Det fjärde steget av emotionell reaktion på förändring är depression. I den här artikeln kommer vi att berätta om vår erfarenhet av att gå igenom det mest utdragna och obehagliga skedet - om förändringar i företagets affärsprocesser för att uppnå deras överensstämmelse med ISO 27001-standarden.
förväntan
Den första frågan vi ställde oss efter att ha valt certifieringsorgan och konsult var hur mycket tid skulle vi egentligen behöva för att göra alla nödvändiga ändringar?
Den initiala arbetsplanen var planerad på ett sådant sätt att vi var tvungna att slutföra den inom 3 månader.
Allt såg enkelt ut: det var nödvändigt att skriva ett par dussin policyer och ändra våra interna processer något; utbilda sedan kollegor i förändringarna och vänta ytterligare 3 månader (så att "rekord" visas, det vill säga bevis på hur politiken fungerar). Det verkade som att det var allt - och certifikatet fanns i vår ficka.
Dessutom skulle vi inte skriva policyer från grunden - vi hade trots allt en konsult som, som vi trodde, skulle ge oss alla "korrekta" mallar.
Som ett resultat av dessa slutsatser avsatte vi tre dagar för att förbereda varje policy.
De tekniska förändringarna såg inte heller skrämmande ut: det var nödvändigt att sätta upp insamling och lagring av händelser, kontrollera om säkerhetskopiorna överensstämmer med policyn som vi skrev, eftermontera kontoren med åtkomstkontrollsystem vid behov, och några andra små saker .
Teamet som förberedde allt som behövs för certifieringen bestod av två personer. Vi planerade att de skulle vara delaktiga i genomförandet parallellt med sina huvudansvar och det skulle ta var och en av dem max 1,5-2 timmar om dagen.
För att sammanfatta kan vi säga att vår syn på det kommande arbetet var ganska optimistisk.
Verkligheten
I verkligheten var allt naturligtvis annorlunda: de policymallar som konsulten tillhandahållit visade sig för det mesta vara otillämpliga för vårt företag; Det fanns nästan ingen tydlig information på Internet om vad och hur man skulle göra. Som du kan föreställa dig misslyckades planen att "skriva en policy på 3 dagar" totalt. Så vi slutade hålla deadlines nästan från början av projektet, och vårt humör började sakta falla.
Teamets expertis var katastrofalt liten - så mycket att det inte ens räckte att ställa de rätta frågorna till konsulten (som för övrigt inte visade så mycket initiativ). Saker och ting började gå ännu långsammare, eftersom 3 månader efter starten av implementeringen (det vill säga i det ögonblick då allt borde ha varit klart) lämnade en av de två nyckeldeltagarna teamet. Han ersattes av en ny chef för IT-tjänsten, som snabbt fick slutföra implementeringsprocessen och förse ledningssystemet för informationssäkerhet med allt som var mest nödvändigt ur teknisk synvinkel. Uppgiften såg svår ut... De ansvariga började bli deprimerade.
Dessutom visade sig den tekniska sidan av frågan också ha "nyanser". Vi står inför uppgiften att modernisera global mjukvara både på arbetsstationer och på serverutrustning. När systemet sattes in för att samla in händelser (loggar), visade det sig att vi inte hade tillräckligt med hårdvaruresurser för att systemet skulle fungera normalt. Och säkerhetskopieringsmjukvaran behövde också moderniseras.
Spoiler: Som ett resultat implementerades ISMS heroiskt på 6 månader. Och ingen dog ens!
Vad har förändrats mest?
Naturligtvis, under implementeringen av standarden, inträffade ett stort antal små förändringar i företagets processer. Vi har lyft fram de viktigaste förändringarna för dig:
- Formalisering av riskbedömningsprocessen
Tidigare hade företaget ingen formell riskbedömningsprocess – den gjordes endast i förbigående som en del av den övergripande strategiska planeringen. En av de viktigaste uppgifterna som löstes som en del av certifieringen var implementeringen av företagets Risk Assessment Policy, som beskriver alla steg i denna process och vilka personer som är ansvariga för varje steg.
- Kontroll över flyttbara lagringsmedia
En av de betydande riskerna för företag var användningen av okrypterade USB-minnen: i själva verket kunde vilken anställd som helst skriva all information som var tillgänglig för honom på en flash-enhet och i bästa fall förlora den. Som en del av certifieringen inaktiverades möjligheten att ladda ner all information till flash-enheter på alla anställdas arbetsstationer - inspelning av information blev endast möjlig genom en ansökan till IT-avdelningen.
