Četrta stopnja čustvenega odzivanja na spremembe je depresija. V tem članku vam bomo povedali o naših izkušnjah skozi najbolj dolgotrajno in neprijetno fazo - o spremembah poslovnih procesov podjetja, da bi dosegli njihovo skladnost s standardom ISO 27001.
Čakanje
Prvo vprašanje, ki smo si ga zastavili po izbiri certifikacijskega organa in svetovalca, je bilo, koliko časa resnično potrebujemo za izvedbo vseh potrebnih sprememb?
Prvotni načrt dela je bil zastavljen tako, da smo ga morali opraviti v 3 mesecih.
Vse je bilo videti preprosto: bilo je treba napisati nekaj ducatov politik in nekoliko spremeniti notranje procese; nato usposobiti sodelavce o spremembah in počakati še 3 mesece (da se pojavijo “zapisi”, torej dokazi o delovanju pravilnikov). Zdelo se je, da je to vse - in potrdilo je bilo v našem žepu.
Poleg tega politik ne bomo pisali iz nič - navsezadnje smo imeli svetovalca, ki naj bi nam, kot smo mislili, dal vse "pravilne" predloge.
Na podlagi teh sklepov smo za pripravo vsakega pravilnika namenili 3 dni.
Tudi tehnične spremembe niso bile videti zastrašujoče: treba je bilo vzpostaviti zbiranje in shranjevanje dogodkov, preveriti skladnost varnostnih kopij s pravilnikom, ki smo ga napisali, urediti pisarne s sistemi za nadzor dostopa, kjer je to potrebno, in še nekaj malenkosti. .
Ekipo, ki je pripravljala vse potrebno za certificiranje, sta sestavljala dva človeka. Načrtovali smo, da bodo v izvajanje vključeni vzporedno s svojimi glavnimi obveznostmi, kar bi vsakemu od njih vzelo največ 1,5-2 uri na dan.
Če povzamemo, lahko rečemo, da je bil naš pogled na prihajajoči obseg dela precej optimističen.
Resničnost
V resnici je bilo vse seveda drugače: predloge politik, ki jih je zagotovil svetovalec, so se večinoma izkazale za neuporabne za naše podjetje; Na internetu skoraj ni bilo jasnih informacij o tem, kaj in kako narediti. Kot si lahko predstavljate, je načrt "napisati eno politiko v 3 dneh" klavrno propadel. Tako smo skoraj od samega začetka projekta nehali spoštovati roke in razpoloženje nam je začelo počasi padati.
Strokovno znanje ekipe je bilo katastrofalno majhno - tako zelo, da ni bilo dovolj niti za postavljanje pravih vprašanj svetovalcu (ki, mimogrede, ni pokazal veliko pobude). Stvari so se začele premikati še počasneje, saj je 3 mesece po začetku izvajanja (torej v trenutku, ko bi moralo biti vse pripravljeno) ekipo zapustil eden od dveh ključnih udeležencev. Zamenjal ga je nov vodja službe za informatiko, ki je moral hitro zaključiti proces implementacije in zagotoviti sistemu upravljanja varovanja informacij vse, kar je s tehničnega vidika najnujnejše. Naloga je bila videti težka ... Odgovorni so začeli postajati depresivni.
Poleg tega se je izkazalo, da ima tehnična stran vprašanja tudi "nianse". Pred nami je naloga globalne posodobitve programske opreme tako na delovnih postajah kot na strežniški opremi. Med nastavitvijo sistema za zbiranje dogodkov (logov) se je izkazalo, da nimamo dovolj strojnih sredstev za normalno delovanje sistema. Posodobitev je bila potrebna tudi programska oprema za varnostno kopiranje.
Spoiler: Posledično je bil ISMS junaško implementiran v 6 mesecih. In nihče niti ni umrl!
Kaj se je najbolj spremenilo?
Seveda se je med implementacijo standarda v procesih podjetja zgodilo veliko majhnih sprememb. Za vas smo izpostavili najpomembnejše spremembe:
- Formalizacija procesa ocenjevanja tveganja
Prej podjetje ni imelo formalnega postopka ocenjevanja tveganja – izvajalo se je le mimogrede kot del splošnega strateškega načrtovanja. Ena pomembnejših nalog, ki smo jih rešili v okviru certificiranja, je bila implementacija Politike ocenjevanja tveganj v podjetju, ki opisuje vse faze tega procesa in odgovorne osebe za vsako fazo.
- Nadzor nad izmenljivimi mediji za shranjevanje
Eno od pomembnih tveganj za poslovanje je bila uporaba nešifriranih bliskovnih pogonov USB: pravzaprav bi lahko vsak zaposleni zapisal vse informacije, ki so mu na voljo, na bliskovni pogon in jih v najboljšem primeru izgubil. V okviru certificiranja je bila na vseh delovnih postajah zaposlenih onemogočena možnost prenosa kakršnih koli informacij na bliskovne pogone - snemanje informacij je postalo možno le prek aplikacije v IT oddelek.
- Super uporabniški nadzor
Eden glavnih problemov je bilo dejstvo, da so imeli vsi zaposleni v IT oddelku absolutne pravice v vseh sistemih podjetja – imeli so dostop do vseh informacij. Hkrati pa jih nihče ni zares nadzoroval.
