5 etapas de adopci贸n inevitable de la certificaci贸n ISO / IEC 27001. Negociar

La tercera etapa de la respuesta emocional al cambio es la negociaci贸n. Despu茅s de lidiar con nuestro enojo y componente emocional, comenzamos a pensar en lo que realmente se debe hacer para que todo funcione para nosotros. Es hora de estudiar el est谩ndar con m谩s detalle, aplicarlo a nuestra situaci贸n actual y adaptar sus requisitos para nuestra empresa. Aqu铆 era importante hacer con "poca sangre" mientras se cumpl铆an los requisitos de la norma. Cualquier cambio ten铆a que ser adecuado, es decir, acorde con el riesgo correspondiente. El costo de la protecci贸n no debe exceder el posible da帽o de la realizaci贸n del riesgo.



imagen



En este camino, tuvimos que resolver muchas preguntas que nunca antes hab铆amos encontrado:



Elegir una herramienta para trabajar en una biblioteca de pol铆ticas



La primera pregunta (aparentemente muy simple) que enfrentamos es d贸nde crear y c贸mo almacenar todos los documentos necesarios del sistema de gesti贸n de seguridad de la informaci贸n. Era extremadamente importante para nosotros preservar el control de versiones de los documentos y poder "revertir" la versi贸n de la pol铆tica varias revisiones. Despu茅s de revisar las ofertas en el mercado, nos instalamos en el wiki de Confluence, y lo usamos hasta el d铆a de hoy.



Podr铆amos usar git como sistema de control de versiones (control de versiones), pero para la comodidad de los usuarios, elegimos una soluci贸n de portal (Confluence). Logramos limitarnos a la versi贸n gratuita (hasta 10 usuarios autorizados): no necesit谩bamos m谩s, ya que los no autorizados pod铆an ver la biblioteca.



Preparando un plan de implementaci贸n



Aqu铆 no aplicamos ning煤n m茅todo creativo: simplemente le pedimos a nuestro consultor una lista de las pol铆ticas necesarias, nombramos personas responsables para su redacci贸n y aprobaci贸n, anotamos fechas clave y lo hicimos todo en forma de un diagrama de Gantt (que tambi茅n se carg贸 en Confluence).



Evaluaci贸n de riesgos de la empresa.



Obviamente, para elegir los medios de protecci贸n, necesit谩bamos evaluar los riesgos (para gastar recursos solo donde realmente se necesita). Para hacer esto, creamos una lista de activos de la compa帽铆a que planeamos proteger, que inclu铆a activos f铆sicos (estaciones de trabajo, servidores, documentos en papel, etc.) e intangibles (informaci贸n del cliente en forma electr贸nica, contrase帽as, etc.) )



Con la ayuda de un equipo de expertos, a cada activo se le asign贸 un valor espec铆fico. Adem谩s, vinculamos a cada activo uno o varios riesgos a los que este activo puede estar expuesto (por ejemplo, los documentos en papel pueden ser robados, destruidos, etc.). Luego evaluamos la importancia de cada riesgo como producto de dos par谩metros: la probabilidad del riesgo y la importancia de las consecuencias de la realizaci贸n del riesgo.



Despu茅s de clasificar los riesgos en grupos, entendimos con cu谩l de ellos deber铆amos trabajar en primer lugar:







1. Brechas en el conocimiento de los empleados



El riesgo m谩s com煤n fue el factor humano. Adem谩s, obtuvimos la certificaci贸n por primera vez, por lo que tuvimos la cuesti贸n de ense帽ar los conceptos b谩sicos de seguridad de la informaci贸n. Habiendo desarrollado el programa, enfrentamos el problema de automatizar este proceso y controlar el conocimiento residual. Como resultado, comenzamos a usar el sistema de prueba que hemos incorporado a nuestro portal corporativo.