- Super användarkontroll
Ett av huvudproblemen var det faktum att alla anställda på IT-avdelningen hade absoluta rättigheter i alla företagssystem – de hade tillgång till all information. Samtidigt var det ingen som verkligen kontrollerade dem.
Vi har implementerat ett Data Loss Prevention (DLP) system – ett program för att övervaka anställdas handlingar som analyserar, blockerar och varnar om farliga och improduktiva aktiviteter. Nu skickas varningar om IT-avdelningens anställdas agerande till e-postadressen till företagets Operations Director.
- Tillvägagångssätt för att organisera informationsinfrastruktur
Certifiering krävde globala förändringar och tillvägagångssätt. Ja, vi var tvungna att uppgradera ett antal serverutrustning på grund av den ökade belastningen. I synnerhet har vi dedikerat en separat server för system för insamling av händelser. Servern var utrustad med stora och snabba SSD-enheter. Vi övergav programvara för säkerhetskopiering och valde lagringssystem som har all nödvändig funktionalitet direkt. Vi tog flera stora steg mot konceptet "infrastruktur som kod", vilket gjorde att vi kunde spara mycket diskutrymme genom att eliminera säkerhetskopieringen av ett antal servrar. På kortast möjliga tid (1 vecka) uppgraderades all mjukvara på arbetsstationer till Win10. Ett av problemen som moderniseringen löste var möjligheten att aktivera kryptering (i Pro-versionen).
- Kontroll över pappersdokument
Företaget hade betydande risker förknippade med användningen av pappersdokument: de kunde försvinna, lämnas på fel plats eller förstöras på ett felaktigt sätt. För att minimera denna risk har vi märkt alla pappersdokument efter sekretessnivån och utvecklat en procedur för att förstöra olika typer av dokument. Nu, när en anställd öppnar en mapp eller tar ett dokument, vet han exakt vilken kategori denna information hamnar i och hur han ska hantera den.
- Hyr ett backup-datacenter
Tidigare lagrades all företagsinformation på servrar placerade i ett tredjeparts säkert datacenter. Det fanns dock inga nödrutiner på plats vid detta datacenter. Lösningen blev att hyra ett backup-molndatacenter och säkerhetskopiera den viktigaste informationen där. För närvarande lagras företagets information i två geografiskt avlägsna datacenter, vilket minimerar risken för förlust.
- Affärskontinuitetstestning
Vårt företag har haft en Business Continuity Policy (BCP) på plats i flera år, som beskriver vad anställda ska göra i olika negativa scenarier (förlust av tillgång till kontoret, epidemi, strömavbrott, etc.). Vi har dock aldrig genomfört kontinuitetstester – det vill säga vi har aldrig mätt hur lång tid det skulle ta att återställa verksamheten i var och en av dessa situationer. Som förberedelse för certifieringsrevisionen gjorde vi inte bara detta, utan utvecklade också en testplan för affärskontinuitet för det kommande året. Det är värt att notera att ett år senare, när vi stod inför behovet av att helt byta till distansarbete, slutförde vi denna uppgift på tre dagar.
Viktigt att notera, att alla företag som förbereder sig för certifiering har olika startvillkor – därför kan det i ditt fall krävas helt andra förändringar.
Medarbetarnas reaktioner på förändringar
Märkligt nog - här förväntade vi oss det värsta - det blev inte så illa. Det kan inte sägas att kollegor tog emot nyheten om certifiering med stor entusiasm, men följande var tydligt:
- Alla nyckelmedarbetare förstod vikten och oundvikligheten av denna händelse;
- Alla andra anställda såg upp till nyckelpersoner.
Naturligtvis har detaljerna i vår bransch hjälpt oss mycket - outsourcing av redovisningsfunktioner. De allra flesta av våra anställda klarar ständiga förändringar i rysk lagstiftning väl. Därför var införandet av ett par dussin nya regler som nu måste följas inte något utöver det vanliga för dem.
Vi har förberett ny obligatorisk ISO 27001-utbildning och testning för alla våra anställda. Alla tog lydigt bort klisterlapparna med lösenord från sina bildskärmar och rensade bort skrivborden fulla av dokument. Inget högljutt missnöje märktes – generellt sett hade vi väldigt tur med våra anställda.
Således har vi passerat det mest smärtsamma stadiet - "depression" - förknippat med förändringar i våra affärsprocesser. Det var jobbigt och svårt, men resultatet överträffade till slut alla våra vildaste förväntningar.
Läs tidigare material från serien:
5 stadier av oundvikligheten av ISO/IEC 27001-certifiering. Depression.
5 stadier av oundvikligheten av ISO/IEC 27001-certifiering. Adoption.
Källa: will.com