Il quarto stadio della risposta emotiva al cambiamento è la depressione. In questo articolo ti parleremo della nostra esperienza nel passaggio attraverso la fase più lunga e spiacevole: i cambiamenti nei processi aziendali dell'azienda al fine di raggiungere la conformità allo standard ISO 27001.
aspettativa
La prima domanda che ci siamo posti dopo aver selezionato l’ente certificatore e il consulente è stata: quanto tempo avremmo realmente avuto bisogno per apportare tutte le modifiche necessarie?
Il piano di lavoro iniziale era programmato in modo tale da doverlo completare entro 3 mesi.
Tutto sembrava semplice: era necessario scrivere un paio di dozzine di policy e modificare leggermente i nostri processi interni; quindi formare i colleghi sui cambiamenti e attendere altri 3 mesi (in modo che appaiano i “record”, cioè la prova del funzionamento delle politiche). Sembrava che fosse tutto e il certificato era nelle nostre tasche.
Inoltre, non avremmo scritto le politiche da zero - dopo tutto, avevamo un consulente che, come pensavamo, avrebbe dovuto fornirci tutti i modelli "corretti".
Come risultato di queste conclusioni, abbiamo assegnato 3 giorni per preparare ciascuna politica.
Anche i cambiamenti tecnici non sono sembrati scoraggianti: è stato necessario predisporre la raccolta e l'archiviazione degli eventi, verificare se i backup rispettano la policy che abbiamo scritto, dotare gli uffici di sistemi di controllo degli accessi ove necessario e qualche altra piccola cosa .
Il team che preparava tutto il necessario per la certificazione era composto da due persone. Avevamo previsto che sarebbero stati coinvolti nell'implementazione parallelamente alle loro responsabilità principali, e questo avrebbe richiesto a ciascuno di loro un massimo di 1,5-2 ore al giorno.
Per riassumere, possiamo dire che la nostra visione del prossimo ambito di lavoro era piuttosto ottimistica.
realtà
In realtà tutto era naturalmente diverso: i modelli di policy forniti dal consulente si sono rivelati per lo più inapplicabili alla nostra azienda; Su Internet non c'erano quasi informazioni chiare su cosa e come fare. Come puoi immaginare, il piano di “scrivere una polizza in 3 giorni” è fallito miseramente. Quindi abbiamo smesso di rispettare le scadenze quasi dall'inizio del progetto e il nostro umore ha cominciato lentamente a diminuire.
Le competenze del team erano catastroficamente ridotte, al punto che non era nemmeno sufficiente porre le domande giuste al consulente (che, tra l'altro, non mostrava molta iniziativa). Le cose hanno cominciato a muoversi ancora più lentamente, poiché 3 mesi dopo l'inizio dell'implementazione (cioè nel momento in cui tutto avrebbe dovuto essere pronto), uno dei due partecipanti chiave ha lasciato il team. È stato sostituito da un nuovo responsabile del servizio IT, che ha dovuto completare rapidamente il processo di implementazione e fornire al sistema di gestione della sicurezza delle informazioni tutto ciò che è più necessario dal punto di vista tecnico. Il compito sembrava difficile... I responsabili cominciarono a sentirsi depressi.
Inoltre, anche il lato tecnico della questione si è rivelato avere delle “sfumature”. Ci troviamo di fronte al compito di modernizzare il software globale sia sulle postazioni di lavoro che sulle apparecchiature server. Durante la configurazione del sistema per la raccolta degli eventi (registri), si è scoperto che non disponevamo di risorse hardware sufficienti per il normale funzionamento del sistema. E anche il software di backup necessitava di un ammodernamento.
Spoiler: di conseguenza, l'ISMS è stato eroicamente implementato in 6 mesi. E non è nemmeno morto nessuno!
Cosa è cambiato di più?
Naturalmente, durante l’implementazione dello standard, si sono verificati numerosi piccoli cambiamenti nei processi aziendali. Abbiamo evidenziato per voi i cambiamenti più significativi:
- Formalizzazione del processo di valutazione del rischio
In precedenza, l'azienda non disponeva di un processo formale di valutazione del rischio: veniva effettuato solo incidentalmente come parte della pianificazione strategica complessiva. Uno dei compiti più importanti risolti nell’ambito della certificazione è stata l’implementazione della Politica di Valutazione dei Rischi dell’azienda, che descrive tutte le fasi di questo processo e le persone responsabili di ciascuna fase.
- Controllo sui supporti di memorizzazione rimovibili
Uno dei rischi significativi per l'azienda era l'utilizzo di chiavette USB non crittografate: qualsiasi dipendente, infatti, poteva scrivere su una chiavetta qualsiasi informazione a sua disposizione e, nella migliore delle ipotesi, perderla. Nell'ambito della certificazione, la possibilità di scaricare qualsiasi informazione su unità flash è stata disabilitata su tutte le postazioni di lavoro dei dipendenti: la registrazione delle informazioni è diventata possibile solo tramite una richiesta al reparto IT.
