Štvrtou fázou emocionálnej reakcie na zmenu je depresia. V tomto článku vám povieme o našich skúsenostiach s prechádzaním najzdĺhavejšou a najnepríjemnejšou etapou – o zmenách v podnikových procesoch spoločnosti s cieľom dosiahnuť ich súlad s normou ISO 27001.
očakávania
Prvá otázka, ktorú sme si položili po výbere certifikačného orgánu a konzultanta, bola, koľko času skutočne budeme potrebovať na vykonanie všetkých potrebných zmien?
Počiatočný plán prác bol naplánovaný tak, že sme ho museli stihnúť do 3 mesiacov.
Všetko vyzeralo jednoducho: bolo potrebné napísať niekoľko desiatok politík a mierne zmeniť naše interné procesy; potom zaškoliť kolegov o zmenách a počkať ďalšie 3 mesiace (aby sa objavili „záznamy“, teda dôkazy o fungovaní politík). Zdalo sa, že to je všetko - a certifikát bol v našom vrecku.
Okrem toho sme sa nechystali písať politiky od nuly – napokon sme mali konzultanta, ktorý, ako sme si mysleli, nám mal poskytnúť všetky „správne“ šablóny.
V dôsledku týchto záverov sme vyčlenili 3 dni na prípravu každej politiky.
Technické zmeny tiež nevyzerali skľučujúco: bolo potrebné nastaviť zhromažďovanie a ukladanie udalostí, skontrolovať, či zálohy sú v súlade s politikou, ktorú sme napísali, dovybaviť kancelárie systémami kontroly vstupu tam, kde to bolo potrebné, a niekoľko ďalších drobností .
Tím pripravujúci všetko potrebné na certifikáciu tvorili dvaja ľudia. Plánovali sme, že sa budú podieľať na realizácii súbežne s ich hlavnými povinnosťami a každému z nich to zaberie maximálne 1,5 – 2 hodiny denne.
Aby sme to zhrnuli, môžeme povedať, že náš pohľad na nadchádzajúcu náplň práce bol pomerne optimistický.
Realita
V skutočnosti bolo všetko prirodzene inak: šablóny zásad poskytnuté konzultantom sa ukázali byť väčšinou nepoužiteľné pre našu spoločnosť; Na internete neboli takmer žiadne jasné informácie o tom, čo a ako robiť. Ako si viete predstaviť, plán „napísať jednu politiku za 3 dni“ zlyhal. Termíny sme teda prestali plniť takmer od samého začiatku projektu a naša nálada začala pomaly klesať.
Odbornosť tímu bola katastrofálne malá – natoľko, že nestačilo ani položiť konzultantovi (ktorý mimochodom neprejavil veľkú iniciatívu) tie správne otázky. Veci sa začali hýbať ešte pomalšie, keďže po 3 mesiacoch od začiatku realizácie (teda v momente, keď už malo byť všetko pripravené) opustil tím jeden z dvoch kľúčových účastníkov. Nahradil ho nový šéf IT služby, ktorý musel rýchlo dokončiť proces implementácie a zabezpečiť systém riadenia informačnej bezpečnosti so všetkým, čo je z technického hľadiska najpotrebnejšie. Úloha vyzerala náročne... Vedúci začali upadať do depresie.
Okrem toho sa ukázalo, že technická stránka problému má aj „nuansy“. Stojíme pred úlohou globálnej modernizácie softvéru na pracovných staniciach aj na serverových zariadeniach. Pri nastavovaní systému na zber udalostí (logov) sa ukázalo, že nemáme dostatok hardvérových prostriedkov na bežné fungovanie systému. A modernizáciu potreboval aj zálohovací softvér.
Spoiler: Výsledkom bolo, že ISMS bol hrdinsky implementovaný za 6 mesiacov. A nikto ani nezomrel!
Čo sa najviac zmenilo?
Samozrejme, počas implementácie normy došlo v procesoch spoločnosti k veľkému množstvu malých zmien. Zdôraznili sme pre vás najvýznamnejšie zmeny:
- Formalizácia procesu hodnotenia rizík
Predtým spoločnosť nemala žiadny formálny proces hodnotenia rizík – robilo sa to len mimochodom ako súčasť celkového strategického plánovania. Jednou z najdôležitejších úloh riešených v rámci certifikácie bola implementácia Zásady hodnotenia rizík spoločnosti, ktorá popisuje všetky fázy tohto procesu a osoby zodpovedné za jednotlivé fázy.
- Kontrola nad vymeniteľnými pamäťovými médiami
Jedným z významných rizík pre podnikanie bolo používanie nešifrovaných USB flash diskov: v skutočnosti si každý zamestnanec mohol napísať na flash disk akékoľvek informácie, ktoré mal k dispozícii, a v najlepšom prípade ich stratiť. V rámci certifikácie bola na všetkých zamestnaneckých staniciach deaktivovaná možnosť sťahovať akékoľvek informácie na flash disky – zaznamenávanie informácií bolo možné iba prostredníctvom aplikácie na IT oddelení.
- Super užívateľské ovládanie
Jedným z hlavných problémov bola skutočnosť, že všetci zamestnanci IT oddelenia mali absolútne práva vo všetkých podnikových systémoch – mali prístup ku všetkým informáciám. Zároveň ich nikto poriadne nekontroloval.
