De vierde fase van emotionele reactie op verandering is depressie. In dit artikel zullen we u vertellen over onze ervaringen met het doorlopen van de meest langdurige en onaangename fase - over veranderingen in de bedrijfsprocessen van het bedrijf om te bereiken dat ze voldoen aan de ISO 27001-norm.
verwachting
De eerste vraag die we onszelf stelden na het selecteren van de certificerende instantie en de consultant was: hoeveel tijd zouden we werkelijk nodig hebben om alle noodzakelijke veranderingen door te voeren?
Het initiële werkplan was zo gepland dat we het binnen 3 maanden moesten voltooien.
Alles zag er eenvoudig uit: het was nodig om een paar dozijn beleidsmaatregelen te schrijven en onze interne processen enigszins te veranderen; train vervolgens collega's over de veranderingen en wacht nog eens drie maanden (zodat er "records" verschijnen, dat wil zeggen bewijs van de werking van het beleid). Het leek erop dat dat alles was - en het certificaat zat in onze zak.
Bovendien gingen we niet helemaal opnieuw beleid schrijven - we hadden tenslotte een consultant die, zoals we dachten, ons alle 'juiste' sjablonen moest geven.
Als gevolg van deze conclusies hebben we drie dagen uitgetrokken om elk beleid voor te bereiden.
Ook de technische veranderingen zagen er niet afschrikwekkend uit: het was nodig om de verzameling en opslag van evenementen op te zetten, te controleren of de back-ups voldoen aan het beleid dat we schreven, de kantoren waar nodig uit te rusten met toegangscontrolesystemen en nog een paar andere kleine dingen. .
Het team dat alles voorbereidde wat nodig was voor de certificering bestond uit twee personen. We hadden gepland dat ze naast hun hoofdverantwoordelijkheden bij de implementatie zouden worden betrokken, en dit zou elk van hen maximaal 1,5 tot 2 uur per dag in beslag nemen.
Samenvattend kunnen we zeggen dat onze kijk op de komende werkzaamheden behoorlijk optimistisch was.
realiteit
In werkelijkheid was alles natuurlijk anders: de door de adviseur aangeleverde beleidssjablonen bleken grotendeels niet van toepassing op ons bedrijf; Er was bijna geen duidelijke informatie op internet over wat en hoe te doen. Zoals u zich kunt voorstellen, mislukte het plan om “één polis in drie dagen te schrijven” jammerlijk. Daarom zijn we vrijwel vanaf het allereerste begin van het project gestopt met het halen van deadlines, en onze stemming begon langzaam te dalen.
De expertise van het team was catastrofaal klein, zozeer zelfs dat het niet eens genoeg was om de juiste vragen te stellen aan de consultant (die overigens niet veel initiatief toonde). De zaken begonnen nog langzamer te gaan, aangezien drie maanden na de start van de implementatie (dat wil zeggen op het moment waarop alles klaar had moeten zijn) een van de twee belangrijkste deelnemers het team verliet. Hij werd vervangen door een nieuw hoofd van de IT-dienst, die het implementatieproces snel moest voltooien en het informatiebeveiligingsbeheersysteem moest voorzien van alles wat technisch gezien het meest nodig was. De taak leek moeilijk... De leidinggevenden begonnen depressief te worden.
Bovendien bleek de technische kant van de kwestie ook ‘nuances’ te hebben. We worden geconfronteerd met de taak van mondiale softwaremodernisering, zowel op werkstations als op serverapparatuur. Tijdens het instellen van het systeem om gebeurtenissen (logboeken) te verzamelen, bleek dat we niet over voldoende hardwarebronnen beschikten voor de normale werking van het systeem. En ook de back-upsoftware was aan modernisering toe.
Spoiler: als gevolg hiervan werd het ISMS in zes maanden heldhaftig geïmplementeerd. En er stierf zelfs niemand!
Wat is het meest veranderd?
Uiteraard hebben er tijdens de implementatie van de standaard een groot aantal kleine veranderingen plaatsgevonden in de bedrijfsprocessen. Wij hebben de belangrijkste wijzigingen voor u uitgelicht:
- Formalisering van het risicobeoordelingsproces
Voorheen kende het bedrijf geen formeel risicobeoordelingsproces; dit gebeurde slechts terloops als onderdeel van de algemene strategische planning. Een van de belangrijkste taken die als onderdeel van de certificering werden opgelost, was de implementatie van het risicobeoordelingsbeleid van het bedrijf, waarin alle fasen van dit proces worden beschreven en de personen die voor elke fase verantwoordelijk zijn.
- Controle over verwijderbare opslagmedia
Een van de grootste risico's voor het bedrijfsleven was het gebruik van niet-gecodeerde USB-flashdrives: in feite kon elke werknemer alle beschikbare informatie op een flashdrive schrijven en deze in het beste geval kwijtraken. Als onderdeel van de certificering werd de mogelijkheid om informatie naar flashdrives te downloaden op alle werkstations van medewerkers uitgeschakeld. Het vastleggen van informatie werd alleen mogelijk via een aanvraag bij de IT-afdeling.
- Supergebruikerscontrole
Een van de grootste problemen was het feit dat alle medewerkers van de IT-afdeling absolute rechten hadden op alle bedrijfssystemen: ze hadden toegang tot alle informatie. Tegelijkertijd had niemand ze echt onder controle.
