ขั้นที่สี่ของการตอบสนองทางอารมณ์ต่อการเปลี่ยนแปลงคือภาวะซึมเศร้า ในบทความนี้ เราจะบอกคุณเกี่ยวกับประสบการณ์ของเราในการผ่านขั้นตอนที่ยืดเยื้อและไม่พึงประสงค์ที่สุด - เกี่ยวกับการเปลี่ยนแปลงกระบวนการทางธุรกิจของบริษัทเพื่อให้บรรลุการปฏิบัติตามมาตรฐาน ISO 27001
ความหวัง
คำถามแรกที่เราถามตัวเองหลังจากเลือกหน่วยงานที่รับรองและที่ปรึกษาคือ เราต้องใช้เวลาเท่าไรในการเปลี่ยนแปลงที่จำเป็นทั้งหมด
แผนงานเบื้องต้นถูกกำหนดไว้จนเราต้องทำให้เสร็จภายใน 3 เดือน
ทุกอย่างดูเรียบง่าย: จำเป็นต้องเขียนนโยบายสองสามข้อและเปลี่ยนแปลงกระบวนการภายในของเราเล็กน้อย จากนั้นฝึกอบรมเพื่อนร่วมงานเกี่ยวกับการเปลี่ยนแปลงและรออีก 3 เดือน (เพื่อให้ "บันทึก" ปรากฏขึ้นนั่นคือหลักฐานการทำงานของนโยบาย) ดูเหมือนว่านั่นคือทั้งหมด - และใบรับรองก็อยู่ในกระเป๋าของเรา
นอกจากนี้ เราจะไม่เขียนนโยบายตั้งแต่เริ่มต้น เนื่องจากเรามีที่ปรึกษาที่ควรจะมอบเทมเพลตที่ "ถูกต้อง" ทั้งหมดให้เราตามที่เราคิดไว้
จากข้อสรุปดังกล่าว เราจึงจัดสรรเวลา 3 วันในการจัดทำกรมธรรม์แต่ละฉบับ
การเปลี่ยนแปลงทางเทคนิคก็ไม่ได้ดูน่ากลัวเช่นกัน: จำเป็นต้องตั้งค่าการรวบรวมและการจัดเก็บเหตุการณ์ ตรวจสอบว่าการสำรองข้อมูลเป็นไปตามนโยบายที่เราเขียนหรือไม่ ดัดแปลงสำนักงานด้วยระบบควบคุมการเข้าออกเมื่อจำเป็น และสิ่งเล็กๆ น้อยๆ อื่นๆ อีกเล็กน้อย .
ทีมงานเตรียมทุกอย่างที่จำเป็นสำหรับการรับรองประกอบด้วยสองคน เราวางแผนไว้ว่าพวกเขาจะมีส่วนร่วมในการนำไปปฏิบัติควบคู่ไปกับความรับผิดชอบหลัก โดยแต่ละคนจะใช้เวลาสูงสุด 1,5-2 ชั่วโมงต่อวัน
โดยสรุป เราสามารถพูดได้ว่ามุมมองของเราเกี่ยวกับขอบเขตงานที่จะเกิดขึ้นนั้นค่อนข้างเป็นไปในแง่ดี
ความจริง
ในความเป็นจริง ทุกอย่างแตกต่างออกไปโดยธรรมชาติ: เทมเพลตนโยบายที่ที่ปรึกษาจัดทำขึ้นกลับกลายเป็นว่าส่วนใหญ่ไม่สามารถนำมาใช้กับบริษัทของเราได้ แทบไม่มีข้อมูลที่ชัดเจนบนอินเทอร์เน็ตว่าต้องทำอย่างไรและอย่างไร ดังที่คุณคงจินตนาการได้ แผนการ “เขียนนโยบายเดียวใน 3 วัน” ล้มเหลวอย่างน่าสังเวช ดังนั้นเราจึงหยุดการประชุมตามกำหนดเวลาเกือบจะตั้งแต่เริ่มต้นโครงการ และอารมณ์ของเราก็เริ่มลดลงอย่างช้าๆ
