Den fjerde fasen av følelsesmessig respons på endring er depresjon. I denne artikkelen vil vi fortelle deg om vår erfaring med å gå gjennom det mest langvarige og ubehagelige stadiet - om endringer i selskapets forretningsprosesser for å oppnå samsvar med ISO 27001-standarden.
Forventning
Det første spørsmålet vi stilte oss selv etter å ha valgt sertifiseringsorganet og konsulenten var hvor mye tid vi egentlig trenger for å gjøre alle nødvendige endringer?
Den første arbeidsplanen var planlagt slik at vi måtte fullføre den innen 3 måneder.
Alt så enkelt ut: det var nødvendig å skrive et par dusin retningslinjer og litt endre våre interne prosesser; tren deretter kollegaer på endringene og vent ytterligere 3 måneder (slik at "poster" vises, det vil si bevis på at retningslinjene fungerer). Det så ut til at det var alt - og sertifikatet lå i lommen vår.
I tillegg skulle vi ikke skrive policyer fra bunnen av - vi hadde tross alt en konsulent som, som vi trodde, skulle gi oss alle de "riktige" malene.
Som et resultat av disse konklusjonene bevilget vi 3 dager til å utarbeide hver policy.
De tekniske endringene så heller ikke skremmende ut: det var nødvendig å sette opp innsamling og lagring av hendelser, sjekke om sikkerhetskopiene samsvarer med policyen vi skrev, ettermontere kontorene med tilgangskontrollsystemer der det var nødvendig, og noen andre småting .
Teamet som forberedte alt nødvendig for sertifisering besto av to personer. Vi planla at de skulle være med i gjennomføringen parallelt med hovedansvaret, og dette ville ta hver av dem maksimalt 1,5-2 timer i døgnet.
For å oppsummere kan vi si at vårt syn på det kommende arbeidsomfanget var ganske optimistisk.
Reality
I virkeligheten var alt naturlig nok annerledes: policymalene levert av konsulenten viste seg for det meste å være ubrukelige for vårt selskap; Det var nesten ingen klar informasjon på Internett om hva og hvordan man skulle gjøre. Som du kan forestille deg, mislyktes planen om å "skrive en policy på 3 dager" totalt. Så vi sluttet å overholde deadlines nesten helt fra starten av prosjektet, og humøret vårt begynte sakte å falle.
Teamets ekspertise var katastrofalt liten - så mye at det ikke engang var nok til å stille de riktige spørsmålene til konsulenten (som for øvrig ikke viste mye initiativ). Ting begynte å gå enda saktere, siden 3 måneder etter starten av implementeringen (det vil si i øyeblikket da alt burde vært klart), forlot en av de to nøkkeldeltakerne teamet. Han ble erstattet av en ny leder for IT-tjenesten, som raskt måtte gjennomføre implementeringsprosessen og forsyne styringssystemet for informasjonssikkerhet med alt som er teknisk mest nødvendig. Oppgaven så vanskelig ut... De ansvarlige begynte å bli deprimerte.
I tillegg viste den tekniske siden av saken seg å ha "nyanser". Vi står overfor oppgaven med global programvaremodernisering både på arbeidsstasjoner og på serverutstyr. Mens vi satte opp systemet for å samle hendelser (logger), viste det seg at vi ikke hadde nok maskinvareressurser for normal funksjon av systemet. Og backup-programvaren trengte også modernisering.
Spoiler: Som et resultat ble ISMS heroisk implementert på 6 måneder. Og ingen døde engang!
Hva har endret seg mest?
Under implementeringen av standarden skjedde det selvfølgelig et stort antall små endringer i selskapets prosesser. Vi har fremhevet de viktigste endringene for deg:
- Formalisering av risikovurderingsprosessen
Tidligere hadde selskapet ingen formell risikovurderingsprosess – det ble kun gjort i forbifarten som en del av den overordnede strategiske planleggingen. En av de viktigste oppgavene som ble løst som en del av sertifiseringen var implementeringen av selskapets Risk Assessment Policy, som beskriver alle stadier i denne prosessen og de ansvarlige for hvert trinn.
- Kontroll over flyttbare lagringsmedier
En av de betydelige risikoene for virksomheten var bruken av ukrypterte USB-flash-stasjoner: faktisk kunne enhver ansatt skrive all informasjon som er tilgjengelig for ham på en flash-stasjon og i beste fall miste den. Som en del av sertifiseringen ble muligheten til å laste ned all informasjon til flash-stasjoner deaktivert på alle ansattes arbeidsstasjoner - registrering av informasjon ble bare mulig gjennom en applikasjon til IT-avdelingen.
- Superbrukerkontroll
Et av hovedproblemene var det faktum at alle ansatte i IT-avdelingen hadde absolutte rettigheter i alle bedriftens systemer – de hadde tilgang til all informasjon. Samtidig var det egentlig ingen som kontrollerte dem.