We hebben een Data Loss Prevention (DLP)-systeem geïmplementeerd: een programma voor het monitoren van acties van werknemers dat gevaarlijke en onproductieve activiteiten analyseert, blokkeert en waarschuwt. Nu worden waarschuwingen over de acties van medewerkers van de IT-afdeling verzonden naar het e-mailadres van de Operations Director van het bedrijf.
- Aanpak voor het organiseren van informatie-infrastructuur
Certificering vereiste mondiale veranderingen en benaderingen. Ja, we moesten een aantal serverapparatuur upgraden vanwege de toegenomen belasting. In het bijzonder hebben we een aparte server gereserveerd voor systemen voor het verzamelen van evenementen. De server was uitgerust met grote en snelle SSD-schijven. We hebben de back-upsoftware achterwege gelaten en gekozen voor opslagsystemen die out-of-the-box over alle benodigde functionaliteit beschikken. We hebben verschillende grote stappen gezet in de richting van het ‘infrastructuur als code’-concept, waardoor we veel schijfruimte hebben kunnen besparen door de back-up van een aantal servers te elimineren. In de kortst mogelijke tijd (1 week) werd alle software op werkstations geüpgraded naar Win10. Een van de problemen die de modernisering oploste, was de mogelijkheid om encryptie in te schakelen (in de Pro-versie).
- Controle over papieren documenten
Het bedrijf had aanzienlijke risico's verbonden aan het gebruik van papieren documenten: ze konden verloren gaan, op de verkeerde plaats worden achtergelaten of op onjuiste wijze worden vernietigd. Om dit risico te minimaliseren, hebben we alle papieren documenten gemarkeerd op basis van het vertrouwelijkheidsniveau en een procedure ontwikkeld voor het vernietigen van verschillende soorten documenten. Wanneer een medewerker nu een map opent of een document pakt, weet hij precies in welke categorie deze informatie valt en hoe hij ermee om moet gaan.
- Een back-up datacenter huren
Voorheen werd alle bedrijfsinformatie opgeslagen op servers in een beveiligd datacenter van derden. In dit datacenter bestonden echter geen noodprocedures. De oplossing was om een back-up clouddatacenter te huren en daar een back-up te maken van de belangrijkste informatie. Momenteel wordt de informatie van het bedrijf opgeslagen in twee geografisch afgelegen datacenters, waardoor het risico op verlies tot een minimum wordt beperkt.
- Testen van bedrijfscontinuïteit
Ons bedrijf hanteert al enkele jaren een Business Continuity Policy (BCP), waarin wordt beschreven wat werknemers moeten doen in verschillende negatieve scenario’s (verlies van toegang tot het kantoor, epidemie, stroomstoring, enz.). We hebben echter nooit continuïteitstests uitgevoerd, dat wil zeggen dat we nooit hebben gemeten hoe lang het zou duren om het bedrijf in elk van deze situaties te herstellen. Ter voorbereiding op de certificeringsaudit hebben we dit niet alleen gedaan, maar ook een testplan voor de bedrijfscontinuïteit voor het komende jaar ontwikkeld. Het is vermeldenswaard dat we een jaar later, toen we werden geconfronteerd met de noodzaak om volledig over te schakelen op werken op afstand, deze taak in drie dagen hebben voltooid.
Belangrijk om op te merken, dat alle bedrijven die zich voorbereiden op certificering verschillende startvoorwaarden hebben - daarom kunnen in uw geval compleet andere veranderingen nodig zijn.
Reacties van medewerkers op veranderingen
Vreemd genoeg - hier hadden we het ergste verwacht - viel het mee. Het kan niet gezegd worden dat collega’s het nieuws van de certificering met veel enthousiasme ontvingen, maar het volgende was duidelijk:
- Alle belangrijke medewerkers begrepen het belang en de onvermijdelijkheid van deze gebeurtenis;
- Alle andere medewerkers keken op tegen sleutelmedewerkers.
Natuurlijk hebben de specifieke kenmerken van onze branche ons enorm geholpen: het uitbesteden van boekhoudkundige functies. De overgrote meerderheid van onze medewerkers kan goed omgaan met de voortdurende veranderingen in de Russische wetgeving. Dienovereenkomstig was de introductie van enkele tientallen nieuwe regels die nu moeten worden nageleefd voor hen niet iets ongewoons.
We hebben nieuwe verplichte ISO 27001-trainingen en -tests voorbereid voor al onze medewerkers. Iedereen verwijderde gehoorzaam de plakbriefjes met wachtwoorden van hun monitoren en ruimde de bureaus op die bezaaid waren met documenten. Er werd geen luide ontevredenheid opgemerkt - over het algemeen hadden we veel geluk met onze medewerkers.
Daarmee zijn we de meest pijnlijke fase – “depressie” – die gepaard gaat met veranderingen in onze bedrijfsprocessen, gepasseerd. Het was zwaar en moeilijk, maar het resultaat overtrof uiteindelijk al onze stoutste verwachtingen.
Lees eerdere materialen uit de serie:
5 fasen van de onvermijdelijkheid van ISO/IEC 27001-certificering. Depressie.
5 fasen van de onvermijdelijkheid van ISO/IEC 27001-certificering. Adoptie.
Bron: www.habr.com