ความเชี่ยวชาญของทีมมีน้อยมาก มากจนไม่เพียงพอที่จะถามคำถามที่ถูกต้องกับที่ปรึกษา (ซึ่งไม่ได้แสดงความคิดริเริ่มมากนัก) สิ่งต่างๆ เริ่มเคลื่อนไหวช้าลงอีก ตั้งแต่ 3 เดือนหลังจากการเริ่มดำเนินการ (นั่นคือในขณะที่ทุกอย่างควรจะพร้อม) หนึ่งในผู้เข้าร่วมหลักสองคนก็ออกจากทีม เขาถูกแทนที่ด้วยหัวหน้าฝ่ายบริการไอทีคนใหม่ ซึ่งต้องดำเนินการตามขั้นตอนการดำเนินการให้เสร็จสิ้นอย่างรวดเร็ว และจัดเตรียมระบบการจัดการความปลอดภัยของข้อมูลด้วยทุกสิ่งที่จำเป็นที่สุดจากมุมมองทางเทคนิค งานดูยาก... ผู้รับผิดชอบเริ่มหดหู่
นอกจากนี้ด้านเทคนิคของปัญหายังปรากฏว่ามี "ความแตกต่าง" อีกด้วย เรากำลังเผชิญกับงานปรับปรุงซอฟต์แวร์ทั่วโลกให้ทันสมัยทั้งบนเวิร์กสเตชันและอุปกรณ์เซิร์ฟเวอร์ ขณะตั้งค่าระบบเพื่อรวบรวมเหตุการณ์ (บันทึก) ปรากฏว่าเราไม่มีทรัพยากรฮาร์ดแวร์เพียงพอสำหรับการทำงานปกติของระบบ และซอฟต์แวร์สำรองข้อมูลยังต้องการการปรับปรุงให้ทันสมัยอีกด้วย
สปอยเลอร์: ด้วยเหตุนี้ ISMS จึงถูกนำมาใช้อย่างกล้าหาญใน 6 เดือน และไม่มีใครเสียชีวิตด้วยซ้ำ!
อะไรที่เปลี่ยนแปลงไปมากที่สุด?
แน่นอนว่าในระหว่างการนำมาตรฐานไปใช้ มีการเปลี่ยนแปลงเล็กๆ น้อยๆ จำนวนมากเกิดขึ้นในกระบวนการของบริษัท เราได้เน้นการเปลี่ยนแปลงที่สำคัญที่สุดสำหรับคุณ:
- การจัดกระบวนการประเมินความเสี่ยงอย่างเป็นทางการ
ก่อนหน้านี้ บริษัทไม่มีกระบวนการประเมินความเสี่ยงอย่างเป็นทางการ แต่ทำได้เพียงผ่านโดยเป็นส่วนหนึ่งของการวางแผนเชิงกลยุทธ์โดยรวมเท่านั้น งานที่สำคัญที่สุดอย่างหนึ่งที่ได้รับการแก้ไขโดยเป็นส่วนหนึ่งของการรับรองคือการดำเนินการตามนโยบายการประเมินความเสี่ยงของบริษัท ซึ่งอธิบายทุกขั้นตอนของกระบวนการนี้และบุคคลที่รับผิดชอบในแต่ละขั้นตอน
- ควบคุมสื่อเก็บข้อมูลแบบถอดได้
ความเสี่ยงที่สำคัญประการหนึ่งสำหรับธุรกิจคือการใช้แฟลชไดรฟ์ USB ที่ไม่ได้เข้ารหัส ที่จริงแล้ว พนักงานคนใดก็ตามสามารถเขียนข้อมูลใดๆ ก็ตามที่มีให้เขาลงในแฟลชไดรฟ์ และอย่างดีที่สุด ก็คือสูญเสียข้อมูลนั้นไป ส่วนหนึ่งของการรับรองนี้ ความสามารถในการดาวน์โหลดข้อมูลใดๆ ลงในแฟลชไดรฟ์ถูกปิดใช้งานบนเวิร์กสเตชันของพนักงานทั้งหมด โดยการบันทึกข้อมูลจะทำได้ผ่านแอปพลิเคชันไปยังแผนกไอทีเท่านั้น
- การควบคุมผู้ใช้ขั้นสูง
ปัญหาหลักประการหนึ่งคือพนักงานแผนกไอทีทุกคนมีสิทธิ์โดยสมบูรณ์ในทุกระบบของบริษัท - พวกเขาสามารถเข้าถึงข้อมูลทั้งหมดได้ ในขณะเดียวกันก็ไม่มีใครควบคุมพวกเขาได้จริงๆ
