Expectativa
A primeira pergunta que fizemos após escolher uma autoridade de certificação e um consultor foi quanto tempo levaríamos para fazer todas as alterações necessárias?
O plano de trabalho original foi programado para que nos encontrássemos em 3 meses.
Tudo parecia simples: era necessário escrever algumas dúzias de políticas e alterar ligeiramente nossos processos internos; depois ensine as mudanças aos colegas e espere mais 3 meses (para que haja “registros”, ou seja, evidências do funcionamento das políticas). Parecia que isso era tudo - e o certificado estava em nosso bolso.
Além disso, não íamos escrever para os políticos do zero - afinal, tínhamos um consultor que, como pensávamos, precisava jogar fora todos os modelos "corretos" para nós.Como resultado dessas inferências, reservamos 3 dias para a elaboração de cada apólice.
As mudanças técnicas também não pareceram intimidantes: era necessário montar a coleta e armazenamento de eventos, verificar se os backups cumpriam a política que escrevíamos, reequipar os gabinetes ACS, quando necessário, e outras pequenas coisas.
A equipe que prepara tudo o que é necessário para a certificação é composta por duas pessoas. Planejamos que eles estariam envolvidos na implementação em paralelo com suas responsabilidades principais, e cada um deles levaria no máximo 1,5-2 horas por dia.
Em resumo, podemos dizer que nossa visão do volume de trabalho que se aproximava era bastante otimista.
Realidade
Na verdade, é claro, as coisas eram diferentes: os modelos de política fornecidos pelo consultor acabaram se revelando inaplicáveis à nossa empresa; quase não havia informações claras na Internet sobre o que e como fazer. Como você pode imaginar, o plano de "redigir uma política em 3 dias" falhou terrivelmente. Portanto, paramos de cumprir os prazos quase no início do projeto e o grau de ânimo começou a cair lentamente.
A expertise da equipe era desastrosamente pequena - tanto que nem chegava para fazer as perguntas certas ao consultor (que, aliás, não mostrou muita iniciativa). O caso começou a andar ainda mais devagar, pois 3 meses após o início da implantação (ou seja, no momento em que tudo deveria estar pronto), um dos dois principais participantes deixou a equipe. Em seu lugar, surgiu um novo chefe de serviço de TI, que deveria concluir o processo de implementação em um curto espaço de tempo e dotar o sistema de gestão de segurança da informação com tudo o que fosse necessário do ponto de vista técnico. A tarefa parecia assustadora ... Os responsáveis começaram a ficar deprimidos.
Além disso, o lado técnico da questão também revelou ser "matizado". Enfrentamos o desafio de uma atualização global de software tanto em estações de trabalho quanto em hardware de servidor. Ao configurar o sistema para coletar eventos (logs), descobrimos que não tínhamos recursos de hardware suficientes para o funcionamento normal do sistema. E o software de backup também precisava ser atualizado.
Alerta de spoiler: Como resultado, o ISMS foi heroicamente implementado em 6 meses. E ninguém morreu!
O que mudou mais?
É claro que, no processo de introdução do padrão, um grande número de pequenas mudanças ocorreram nos processos da empresa. Destacamos as mudanças mais significativas para você:
- Formalização do processo de avaliação de risco
Anteriormente, a empresa não tinha nenhum procedimento formalizado de avaliação de risco - isso era feito apenas de passagem, como parte do planejamento estratégico geral. Uma das tarefas mais importantes resolvidas no âmbito da certificação foi a implementação da Política de Avaliação de Riscos da Empresa, que descreve todas as etapas deste processo e os responsáveis por cada uma delas.
- Controle sobre mídia removível
Um dos riscos significativos para os negócios era o uso de unidades flash USB não criptografadas: na verdade, qualquer funcionário poderia gravar qualquer informação disponível em uma unidade flash e, na melhor das hipóteses, perdê-la. Como parte da certificação, a capacidade de baixar qualquer informação para flash drives foi desativada em todas as estações de trabalho dos funcionários - o registro de informações só foi possível por meio de um aplicativo para o departamento de TI.
- Controle de superusuário
Um dos principais problemas era o fato de que todos os funcionários do departamento de TI tinham direitos absolutos em todos os sistemas da empresa - eles tinham acesso a todas as informações. Ao mesmo tempo, ninguém realmente os controlava.
Implementamos o sistema Data Loss Prevention (DLP), um programa de controle de funcionários que analisa, bloqueia e alerta sobre atividades perigosas e improdutivas. Agora, notificações sobre as ações dos funcionários do departamento de TI chegam ao correio do COO da empresa.