Vi har implementert et Data Loss Prevention (DLP) system – et program for overvåking av ansattes handlinger som analyserer, blokkerer og varsler om farlige og uproduktive aktiviteter. Nå sendes varsler om handlingene til ansatte i IT-avdelingen til e-postadressen til selskapets driftsdirektør.
- Tilnærming til organisering av informasjonsinfrastruktur
Sertifisering krevde globale endringer og tilnærminger. Ja, vi måtte oppgradere en del serverutstyr på grunn av økt belastning. Spesielt har vi dedikert en egen server for hendelsesinnsamlingssystemer. Serveren var utstyrt med store og raske SSD-stasjoner. Vi forlot programvare for sikkerhetskopiering og valgte lagringssystemer som har all nødvendig funksjonalitet ut av esken. Vi tok flere store skritt mot konseptet "infrastruktur som kode", som tillot oss å spare mye diskplass ved å eliminere sikkerhetskopieringen av en rekke servere. På kortest mulig tid (1 uke) ble all programvare på arbeidsstasjoner oppgradert til Win10. Et av problemene som moderniseringen løste var muligheten til å aktivere kryptering (i Pro-versjonen).
- Kontroll over papirdokumenter
Selskapet hadde betydelige risikoer knyttet til bruken av papirdokumenter: de kunne gå tapt, etterlates på feil sted eller destrueres på feil måte. For å minimere denne risikoen har vi merket alle papirdokumenter i henhold til konfidensialitetsnivået og utviklet en prosedyre for å destruere ulike typer dokumenter. Nå, når en ansatt åpner en mappe eller tar et dokument, vet han nøyaktig hvilken kategori denne informasjonen faller inn under og hvordan han skal håndtere den.
- Leie et backup datasenter
Tidligere ble all bedriftsinformasjon lagret på servere plassert i et tredjeparts sikkert datasenter. Det var imidlertid ingen nødprosedyrer på plass ved dette datasenteret. Løsningen ble å leie et backup skydatasenter og sikkerhetskopiere den viktigste informasjonen der. For øyeblikket er selskapets informasjon lagret i to geografisk avsidesliggende datasentre, noe som minimerer risikoen for tap.
- Business kontinuitetstesting
Vårt firma har hatt en Business Continuity Policy (BCP) på plass i flere år, som beskriver hva ansatte bør gjøre i ulike negative scenarier (tap av tilgang til kontoret, epidemi, strømbrudd osv.). Vi har imidlertid aldri gjennomført kontinuitetstesting – det vil si at vi aldri har målt hvor lang tid det ville ta å gjenopprette virksomheten i hver av disse situasjonene. Som forberedelse til sertifiseringsrevisjonen gjorde vi ikke bare dette, men utviklet også en testplan for forretningskontinuitet for det kommende året. Det er verdt å merke seg at et år senere, da vi ble møtt med behovet for å fullstendig bytte til fjernarbeid, fullførte vi denne oppgaven på tre dager.
Det er viktig å merke seg, at alle bedrifter som forbereder seg på sertifisering har forskjellige startbetingelser - derfor kan det i ditt tilfelle kreves helt andre endringer.
Ansattes reaksjoner på endringer
Merkelig nok - her forventet vi det verste - det viste seg ikke så ille. Det kan ikke sies at kolleger mottok nyheten om sertifisering med stor entusiasme, men følgende var klart:
- Alle nøkkelmedarbeidere forsto viktigheten og uunngåeligheten av denne hendelsen;
- Alle andre ansatte så opp til nøkkelmedarbeidere.
Selvfølgelig hjalp det spesifikt i vår bransje oss mye - outsourcing av regnskapsfunksjoner. De aller fleste av våre ansatte takler stadige endringer i russisk lovgivning godt. Følgelig var ikke innføringen av et par dusin nye regler som nå må overholdes noe utenom det vanlige for dem.
Vi har utarbeidet ny obligatorisk ISO 27001 opplæring og testing for alle våre ansatte. Alle fjernet lydig lappene med passord fra skjermene sine og ryddet vekk pultene som var fulle av dokumenter. Ingen høylytt misnøye ble lagt merke til – generelt sett var vi veldig heldige med våre ansatte.
Dermed har vi passert det mest smertefulle stadiet - "depresjon" - forbundet med endringer i forretningsprosessene våre. Det var hardt og vanskelig, men resultatet overgikk til slutt alle våre villeste forventninger.
Les tidligere materiale fra serien:
5 stadier av uunngåelig ISO/IEC 27001-sertifisering. Depresjon.
5 stadier av uunngåelig ISO/IEC 27001-sertifisering. Adopsjon.
Kilde: www.habr.com