เราได้นำระบบการป้องกันข้อมูลสูญหาย (DLP) มาใช้ ซึ่งเป็นโปรแกรมสำหรับติดตามการกระทำของพนักงานที่วิเคราะห์ ปิดกั้น และแจ้งเตือนเกี่ยวกับกิจกรรมที่เป็นอันตรายและไม่ก่อให้เกิดผล ขณะนี้การแจ้งเตือนเกี่ยวกับการกระทำของพนักงานแผนกไอทีจะถูกส่งไปยังที่อยู่อีเมลของผู้อำนวยการฝ่ายปฏิบัติการของบริษัท
- แนวทางการจัดโครงสร้างพื้นฐานสารสนเทศ
การรับรองจำเป็นต้องมีการเปลี่ยนแปลงและแนวทางระดับโลก ใช่ เราต้องอัพเกรดอุปกรณ์เซิร์ฟเวอร์จำนวนหนึ่งเนื่องจากมีภาระงานเพิ่มขึ้น โดยเฉพาะอย่างยิ่ง เราได้จัดสรรเซิร์ฟเวอร์แยกต่างหากสำหรับระบบรวบรวมกิจกรรม เซิร์ฟเวอร์มีไดรฟ์ SSD ขนาดใหญ่และรวดเร็ว เราละทิ้งซอฟต์แวร์สำรองข้อมูลและเลือกใช้ระบบจัดเก็บข้อมูลที่มีฟังก์ชันการทำงานที่จำเป็นทั้งหมดตั้งแต่แกะกล่อง เราทำขั้นตอนสำคัญหลายประการไปสู่แนวคิด "โครงสร้างพื้นฐานเป็นโค้ด" ซึ่งช่วยให้เราสามารถประหยัดพื้นที่ดิสก์ได้มากโดยกำจัดการสำรองข้อมูลของเซิร์ฟเวอร์จำนวนหนึ่ง ในเวลาที่สั้นที่สุด (1 สัปดาห์) ซอฟต์แวร์ทั้งหมดบนเวิร์กสเตชันได้รับการอัปเกรดเป็น Win10 ปัญหาหนึ่งที่การปรับปรุงให้ทันสมัยแก้ไขได้คือความสามารถในการเปิดใช้งานการเข้ารหัส (ในเวอร์ชัน Pro)
- ควบคุมเอกสารที่เป็นกระดาษ
บริษัทมีความเสี่ยงที่สำคัญเกี่ยวกับการใช้เอกสารที่เป็นกระดาษ: เอกสารอาจสูญหาย ถูกทิ้งไว้ผิดที่ หรือถูกทำลายอย่างไม่เหมาะสม เพื่อลดความเสี่ยงนี้ เราได้ทำเครื่องหมายเอกสารกระดาษทั้งหมดตามระดับการรักษาความลับ และพัฒนาขั้นตอนในการทำลายเอกสารประเภทต่างๆ ตอนนี้ เมื่อพนักงานเปิดโฟลเดอร์หรือหยิบเอกสาร เขาจะรู้ได้อย่างแน่ชัดว่าข้อมูลนี้จัดอยู่ในหมวดหมู่ใดและจะจัดการอย่างไร
- ให้เช่าศูนย์ข้อมูลสำรอง
ก่อนหน้านี้ ข้อมูลบริษัททั้งหมดถูกจัดเก็บไว้ในเซิร์ฟเวอร์ที่อยู่ในศูนย์ข้อมูลที่ปลอดภัยของบริษัทอื่น อย่างไรก็ตาม ศูนย์ข้อมูลแห่งนี้ไม่มีขั้นตอนฉุกเฉิน วิธีแก้ไขคือการเช่าศูนย์ข้อมูลบนคลาวด์สำรองและสำรองข้อมูลที่สำคัญที่สุดที่นั่น ปัจจุบัน ข้อมูลของบริษัทถูกจัดเก็บไว้ในศูนย์ข้อมูลระยะไกลทางภูมิศาสตร์สองแห่ง ซึ่งช่วยลดความเสี่ยงในการสูญเสียให้เหลือน้อยที่สุด
- การทดสอบความต่อเนื่องทางธุรกิจ