Implementovali sme systém Data Loss Prevention (DLP) - program na monitorovanie akcií zamestnancov, ktorý analyzuje, blokuje a upozorňuje na nebezpečné a neproduktívne činnosti. Teraz sú upozornenia o činnosti zamestnancov IT oddelenia zasielané na e-mailovú adresu prevádzkového riaditeľa spoločnosti.
- Prístup k organizácii informačnej infraštruktúry
Certifikácia si vyžadovala globálne zmeny a prístupy. Áno, kvôli zvýšenému zaťaženiu sme museli upgradovať množstvo serverových zariadení. Predovšetkým sme vyhradili samostatný server pre systémy zberu udalostí. Server bol vybavený veľkými a rýchlymi SSD diskami. Opustili sme zálohovací softvér a rozhodli sme sa pre úložné systémy, ktoré majú všetky potrebné funkcie hneď po vybalení. Urobili sme niekoľko veľkých krokov smerom ku koncepcii „infraštruktúra ako kód“, ktorá nám umožnila ušetriť veľa miesta na disku odstránením potreby zálohovať množstvo serverov. V čo najkratšom čase (1 týždeň) bol všetok softvér na pracovných staniciach upgradovaný na Win10. Jedným z problémov, ktoré modernizácia vyriešila, je možnosť povoliť šifrovanie (vo verzii Pro).
- Kontrola papierových dokumentov
Spoločnosť mala značné riziká spojené s používaním papierových dokumentov: mohli sa stratiť, ponechať na nesprávnom mieste alebo nevhodne zničiť. Aby sme toto riziko minimalizovali, označili sme všetky papierové dokumenty podľa stupňa utajenia a vyvinuli sme postup na zničenie rôznych typov dokumentov. Teraz, keď zamestnanec otvorí priečinok alebo vezme dokument, presne vie, do akej kategórie tieto informácie patria a ako s nimi naložiť.
- Prenájom záložného dátového centra
Predtým boli všetky informácie o spoločnosti uložené na serveroch umiestnených v zabezpečenom dátovom centre tretej strany. V tomto dátovom centre však neboli zavedené žiadne núdzové postupy. Riešením bolo prenajať si záložné cloudové dátové centrum a tam zálohovať najdôležitejšie informácie. V súčasnosti sú informácie spoločnosti uložené v dvoch geograficky vzdialených dátových centrách, čo minimalizuje riziko ich straty.
- Testovanie kontinuity podnikania
Naša spoločnosť má už niekoľko rokov zavedenú Zásadu kontinuity podnikania (BCP), ktorá popisuje, čo by mali zamestnanci robiť v rôznych negatívnych scenároch (strata prístupu do kancelárie, epidémia, výpadok elektriny atď.). Nikdy sme však nevykonali testovanie kontinuity – to znamená, že sme nikdy nemerali, ako dlho by trvalo obnovenie podnikania v každej z týchto situácií. V rámci prípravy na certifikačný audit sme to nielen urobili, ale vypracovali sme aj plán testovania kontinuity činnosti na nasledujúci rok. Stojí za zmienku, že o rok neskôr, keď sme stáli pred potrebou úplne prejsť na prácu na diaľku, sme túto úlohu splnili za tri dni.
Dôležité je poznamenať, že všetky firmy pripravujúce sa na certifikáciu majú rozdielne východiskové podmienky – teda vo vašom prípade môžu byť potrebné úplne iné zmeny.
Reakcie zamestnancov na zmeny
Napodiv - tu sme očakávali to najhoršie - nedopadlo to tak zle. Nedá sa povedať, že by kolegovia prijali správu o certifikácii s veľkým nadšením, ale jedno bolo jasné:
- Všetci kľúčoví zamestnanci pochopili dôležitosť a nevyhnutnosť tejto udalosti;
- Všetci ostatní zamestnanci vzhliadali ku kľúčovým zamestnancom.
Samozrejme, veľmi nám pomohli špecifiká nášho odvetvia – outsourcing účtovných funkcií. Prevažná väčšina našich zamestnancov dobre zvláda neustále zmeny v ruskej legislatíve. Zavedenie niekoľkých desiatok nových pravidiel, ktoré sa teraz musia dodržiavať, preto pre nich nebolo ničím výnimočným.
Pre všetkých našich zamestnancov sme pripravili nové povinné školenie a testovanie ISO 27001. Všetci poslušne odstránili z monitorov nalepené papieriky s heslami a upratali stoly posiate dokumentmi. Nezaznamenali sme žiadnu hlasnú nespokojnosť - vo všeobecnosti sme mali veľké šťastie na našich zamestnancov.
Prešli sme teda najbolestivejšou fázou – „depresiou“ – spojenou so zmenami v našich obchodných procesoch. Bolo to ťažké a ťažké, ale výsledok nakoniec prekonal všetky naše najdivokejšie očakávania.
Prečítajte si predchádzajúce materiály zo série:
5 stupňov nevyhnutnosti certifikácie ISO/IEC 27001. Depresia.
5 stupňov nevyhnutnosti certifikácie ISO/IEC 27001. Adopcia.
Zdroj: hab.com