- Controllo superutente
Uno dei problemi principali era il fatto che tutti i dipendenti del reparto IT avevano diritti assoluti su tutti i sistemi aziendali: avevano accesso a tutte le informazioni. Allo stesso tempo, nessuno li controllava davvero.
Abbiamo implementato un sistema DLP (Data Loss Prevention), un programma per monitorare le azioni dei dipendenti che analizza, blocca e avvisa sulle attività pericolose e improduttive. Ora gli avvisi sulle azioni dei dipendenti del dipartimento IT vengono inviati all'indirizzo e-mail del direttore delle operazioni dell'azienda.
- Approccio all'organizzazione dell'infrastruttura informativa
La certificazione ha richiesto cambiamenti e approcci globali. Sì, abbiamo dovuto aggiornare una serie di apparecchiature server a causa del maggiore carico. In particolare, abbiamo dedicato un server separato per i sistemi di raccolta eventi. Il server era dotato di unità SSD grandi e veloci. Abbiamo abbandonato il software di backup e optato per sistemi di storage dotati di tutte le funzionalità necessarie pronte all'uso. Abbiamo fatto diversi grandi passi avanti verso il concetto di “infrastruttura come codice”, che ci ha permesso di risparmiare molto spazio su disco eliminando il backup di un numero di server. Nel più breve tempo possibile (1 settimana), tutto il software sulle workstation è stato aggiornato a Win10. Uno dei problemi risolti dalla modernizzazione è stata la possibilità di abilitare la crittografia (nella versione Pro).
- Controllo sui documenti cartacei
L'azienda correva rischi significativi associati all'utilizzo di documenti cartacei: potevano andare persi, lasciati nel posto sbagliato o distrutti in modo improprio. Per ridurre al minimo questo rischio, abbiamo contrassegnato tutti i documenti cartacei in base al livello di riservatezza e sviluppato una procedura per la distruzione delle diverse tipologie di documenti. Ora, quando un dipendente apre una cartella o prende un documento, sa esattamente in quale categoria rientra questa informazione e come gestirla.
- Affittare un data center di backup
In precedenza, tutte le informazioni aziendali venivano archiviate su server situati in un data center sicuro di terze parti. Tuttavia, in questo data center non erano in atto procedure di emergenza. La soluzione era affittare un data center cloud di backup ed eseguire lì il backup delle informazioni più importanti. Attualmente, le informazioni dell’azienda sono archiviate in due data center geograficamente remoti, il che riduce al minimo il rischio di perdita.
- Test di continuità aziendale
La nostra azienda dispone da diversi anni di una politica di continuità aziendale (BCP), che descrive cosa dovrebbero fare i dipendenti in vari scenari negativi (perdita di accesso all'ufficio, epidemia, interruzione di corrente, ecc.). Tuttavia, non abbiamo mai condotto test di continuità, ovvero non abbiamo mai misurato quanto tempo sarebbe necessario per ripristinare l'attività in ciascuna di queste situazioni. In preparazione all'audit di certificazione, non solo abbiamo fatto questo, ma abbiamo anche sviluppato un piano di test di continuità operativa per il prossimo anno. Vale la pena notare che un anno dopo, quando ci siamo trovati di fronte alla necessità di passare completamente al lavoro a distanza, abbiamo completato questo compito in tre giorni.
È importante notare, che tutte le aziende che si preparano alla certificazione hanno condizioni di partenza diverse, pertanto, nel tuo caso potrebbero essere necessarie modifiche completamente diverse.
Reazioni dei dipendenti ai cambiamenti
Stranamente, qui ci aspettavamo il peggio, non è poi così male. Non si può dire che i colleghi abbiano accolto la notizia della certificazione con grande entusiasmo, ma quanto segue era chiaro:
- Tutti i dipendenti chiave hanno compreso l'importanza e l'inevitabilità di questo evento;
- Tutti gli altri dipendenti ammiravano i dipendenti chiave.
Naturalmente, le specificità del nostro settore ci hanno aiutato molto: l'outsourcing delle funzioni contabili. La stragrande maggioranza dei nostri dipendenti affronta bene i continui cambiamenti della legislazione russa. Per loro, quindi, l'introduzione di una ventina di nuove regole che ora devono essere rispettate non è stata una cosa insolita.
Abbiamo preparato nuovi corsi di formazione e test obbligatori ISO 27001 per tutti i nostri dipendenti. Tutti hanno rimosso obbedientemente i foglietti adesivi con le password dai propri monitor e hanno ripulito le scrivanie ricoperte di documenti. Non è stata notata alcuna forte insoddisfazione: in generale, siamo stati molto fortunati con i nostri dipendenti.
Abbiamo così superato la fase più dolorosa, la “depressione”, associata ai cambiamenti nei nostri processi aziendali. È stato duro e difficile, ma il risultato alla fine ha superato tutte le nostre più rosee aspettative.
Leggi i materiali precedenti della serie:
Le 5 fasi dell'inevitabilità della certificazione ISO/IEC 27001. Depressione.
Le 5 fasi dell'inevitabilità della certificazione ISO/IEC 27001. Adozione.
Fonte: habr.com