Czwartym etapem emocjonalnej reakcji na zmianę jest depresja. W tym artykule opowiemy Państwu o naszych doświadczeniach z przechodzenia przez najbardziej długotrwały i nieprzyjemny etap – zmiany procesów biznesowych firmy w celu osiągnięcia ich zgodności z normą ISO 27001.
Czekam
Pierwsze pytanie, jakie sobie zadaliśmy po wyborze jednostki certyfikującej i konsultanta, brzmiało: ile czasu tak naprawdę będziemy potrzebować na wprowadzenie wszystkich niezbędnych zmian?
Wstępny plan prac został tak ułożony, że musieliśmy go zrealizować w ciągu 3 miesięcy.
Wszystko wyglądało prosto: trzeba było napisać kilkadziesiąt polityk i nieco zmienić nasze wewnętrzne procesy; następnie przeszkol współpracowników w zakresie zmian i poczekaj kolejne 3 miesiące (aby pojawiły się „zapisy”, czyli dowody funkcjonowania polityk). Wydawało się, że to wszystko – i certyfikat został w kieszeni.
Poza tym nie mieliśmy zamiaru pisać polis od zera – wszak mieliśmy konsultanta, który, jak myśleliśmy, miał nam dać wszystkie „poprawne” szablony.
W efekcie tych wniosków na przygotowanie każdej polisy przeznaczyliśmy 3 dni.
Zmiany techniczne również nie wyglądały odstraszająco: trzeba było skonfigurować gromadzenie i przechowywanie zdarzeń, sprawdzić, czy kopie zapasowe są zgodne z polityką, którą napisaliśmy, w razie potrzeby doposażyć biura w systemy kontroli dostępu i kilka innych drobiazgów .
Zespół przygotowujący wszystko co niezbędne do certyfikacji składał się z dwóch osób. Zaplanowaliśmy, że we wdrożenie będą zaangażowani równolegle ze swoimi głównymi obowiązkami, a to zajmie każdemu z nich maksymalnie 1,5-2 godziny dziennie.
Podsumowując, można stwierdzić, że nasze spojrzenie na najbliższy zakres prac było dość optymistyczne.
Rzeczywistość
W rzeczywistości wszystko było naturalnie inne: szablony polis dostarczone przez konsultanta okazały się w większości nie do zastosowania w naszej firmie; W Internecie nie było prawie żadnych jasnych informacji o tym, co i jak robić. Jak możesz sobie wyobrazić, plan „napisania jednej polisy w 3 dni” zakończył się fiaskiem. Zatem niemal od samego początku projektu przestaliśmy dotrzymywać terminów, a nasz humor zaczął powoli spadać.
Ekspertyza zespołu była katastrofalnie mała – do tego stopnia, że nie wystarczyło nawet zadanie odpowiednich pytań konsultantowi (który notabene nie wykazywał się dużą inicjatywą). Sprawy zaczęły toczyć się jeszcze wolniej, gdyż 3 miesiące od rozpoczęcia wdrożenia (czyli w momencie, gdy wszystko powinno być już gotowe) z zespołu odszedł jeden z dwóch kluczowych uczestników. Zastąpił go nowy szef serwisu IT, który musiał szybko zakończyć proces wdrożenia i zapewnić systemowi zarządzania bezpieczeństwem informacji wszystko, co niezbędne z technicznego punktu widzenia. Zadanie wydawało się trudne... Osoby odpowiedzialne za to zaczęły popadać w depresję.
Ponadto techniczna strona problemu również okazała się mieć „niuanse”. Stoimy przed zadaniem globalnej modernizacji oprogramowania zarówno na stacjach roboczych, jak i na sprzęcie serwerowym. Konfigurując system do zbierania zdarzeń (logów) okazało się, że nie mamy wystarczających zasobów sprzętowych do normalnego funkcjonowania systemu. Modernizacji wymagało także oprogramowanie do tworzenia kopii zapasowych.
Spoiler: W rezultacie ISMS został bohatersko wdrożony w ciągu 6 miesięcy. I nikt nawet nie umarł!
Co zmieniło się najbardziej?
Oczywiście w trakcie wdrażania standardu zaszła duża ilość drobnych zmian w procesach firmy. Wyróżniliśmy dla Ciebie najważniejsze zmiany:
- Formalizacja procesu oceny ryzyka
Wcześniej w firmie nie istniał formalny proces oceny ryzyka – dokonywano go jedynie marginalnie w ramach ogólnego planowania strategicznego. Jednym z najważniejszych zadań rozwiązanych w ramach certyfikacji było wdrożenie Polityki Oceny Ryzyka firmy, która opisuje wszystkie etapy tego procesu oraz osoby odpowiedzialne za każdy etap.
- Kontrola nad wymiennymi nośnikami danych
Jednym z istotnych zagrożeń dla biznesu było używanie niezaszyfrowanych dysków flash USB: w rzeczywistości każdy pracownik mógł zapisać na dysku flash dowolne dostępne mu informacje i w najlepszym razie je utracić. W ramach certyfikacji na wszystkich stacjach roboczych pracowników wyłączono możliwość pobierania jakichkolwiek informacji na pendrive’y – rejestrowanie informacji stało się możliwe jedynie poprzez aplikację skierowaną do działu IT.
- Super kontrola użytkownika
Jednym z głównych problemów był fakt, że wszyscy pracownicy działu IT mieli absolutne uprawnienia we wszystkich systemach firmy – mieli dostęp do wszystkich informacji. Jednocześnie nikt tak naprawdę ich nie kontrolował.
