Tahap keempat dari respons emosional terhadap perubahan adalah depresi. Pada artikel ini kami akan memberi tahu Anda tentang pengalaman kami melalui tahap yang paling berlarut-larut dan tidak menyenangkan - tentang perubahan dalam proses bisnis perusahaan untuk mencapai kepatuhannya terhadap standar ISO 27001.
Menunggu
Pertanyaan pertama yang kami ajukan pada diri sendiri setelah memilih lembaga sertifikasi dan konsultan adalah berapa banyak waktu yang benar-benar kami perlukan untuk melakukan semua perubahan yang diperlukan?
Rencana kerja awal dijadwalkan sedemikian rupa sehingga kami harus menyelesaikannya dalam waktu 3 bulan.
Semuanya terlihat sederhana: kami perlu menulis beberapa lusin kebijakan dan sedikit mengubah proses internal kami; kemudian latih rekan-rekan tentang perubahan tersebut dan tunggu 3 bulan lagi (sehingga muncul “catatan”, yaitu bukti berfungsinya kebijakan). Sepertinya itu saja - dan sertifikatnya ada di saku kami.
Selain itu, kami tidak akan menulis kebijakan dari awal - lagi pula, kami memiliki konsultan yang, menurut kami, seharusnya memberi kami semua templat yang “benar”.
Berdasarkan kesimpulan tersebut, kami mengalokasikan waktu 3 hari untuk mempersiapkan setiap kebijakan.
Perubahan teknisnya juga tidak tampak sulit: diperlukan pengaturan pengumpulan dan penyimpanan peristiwa, memeriksa apakah pencadangan mematuhi kebijakan yang kami tulis, melengkapi kantor dengan sistem kontrol akses jika diperlukan, dan beberapa hal kecil lainnya. .
Tim yang mempersiapkan segala sesuatu yang diperlukan untuk sertifikasi terdiri dari dua orang. Kami merencanakan bahwa mereka akan dilibatkan dalam implementasi sejalan dengan tanggung jawab utama mereka, dan ini akan memakan waktu maksimal 1,5-2 jam sehari bagi mereka masing-masing.
Sebagai rangkuman, kami dapat mengatakan bahwa pandangan kami terhadap lingkup pekerjaan yang akan datang cukup optimis.
Kenyataan
Pada kenyataannya, semuanya berbeda secara alami: templat kebijakan yang disediakan oleh konsultan ternyata sebagian besar tidak dapat diterapkan di perusahaan kami; Hampir tidak ada informasi yang jelas di Internet tentang apa dan bagaimana melakukannya. Seperti yang bisa Anda bayangkan, rencana untuk “menulis satu polis dalam 3 hari” gagal total. Jadi kami berhenti memenuhi tenggat waktu hampir sejak awal proyek, dan suasana hati kami perlahan mulai turun.
Keahlian tim ini sangat kecil - sedemikian rupa sehingga tidak cukup untuk mengajukan pertanyaan yang tepat kepada konsultan (yang, omong-omong, tidak menunjukkan banyak inisiatif). Segalanya mulai berjalan lebih lambat, karena 3 bulan setelah dimulainya implementasi (yaitu, pada saat segala sesuatunya seharusnya sudah siap), salah satu dari dua peserta kunci keluar dari tim. Dia digantikan oleh kepala layanan TI yang baru, yang harus segera menyelesaikan proses implementasi dan menyediakan semua yang diperlukan sistem manajemen keamanan informasi dari sudut pandang teknis. Tugasnya tampak sulit... Mereka yang bertanggung jawab mulai mengalami depresi.
Selain itu, dari sisi teknis permasalahannya juga ternyata memiliki “nuansa”. Kita dihadapkan pada tugas modernisasi perangkat lunak global baik pada workstation maupun pada peralatan server. Saat menyiapkan sistem untuk mengumpulkan peristiwa (log), ternyata kami tidak memiliki sumber daya perangkat keras yang cukup untuk fungsi normal sistem. Dan perangkat lunak cadangan juga memerlukan modernisasi.
Spoiler: Hasilnya, ISMS dilaksanakan secara heroik dalam waktu 6 bulan. Dan tidak ada seorang pun yang meninggal!
Apa yang paling berubah?
Tentu saja, selama penerapan standar ini, sejumlah besar perubahan kecil terjadi dalam proses perusahaan. Kami telah menyoroti perubahan paling signifikan untuk Anda:
- Formalisasi proses penilaian risiko
Sebelumnya, perusahaan tidak memiliki proses penilaian risiko formal - hal ini dilakukan hanya sekilas sebagai bagian dari perencanaan strategis secara keseluruhan. Salah satu tugas terpenting yang diselesaikan sebagai bagian dari sertifikasi adalah penerapan Kebijakan Penilaian Risiko perusahaan, yang menjelaskan semua tahapan proses ini dan orang-orang yang bertanggung jawab untuk setiap tahapan.
- Kontrol atas media penyimpanan yang dapat dilepas
Salah satu risiko signifikan bagi bisnis adalah penggunaan flash drive USB yang tidak terenkripsi: pada kenyataannya, setiap karyawan dapat menulis informasi apa pun yang tersedia baginya ke dalam flash drive dan, paling banter, kehilangannya. Sebagai bagian dari sertifikasi, kemampuan untuk mengunduh informasi apa pun ke flash drive dinonaktifkan di semua stasiun kerja karyawan - pencatatan informasi hanya dapat dilakukan melalui aplikasi ke departemen TI.