2. Falta de potencia inform谩tica de respaldo



Este problema requer铆a grandes recursos financieros y humanos, por lo que fue un error dejarlo al final. Hemos seleccionado un sitio para respaldar nuestros servicios principales: en la etapa inicial, utilizamos IaaS (infraestructura como servicio), lo que nos permiti贸 configurar de forma r谩pida y presupuestaria la reserva de los servicios principales de la compa帽铆a; luego compramos equipo adicional y establecimos una reserva en un centro de datos separado (ubicaci贸n conjunta). Posteriormente, abandonamos la soluci贸n "en la nube" a favor del centro de datos debido a la gran cantidad de datos.



3. Control sobre "superusuarios", as铆 como sobre aquellos que trabajan con informaci贸n "especial y sensible"



En otras palabras, necesit谩bamos establecer el control sobre los usuarios que tienen un amplio acceso a la informaci贸n confidencial. Resolvimos este problema con la ayuda de un sistema DLP. Elegimos el software dom茅stico StaffCop debido a su precio razonable y buen soporte t茅cnico.



Pol铆ticas de escritura



Aqu铆 hemos conectado todos los recursos posibles:

- utiliz贸 las pol铆ticas de otras empresas que se encontraron en el dominio p煤blico;

- solicit贸 ejemplos de pol铆ticas de nuestro consultor de implementaci贸n;

- compuso los textos de las pol铆ticas de forma independiente, en funci贸n de los requisitos de la norma.
Al final, fue el tercero (el camino m谩s dif铆cil) que funcion贸 mejor. Nos llev贸 bastante tiempo, pero al final recibimos documentos bien redactados, espec铆ficamente para nuestra empresa. As铆 que a la salida tenemos 36 pol铆ticas b谩sicas del Sistema de Gesti贸n de Seguridad de la Informaci贸n .



Distribuci贸n de roles



Obviamente, no todas estas pol铆ticas eran realmente necesarias para nuestros empleados en su trabajo diario. Para no obligarlos a leer demasiado, hicimos lo siguiente: asignamos a cada empleado uno o m谩s roles en el SGSI. Hubo 5 de ellos en total:







absolutamente todos los empleados ten铆an al menos un rol: "usuario".



En el pasaporte de cada funci贸n, prescribimos las responsabilidades correspondientes en el campo de la seguridad de la informaci贸n con el anexo de una lista de pol铆ticas que un empleado con una funci贸n particular ten铆a que cumplir. Adem谩s, por conveniencia, hemos realizado una estructura organizativa gr谩fica de la empresa que indica los roles de cada empleado en ella.



Involucrando colegas



Adem谩s del gerente de proyecto y el jefe del departamento de TI / SI, el director de operaciones de la empresa particip贸 en la evaluaci贸n de los riesgos y la descripci贸n de los requisitos de las partes interesadas. Se requiri贸 una participaci贸n significativa del Jefe del departamento de Recursos Humanos: necesitaba describir en la pol铆tica el ciclo de vida completo del empleado: desde la solicitud de una vacante hasta el per铆odo posterior a su despido. Afortunadamente, todos nuestros colegas entendieron la importancia de la certificaci贸n y fueron a conocernos.



Aspectos t茅cnicos



Durante el proceso de preparaci贸n, nos dimos cuenta de que para cumplir con los requisitos de la norma, necesitamos al menos lo siguiente:

  • Mover servidores a un centro de datos externo;
  • Equipar todas las oficinas con ACS (control de acceso y sistema de gesti贸n).
En el futuro, se agregaron muchas otras cosas a estos dos puntos: la introducci贸n de un sistema DLP, el lanzamiento de un centro de datos de respaldo, la introducci贸n de la autorizaci贸n de dos factores, etc.



Por lo tanto, para adaptar los requisitos del est谩ndar a nuestra empresa, tuvimos que hacer una cantidad de trabajo bastante significativa.



En materiales anteriores:



5 etapas de inevitabilidad de la adopci贸n de la certificaci贸n ISO / IEC 27001. Negaci贸n : conceptos err贸neos sobre la certificaci贸n ISO 27001: 2013, conveniencia de certificaci贸n /

5 etapas de inevitabilidad de la certificaci贸n ISO / IEC 27001. Ira : 驴por d贸nde empezar? Datos iniciales. Gastos. Elegir un proveedor.



All Articles