Wdrożyliśmy system Data Loss Prevention (DLP) – program monitorujący działania pracowników, który analizuje, blokuje i ostrzega o niebezpiecznych i nieproduktywnych działaniach. Teraz alerty o działaniach pracowników działu IT wysyłane są na adres e-mail Dyrektora Operacyjnego firmy.
- Podejście do organizacji infrastruktury informacyjnej
Certyfikacja wymagała globalnych zmian i podejścia. Tak, ze względu na zwiększone obciążenie musieliśmy dokonać modernizacji szeregu urządzeń serwerowych. W szczególności wydzielony został osobny serwer dla systemów gromadzenia zdarzeń. Serwer został wyposażony w duże i szybkie dyski SSD. Zrezygnowaliśmy z oprogramowania do tworzenia kopii zapasowych i zdecydowaliśmy się na systemy pamięci masowej, które od razu mają wszystkie niezbędne funkcje. Zrobiliśmy kilka dużych kroków w kierunku koncepcji „infrastruktura jako kod”, co pozwoliło nam zaoszczędzić dużo miejsca na dysku, eliminując tworzenie kopii zapasowych szeregu serwerów. W możliwie najkrótszym czasie (1 tydzień) całe oprogramowanie na stacjach roboczych zostało zaktualizowane do Win10. Jednym z problemów, które rozwiązała modernizacja, była możliwość włączenia szyfrowania (w wersji Pro).
- Kontrola nad dokumentami papierowymi
Firma ponosiła duże ryzyko związane z posługiwaniem się dokumentami papierowymi: mogły zostać zgubione, pozostawione w niewłaściwym miejscu lub niewłaściwie zniszczone. Aby zminimalizować to ryzyko, wszystkie dokumenty papierowe oznaczyliśmy według stopnia poufności oraz opracowaliśmy procedurę niszczenia różnych typów dokumentów. Teraz, gdy pracownik otwiera teczkę lub bierze dokument, dokładnie wie, do jakiej kategorii zalicza się ta informacja i jak się z nią obchodzić.
- Wynajem zapasowego centrum danych
Wcześniej wszystkie informacje o firmie były przechowywane na serwerach znajdujących się w bezpiecznym centrum danych strony trzeciej. W tym centrum danych nie obowiązywały jednak żadne procedury awaryjne. Rozwiązaniem było wynajęcie zapasowego centrum danych w chmurze i utworzenie tam kopii zapasowej najważniejszych informacji. Obecnie informacje firmy przechowywane są w dwóch oddalonych geograficznie centrach danych, co minimalizuje ryzyko ich utraty.
- Testowanie ciągłości działania
W naszej firmie od kilku lat obowiązuje Polityka Ciągłości Działania (BCP), która opisuje, co pracownicy powinni zrobić w przypadku różnych negatywnych scenariuszy (utrata dostępu do biura, epidemia, przerwa w dostawie prądu itp.). Nigdy jednak nie przeprowadzaliśmy testów ciągłości – to znaczy nigdy nie mierzyliśmy, ile czasu zajmie przywrócenie działalności w każdej z tych sytuacji. Przygotowując się do audytu certyfikującego, nie tylko to zrobiliśmy, ale także opracowaliśmy plan testów ciągłości działania na nadchodzący rok. Warto dodać, że rok później, gdy stanęliśmy przed koniecznością całkowitego przejścia na pracę zdalną, zadanie to wykonaliśmy w trzy dni.
Ważne do zapamiętania, że wszystkie firmy przygotowujące się do certyfikacji mają inne warunki wyjściowe – dlatego w Twoim przypadku mogą być wymagane zupełnie inne zmiany.
Reakcje pracowników na zmiany
Co dziwne – tutaj spodziewaliśmy się najgorszego – okazało się, że nie jest tak źle. Nie można powiedzieć, że koledzy przyjęli wiadomość o certyfikacji z wielkim entuzjazmem, ale jasne było, co następuje:
- Wszyscy kluczowi pracownicy rozumieli wagę i nieuchronność tego wydarzenia;
- Wszyscy pozostali pracownicy podziwiali kluczowych pracowników.
Oczywiście bardzo pomogła nam specyfika naszej branży - outsourcing funkcji księgowych. Zdecydowana większość naszych pracowników dobrze radzi sobie z ciągłymi zmianami w rosyjskim ustawodawstwie. W związku z tym wprowadzenie kilkudziesięciu nowych zasad, których teraz należy przestrzegać, nie było dla nich czymś niezwykłym.
Dla wszystkich naszych pracowników przygotowaliśmy nowe, obowiązkowe szkolenia i testy ISO 27001. Wszyscy posłusznie zdjęli z monitorów karteczki samoprzylepne z hasłami i uprzątnęli biurka zaśmiecone dokumentami. Nie zauważono głośnego niezadowolenia - ogólnie rzecz biorąc, mieliśmy dużo szczęścia do naszych pracowników.
Tym samym mamy już za sobą najbardziej bolesny etap – „depresję” – związany ze zmianami w naszych procesach biznesowych. Było ciężko i ciężko, ale efekt końcowy przerósł nasze najśmielsze oczekiwania.
Przeczytaj poprzednie materiały z serii:
5 etapów nieuchronności certyfikacji ISO/IEC 27001. Depresja.
5 etapów nieuchronności certyfikacji ISO/IEC 27001. Przyjęcie.
Źródło: www.habr.com