- Kontrol Pengguna Super
Salah satu masalah utama adalah kenyataan bahwa semua karyawan departemen TI memiliki hak mutlak di semua sistem perusahaan - mereka memiliki akses ke semua informasi. Pada saat yang sama, tidak ada yang benar-benar mengendalikannya.
Kami telah menerapkan sistem Pencegahan Kehilangan Data (DLP) - sebuah program untuk memantau tindakan karyawan yang menganalisis, memblokir, dan memperingatkan tentang aktivitas berbahaya dan tidak produktif. Kini peringatan tentang tindakan karyawan departemen TI dikirim ke alamat email Direktur Operasi perusahaan.
- Pendekatan pengorganisasian infrastruktur informasi
Sertifikasi memerlukan perubahan dan pendekatan global. Ya, kami harus mengupgrade sejumlah peralatan server karena beban yang bertambah. Secara khusus, kami telah mendedikasikan server terpisah untuk sistem pengumpulan acara. Server dilengkapi dengan drive SSD yang besar dan cepat. Kami meninggalkan perangkat lunak pencadangan dan memilih sistem penyimpanan yang memiliki semua fungsi yang diperlukan. Kami mengambil beberapa langkah besar menuju konsep “infrastruktur sebagai kode”, yang memungkinkan kami menghemat banyak ruang disk dengan menghilangkan cadangan sejumlah server. Dalam waktu sesingkat-singkatnya (1 minggu), semua software di workstation diupgrade ke Win10. Salah satu masalah yang dipecahkan oleh modernisasi adalah kemampuan untuk mengaktifkan enkripsi (dalam versi Pro).
- Kontrol atas dokumen kertas
Perusahaan memiliki risiko besar terkait dengan penggunaan dokumen kertas: dokumen tersebut dapat hilang, tertinggal di tempat yang salah, atau dimusnahkan secara tidak semestinya. Untuk meminimalkan risiko ini, kami telah menandai semua dokumen kertas sesuai dengan tingkat kerahasiaannya dan mengembangkan prosedur untuk memusnahkan berbagai jenis dokumen. Sekarang, ketika seorang karyawan membuka folder atau mengambil dokumen, dia tahu persis kategori apa yang termasuk dalam informasi tersebut dan bagaimana menanganinya.
- Menyewa pusat data cadangan
Sebelumnya, semua informasi perusahaan disimpan di server yang berlokasi di pusat data aman pihak ketiga. Namun, tidak ada prosedur darurat yang diterapkan di pusat data ini. Solusinya adalah dengan menyewa pusat data cloud cadangan dan mencadangkan informasi terpenting di sana. Saat ini, informasi perusahaan disimpan di dua pusat data yang secara geografis jauh, sehingga meminimalkan risiko kehilangan informasi.
- Pengujian kelangsungan bisnis
Perusahaan kami telah menerapkan Kebijakan Kesinambungan Bisnis (BCP) selama beberapa tahun, yang menjelaskan apa yang harus dilakukan karyawan dalam berbagai skenario negatif (kehilangan akses ke kantor, epidemi, pemadaman listrik, dll.). Namun, kami tidak pernah melakukan pengujian kontinuitas - yaitu, kami tidak pernah mengukur berapa lama waktu yang diperlukan untuk memulihkan bisnis dalam setiap situasi ini. Dalam persiapan audit sertifikasi, kami tidak hanya melakukan hal ini, namun juga mengembangkan rencana pengujian kelangsungan bisnis untuk tahun mendatang. Perlu dicatat bahwa setahun kemudian, ketika kami dihadapkan pada kebutuhan untuk sepenuhnya beralih ke pekerjaan jarak jauh, kami menyelesaikan tugas ini dalam tiga hari.
Penting untuk diperhatikan, bahwa semua perusahaan yang mempersiapkan sertifikasi memiliki kondisi awal yang berbeda - oleh karena itu, dalam kasus Anda, perubahan yang sangat berbeda mungkin diperlukan.
Reaksi karyawan terhadap perubahan
Anehnya - di sini kami mengharapkan yang terburuk - ternyata tidak terlalu buruk. Tidak bisa dikatakan rekan-rekan menerima kabar sertifikasi dengan sangat antusias, namun yang jelas berikut ini:
- Seluruh karyawan kunci memahami pentingnya dan keniscayaan peristiwa ini;
- Semua karyawan lainnya memandang karyawan kunci.
Tentu saja, spesifikasi industri kami banyak membantu kami - melakukan outsourcing fungsi akuntansi. Sebagian besar karyawan kami dapat mengatasi perubahan terus-menerus dalam undang-undang Rusia dengan baik. Oleh karena itu, pemberlakuan beberapa lusin peraturan baru yang kini harus dipatuhi bukanlah sesuatu yang luar biasa bagi mereka.
Kami telah menyiapkan pelatihan dan pengujian ISO 27001 wajib baru untuk semua karyawan kami. Semua orang dengan patuh menghapus catatan tempel berisi kata sandi dari monitor mereka dan membersihkan meja yang penuh dengan dokumen. Tidak ada ketidakpuasan besar yang terlihat - secara umum, kami sangat beruntung dengan karyawan kami.
Dengan demikian, kita telah melewati tahap yang paling menyakitkan - “depresi” - terkait dengan perubahan dalam proses bisnis kita. Itu sulit dan sulit, tetapi hasilnya pada akhirnya melebihi semua ekspektasi terliar kami.
Baca materi sebelumnya dari seri ini:
5 tahapan sertifikasi ISO/IEC 27001 yang tak terhindarkan. Depresi.
5 tahapan sertifikasi ISO/IEC 27001 yang tak terhindarkan. Adopsi.
Sumber: www.habr.com