- Uma abordagem para organizar a infraestrutura de informações
A certificação exigia mudanças e abordagens globais. Sim, tivemos que atualizar vários equipamentos de servidor devido ao aumento da carga. Em particular, alocamos um servidor separado para sistemas de coleta de eventos. O servidor estava equipado com drives SSD grandes e rápidos. Abandonamos o software para backups e optamos por sistemas de armazenamento que têm todas as funcionalidades necessárias fora da caixa. Demos vários passos grandes em direção ao conceito de "infraestrutura como código", que economizou muito espaço em disco ao não fazer backup de vários servidores. No menor tempo possível (1 semana), todo o software nas estações de trabalho foi atualizado para Win10. Um dos problemas que a atualização resolveu foi a capacidade de habilitar a criptografia (na versão Pro).
- Controle sobre documentos em papel
A empresa apresentava riscos significativos associados ao uso de documentos em papel: eles poderiam ser perdidos, deixados no lugar errado ou destruídos de maneira inadequada. Para minimizar este risco, marcamos todos os documentos em papel de acordo com o grau de confidencialidade e desenvolvemos um procedimento para a destruição de diferentes tipos de documentos. Agora, quando um funcionário abre uma pasta ou pega um documento, ele sabe exatamente em que categoria essa informação se encaixa e como lidar com ela.
- Aluguel de um data center de backup
Anteriormente, todas as informações da empresa eram armazenadas em servidores localizados em um data center seguro de terceiros. No entanto, não houve procedimentos de emergência neste data center. A solução foi alugar um data center de nuvem de backup e fazer backup das informações mais importantes lá. Agora as informações da empresa são armazenadas em dois data centers remotos geograficamente, o que minimiza o risco de perdê-las.
- Teste de Continuidade de Negócios
Por vários anos, nossa empresa possui uma Política de Continuidade de Negócios (BCP), que descreve o procedimento para os funcionários atuarem em vários cenários negativos (perda de acesso a um escritório, epidemia, queda de energia, etc.) No entanto, nunca testamos a continuidade - ou seja, nunca medimos quanto tempo levará para recuperar um negócio em cada uma dessas situações. Em preparação para a auditoria de certificação, não apenas fizemos isso, mas também desenvolvemos um plano de teste de continuidade de negócios para o próximo ano. É importante notar que um ano depois, quando nos deparamos com a necessidade de mudar totalmente para a operação remota, realizamos essa tarefa em três dias.
É importante notarque todas as empresas que se preparam para a certificação têm condições iniciais diferentes - portanto, no seu caso, mudanças completamente diferentes podem ser necessárias.
Reação do funcionário às mudanças
Estranhamente - aqui esperávamos o pior - não foi tão ruim. Não se pode dizer que os colegas receberam a notícia sobre a certificação com grande entusiasmo, mas o seguinte foi claro:
- Todos os funcionários chave compreenderam a importância e inevitabilidade deste evento;
- Todos os outros funcionários eram iguais aos funcionários-chave.
Claro, as especificidades de nosso setor nos ajudaram muito - terceirização das funções de contabilidade. A grande maioria de nossos funcionários faz um excelente trabalho com mudanças constantes na legislação da Federação Russa. Conseqüentemente, a introdução de algumas dezenas de novas regras, que agora precisam ser observadas, não se tornou algo fora do comum para eles.
Preparamos um novo treinamento obrigatório ISO 27001 e testes para todos os nossos funcionários. Todos retiraram obedientemente os adesivos com senhas de seus monitores e desmontaram as mesas cheias de documentos. Nenhum descontentamento alto foi percebido - em geral, tivemos muita sorte com os funcionários.
Assim, passamos da fase mais dolorosa - a "depressão" - associada às mudanças em nossos processos de negócios. Foi difícil e difícil, mas o resultado acabou superando todas as expectativas mais loucas.
Leia os materiais anteriores do ciclo:
5 etapas da inevitabilidade da adoção da certificação ISO / IEC 27001. Negação: equívocos sobre a certificação ISO 27001: 2013, a viabilidade de obtenção de um certificado.
5 estágios de adoção inevitável da certificação ISO / IEC 27001. Raiva: por onde começar? Dados iniciais. Despesas. Escolhendo um provedor.
5 estágios de adoção inevitável da certificação ISO / IEC 27001. Negociação: preparação de um plano de implementação, avaliação de riscos, elaboração de políticas.
5 estágios de adoção inevitável da certificação ISO / IEC 27001. Depressão.
5 estágios de adoção inevitável da certificação ISO / IEC 27001. Adoção.