O quarto estágio da resposta emocional à mudança é a depressão. Neste artigo contaremos sobre nossa experiência ao passar pela fase mais demorada e desagradável - sobre as mudanças nos processos de negócios da empresa para atingir sua conformidade com a norma ISO 27001.
Expectativa
A primeira pergunta que nos fizemos após selecionar o organismo certificador e o consultor foi quanto tempo realmente precisaríamos para fazer todas as mudanças necessárias?
O plano de trabalho inicial foi programado de tal forma que tivemos que concluí-lo em 3 meses.
Tudo parecia simples: era necessário redigir algumas dezenas de políticas e alterar ligeiramente os nossos processos internos; depois treinar os colegas sobre as mudanças e esperar mais 3 meses (para que apareçam “registros”, ou seja, evidências do funcionamento das políticas). Parecia que era tudo - e o certificado estava no nosso bolso.
Além disso, não íamos redigir políticas do zero - afinal, tínhamos um consultor que, como pensávamos, deveria nos fornecer todos os modelos “corretos”.
Como resultado destas conclusões, alocamos 3 dias para preparar cada política.
As alterações técnicas também não pareciam assustadoras: foi necessário configurar a recolha e armazenamento de eventos, verificar se os backups cumprem a política que redigimos, modernizar os escritórios com sistemas de controlo de acesso quando necessário, e algumas outras pequenas coisas .
A equipe que preparava tudo o que era necessário para a certificação era composta por duas pessoas. Planejamos que eles estariam envolvidos na implementação paralelamente às suas responsabilidades principais, e isso levaria cada um deles no máximo 1,5 a 2 horas por dia.
Resumindo, podemos dizer que a nossa visão do próximo escopo de trabalho foi bastante otimista.
Realidade
Na realidade, tudo era naturalmente diferente: os modelos de políticas fornecidos pelo consultor revelaram-se em grande parte inaplicáveis à nossa empresa; Quase não havia informações claras na Internet sobre o que e como fazer. Como você pode imaginar, o plano de “escrever uma apólice em 3 dias” falhou miseravelmente. Portanto, paramos de cumprir os prazos quase desde o início do projeto e nosso humor começou a diminuir lentamente.
A expertise da equipe era catastroficamente pequena – tanto que não dava nem para fazer as perguntas certas ao consultor (que, aliás, não demonstrou muita iniciativa). As coisas começaram a andar ainda mais devagar, pois 3 meses após o início da implementação (ou seja, no momento em que tudo deveria estar pronto), um dos dois principais participantes deixou a equipe. Foi substituído por um novo chefe do serviço de TI, que teve que concluir rapidamente o processo de implementação e dotar o sistema de gestão da segurança da informação com tudo o que é mais necessário do ponto de vista técnico. A tarefa parecia difícil... Os responsáveis começaram a ficar deprimidos.
Além disso, o lado técnico da questão também revelou “nuances”. Enfrentamos a tarefa de modernização global de software tanto nas estações de trabalho quanto nos equipamentos de servidores. Ao configurar o sistema para coletar eventos (logs), descobrimos que não tínhamos recursos de hardware suficientes para o funcionamento normal do sistema. E o software de backup também precisava de modernização.
Spoiler: Como resultado, o SGSI foi heroicamente implementado em 6 meses. E ninguém morreu!
O que mais mudou?
É claro que durante a implementação da norma ocorreu um grande número de pequenas alterações nos processos da empresa. Destacamos as mudanças mais significativas para você:
- Formalização do processo de avaliação de riscos
Anteriormente, a empresa não tinha um processo formal de avaliação de riscos – isso era feito apenas de passagem, como parte do planejamento estratégico geral. Uma das tarefas mais importantes resolvidas no âmbito da certificação foi a implementação da Política de Avaliação de Riscos da empresa, que descreve todas as etapas deste processo e os responsáveis por cada etapa.
- Controle sobre mídia de armazenamento removível
Um dos riscos significativos para os negócios era o uso de unidades flash USB não criptografadas: na verdade, qualquer funcionário poderia gravar qualquer informação disponível em uma unidade flash e, na melhor das hipóteses, perdê-la. Como parte da certificação, a capacidade de baixar qualquer informação em pen drives foi desativada em todas as estações de trabalho dos funcionários - o registro das informações só foi possível por meio de um aplicativo ao departamento de TI.
- Controle de superusuário
Um dos principais problemas era o facto de todos os funcionários do departamento de TI terem direitos absolutos em todos os sistemas da empresa – tinham acesso a todas as informações. Ao mesmo tempo, ninguém realmente os controlava.