Implementirali smo sistem Data Loss Prevention (DLP) - program za spremljanje delovanja zaposlenih, ki analizira, blokira in opozarja na nevarne in neproduktivne aktivnosti. Zdaj se opozorila o dejanjih zaposlenih v IT oddelku pošiljajo na elektronski naslov direktorja operacij podjetja.
- Pristop k organizaciji informacijske infrastrukture
Certificiranje je zahtevalo globalne spremembe in pristope. Da, zaradi povečane obremenitve smo morali posodobiti kar nekaj strežniške opreme. Zlasti smo namenili ločen strežnik za sisteme zbiranja dogodkov. Strežnik je bil opremljen z velikimi in hitrimi SSD diski. Opustili smo programsko opremo za varnostno kopiranje in se odločili za sisteme za shranjevanje, ki imajo vso potrebno funkcionalnost takoj po izdelavi. Naredili smo več velikih korakov proti konceptu »infrastruktura kot koda«, kar nam je omogočilo, da smo prihranili veliko prostora na disku z odpravo varnostnega kopiranja številnih strežnikov. V najkrajšem možnem času (1 teden) je bila vsa programska oprema na delovnih postajah nadgrajena na Win10. Ena od težav, ki jih je posodobitev rešila, je bila možnost omogočanja šifriranja (v različici Pro).
- Nadzor nad papirnimi dokumenti
Podjetje je imelo precejšnja tveganja, povezana z uporabo papirnih dokumentov: lahko so se izgubili, pustili na napačnem mestu ali nepravilno uničili. Za zmanjšanje tega tveganja smo vse papirne dokumente označili s stopnjo zaupnosti in razvili postopek za uničenje različnih vrst dokumentov. Zdaj, ko zaposleni odpre mapo ali vzame dokument, točno ve, v katero kategorijo ta podatek spada in kako z njim ravnati.
- Najem rezervnega podatkovnega centra
Prej so bile vse informacije o podjetju shranjene na strežnikih v varnem podatkovnem centru tretje osebe. Vendar pa v tem podatkovnem centru ni bilo nobenih nujnih postopkov. Rešitev je bila najem rezervnega podatkovnega centra v oblaku in tam varnostno kopiranje najpomembnejših informacij. Trenutno so podatki podjetja shranjeni v dveh geografsko oddaljenih podatkovnih centrih, kar zmanjšuje tveganje njihove izgube.
- Testiranje neprekinjenega poslovanja
Naše podjetje ima že nekaj let vzpostavljeno Politiko neprekinjenega poslovanja (BCP), ki opisuje, kaj naj zaposleni storijo v različnih negativnih scenarijih (izguba dostopa do pisarne, epidemija, izpad elektrike itd.). Vendar nikoli nismo izvedli testiranja kontinuitete – to pomeni, nikoli nismo izmerili, koliko časa bi trajalo, da se v vsaki od teh situacij obnovi poslovanje. V pripravah na certifikacijsko presojo nismo le to izvedli, ampak smo izdelali tudi načrt testiranja neprekinjenega poslovanja za prihodnje leto. Omeniti velja, da smo leto kasneje, ko smo se soočili s potrebo po popolnem prehodu na delo na daljavo, to nalogo opravili v treh dneh.
Pomembno je opozoriti, da imajo vsa podjetja, ki se pripravljajo na certificiranje, različne izhodiščne pogoje – zato so v vašem primeru morda potrebne povsem drugačne spremembe.
Odzivi zaposlenih na spremembe
Nenavadno - tukaj smo pričakovali najslabše - izkazalo se je, da ni tako slabo. Ne moremo reči, da so kolegi novico o certificiranju sprejeli z velikim navdušenjem, vendar je bilo jasno naslednje:
- Vsi ključni zaposleni so razumeli pomembnost in neizogibnost tega dogodka;
- Vsi ostali zaposleni so se zgledovali po ključnih sodelavcih.
Pri tem nam je seveda veliko pomagala specifika naše panoge – zunanje izvajanje računovodskih funkcij. Velika večina naših zaposlenih se dobro sooča z nenehnimi spremembami ruske zakonodaje. Skladno s tem uvedba nekaj ducatov novih pravil, ki jih je zdaj treba upoštevati, zanje ni bila nekaj nenavadnega.
Za vse zaposlene smo pripravili nova obvezna izobraževanja in testiranja ISO 27001. Vsi so z monitorjev poslušno odstranili listke z gesli in pospravili z dokumenti zasute mize. Glasnega nezadovoljstva ni bilo opaziti - na splošno smo imeli veliko srečo z zaposlenimi.
Tako smo prestali najbolj bolečo fazo - »depresijo« - povezano s spremembami v naših poslovnih procesih. Bilo je naporno in težko, vendar je rezultat na koncu presegel vsa naša najbolj nora pričakovanja.
Preberite prejšnja gradiva iz serije:
5 stopenj neizogibnosti certificiranja ISO/IEC 27001. Depresija.
5 stopenj neizogibnosti certificiranja ISO/IEC 27001. Posvojitev.
Vir: www.habr.com