije. Depresija.
5 faza neizbježnosti ISO/IEC 27001 certifikacije. Posvajanje.
Izvor: www.habr.com