บริษัทของเรามีนโยบายความต่อเนื่องทางธุรกิจ (BCP) เป็นเวลาหลายปี ซึ่งอธิบายถึงสิ่งที่พนักงานควรทำในสถานการณ์เชิงลบต่างๆ (การสูญเสียการเข้าถึงสำนักงาน โรคระบาด ไฟฟ้าดับ ฯลฯ) อย่างไรก็ตาม เราไม่เคยทำการทดสอบความต่อเนื่อง กล่าวคือ เราไม่เคยวัดว่าจะต้องใช้เวลานานเท่าใดในการฟื้นฟูธุรกิจในแต่ละสถานการณ์เหล่านี้ ในการเตรียมการสำหรับการตรวจสอบการรับรอง เราไม่เพียงแต่ทำเช่นนี้ แต่ยังพัฒนาแผนการทดสอบความต่อเนื่องทางธุรกิจสำหรับปีที่กำลังจะมาถึงอีกด้วย เป็นที่น่าสังเกตว่าในอีกหนึ่งปีต่อมา เมื่อเราเผชิญกับความจำเป็นในการเปลี่ยนมาทำงานจากระยะไกลโดยสมบูรณ์ เราก็ทำงานนี้เสร็จภายในสามวัน
สิ่งสำคัญที่ควรทราบว่าบริษัททุกแห่งที่เตรียมรับการรับรองมีเงื่อนไขเริ่มต้นที่แตกต่างกัน ดังนั้น ในกรณีของคุณ อาจจำเป็นต้องทำการเปลี่ยนแปลงที่แตกต่างไปจากเดิมอย่างสิ้นเชิง
ปฏิกิริยาของพนักงานต่อการเปลี่ยนแปลง
ผิดปกติพอ - ที่นี่เราคาดหวังที่แย่ที่สุด - กลับกลายเป็นว่าไม่เลวร้ายนัก ไม่สามารถพูดได้ว่าเพื่อนร่วมงานได้รับข่าวการรับรองด้วยความกระตือรือร้นอย่างมาก แต่สิ่งต่อไปนี้ชัดเจน:
- พนักงานคนสำคัญทุกคนเข้าใจถึงความสำคัญและหลีกเลี่ยงไม่ได้ของงานนี้
- พนักงานคนอื่นๆ ทุกคนต่างเงยหน้าขึ้นมองพนักงานคนสำคัญ
แน่นอนว่าข้อมูลเฉพาะของอุตสาหกรรมของเราช่วยเราได้มาก - จ้างงานบัญชีภายนอก พนักงานส่วนใหญ่ของเราสามารถรับมือกับการเปลี่ยนแปลงกฎหมายรัสเซียอย่างต่อเนื่อง ดังนั้นการแนะนำกฎใหม่สองสามสิบข้อที่ต้องปฏิบัติตามในตอนนี้จึงไม่ใช่เรื่องแปลกสำหรับพวกเขา
เราได้เตรียมการฝึกอบรมและการทดสอบ ISO 27001 บังคับใหม่สำหรับพนักงานของเราทุกคน ทุกคนนำกระดาษโน้ตที่มีรหัสผ่านออกจากหน้าจออย่างเชื่อฟัง และเก็บเอกสารบนโต๊ะที่เกลื่อนกลาดออกไป ไม่พบความไม่พอใจดังๆ โดยทั่วไปแล้ว เราโชคดีมากที่มีพนักงานของเรา
ดังนั้นเราจึงได้ผ่านขั้นตอนที่เจ็บปวดที่สุด - "ภาวะซึมเศร้า" - ที่เกี่ยวข้องกับการเปลี่ยนแปลงในกระบวนการทางธุรกิจของเรา มันยากและยากลำบาก แต่ผลลัพธ์ในท้ายที่สุดก็เกินความคาดหมายที่ยิ่งใหญ่ที่สุดของเรา
อ่านเนื้อหาก่อนหน้าจากซีรีส์:
5 ขั้นตอนที่หลีกเลี่ยงไม่ได้ของการรับรอง ISO/IEC 27001 ภาวะซึมเศร้า.
5 ขั้นตอนที่หลีกเลี่ยงไม่ได้ของการรับรอง ISO/IEC 27001 การรับเป็นบุตรบุญธรรม.
ที่มา: will.com