Implementamos um sistema Data Loss Prevention (DLP) – um programa de monitoramento das ações dos funcionários que analisa, bloqueia e alerta sobre atividades perigosas e improdutivas. Agora os alertas sobre as ações dos colaboradores do departamento de TI são enviados para o e-mail do Diretor de Operações da empresa.
- Abordagem para organizar a infraestrutura de informação
A certificação exigiu mudanças e abordagens globais. Sim, tivemos que atualizar vários equipamentos de servidor devido ao aumento da carga. Em particular, dedicamos um servidor separado para sistemas de coleta de eventos. O servidor foi equipado com unidades SSD grandes e rápidas. Abandonamos o software de backup e optamos por sistemas de armazenamento que possuem todas as funcionalidades necessárias prontas para uso. Demos vários grandes passos em direção ao conceito de “infraestrutura como código”, o que nos permitiu economizar muito espaço em disco ao eliminar o backup de vários servidores. No menor tempo possível (1 semana), todos os softwares nas estações de trabalho foram atualizados para Win10. Um dos problemas que a modernização resolveu foi a possibilidade de habilitar a criptografia (na versão Pro).
- Controle sobre documentos em papel
A empresa apresentava riscos significativos associados ao uso de documentos em papel: eles poderiam ser perdidos, deixados no lugar errado ou destruídos indevidamente. Para minimizar este risco, marcamos todos os documentos em papel de acordo com o nível de confidencialidade e desenvolvemos um procedimento para destruição de diferentes tipos de documentos. Agora, quando um funcionário abre uma pasta ou pega um documento, ele sabe exatamente em que categoria essas informações se enquadram e como tratá-las.
- Alugar um data center de backup
Anteriormente, todas as informações da empresa eram armazenadas em servidores localizados em um data center seguro de terceiros. No entanto, não havia procedimentos de emergência em vigor neste data center. A solução foi alugar um data center de backup em nuvem e fazer backup das informações mais importantes nele. Atualmente, as informações da empresa são armazenadas em dois data centers geograficamente remotos, o que minimiza o risco de sua perda.
- Teste de continuidade de negócios
Nossa empresa possui há vários anos uma Política de Continuidade de Negócios (PCN), que descreve o que os funcionários devem fazer em diversos cenários negativos (perda de acesso ao escritório, epidemia, queda de energia, etc.). Porém, nunca realizamos testes de continuidade – ou seja, nunca medimos quanto tempo levaria para restaurar o negócio em cada uma dessas situações. Na preparação para a auditoria de certificação, não apenas fizemos isso, mas também desenvolvemos um plano de testes de continuidade de negócios para o próximo ano. É importante destacar que um ano depois, quando nos deparamos com a necessidade de mudar totalmente para o trabalho remoto, concluímos essa tarefa em três dias.
É importante notar, que todas as empresas que se preparam para a certificação têm condições iniciais diferentes - portanto, no seu caso, podem ser necessárias alterações completamente diferentes.
Reações dos funcionários às mudanças
Curiosamente - aqui esperávamos o pior - não foi tão ruim. Não se pode dizer que os colegas receberam a notícia da certificação com grande entusiasmo, mas ficou claro o seguinte:
- Todos os principais funcionários compreenderam a importância e a inevitabilidade deste evento;
- Todos os outros funcionários admiravam os funcionários-chave.
É claro que as especificidades do nosso setor nos ajudaram muito - a terceirização das funções contábeis. A grande maioria dos nossos funcionários lida bem com as constantes mudanças na legislação russa. Assim, a introdução de algumas dezenas de novas regras que agora devem ser observadas não foi algo fora do comum para eles.
Preparamos novos treinamentos e testes obrigatórios da ISO 27001 para todos os nossos funcionários. Todos obedientemente removeram os post-its com senhas de seus monitores e limparam as mesas cheias de documentos. Nenhuma grande insatisfação foi notada - em geral, tivemos muita sorte com nossos funcionários.
Assim, ultrapassamos a fase mais dolorosa – a “depressão” – associada às mudanças nos nossos processos de negócio. Foi difícil e difícil, mas o resultado no final superou todas as nossas expectativas mais loucas.
Leia materiais anteriores da série:
5 etapas da inevitabilidade da certificação ISO/IEC 27001. Depressão.
5 etapas da inevitabilidade da certificação ISO/IEC 27001. Adoção.
Fonte: habr.com