Expectativa
La primera pregunta que hicimos después de elegir una autoridad certificadora y un consultor fue ¿cuánto tiempo nos llevaría hacer todos los cambios necesarios?
El plan de trabajo original estaba programado para que tuviéramos que reunirnos en 3 meses.
Todo parecía simple: era necesario redactar un par de docenas de políticas y cambiar ligeramente nuestros procesos internos; luego enseñe los cambios a los compañeros y espere otros 3 meses (para que haya "registros", es decir, evidencia del funcionamiento de las políticas). Parecía que eso era todo, y el certificado estaba en nuestro bolsillo.
Además, no íbamos a escribir políticos desde cero; después de todo, teníamos un consultor que, como pensamos, tuvo que deshacerse de todas las plantillas "correctas" para nosotros.Como resultado de estas inferencias, reservamos 3 días para la elaboración de cada política.
Los cambios técnicos tampoco parecían intimidantes: era necesario configurar la recopilación y el almacenamiento de eventos, verificar si las copias de seguridad cumplen con la política que escribimos, equipar los gabinetes ACS, cuando sea necesario, y algunas otras pequeñas cosas.
El equipo que preparaba todo lo necesario para la certificación estaba formado por dos personas. Planeamos que se involucrarían en la implementación en paralelo con sus responsabilidades principales, y cada uno de ellos tomaría un máximo de 1,5 a 2 horas al día.
En resumen, podemos decir que nuestra opinión sobre el próximo volumen de trabajo fue bastante optimista.
Realidad
De hecho, las cosas fueron naturalmente diferentes: las plantillas de políticas proporcionadas por el consultor resultaron ser en su mayoría inaplicables a nuestra empresa; Casi no había información clara en Internet sobre qué y cómo hacer. Como puede imaginar, el plan de "redactar una póliza en 3 días" fracasó estrepitosamente. Así que dejamos de cumplir con los plazos casi desde el comienzo del proyecto, y el estado de ánimo comenzó a disminuir lentamente.
La experiencia del equipo fue desastrosamente pequeña, tanto que ni siquiera fue suficiente para hacer las preguntas correctas al consultor (quien, por cierto, no mostró mucha iniciativa). El caso comenzó a moverse aún más lento, porque 3 meses después del inicio de la implementación (es decir, en el momento en que todo debería haber estado listo), uno de los dos participantes clave dejó el equipo. En su lugar llegó un nuevo responsable del servicio de TI, quien debía completar el proceso de implementación en poco tiempo y dotar al sistema de gestión de seguridad de la información con todo lo necesario desde el punto de vista técnico. La tarea parecía abrumadora ... Los responsables empezaron a deprimirse.
Además, el aspecto técnico del problema también resultó estar "matizado". Nos enfrentamos al desafío de una actualización de software global tanto en las estaciones de trabajo como en el hardware del servidor. Al configurar el sistema para recopilar eventos (registros), resultó que no teníamos suficientes recursos de hardware para el funcionamiento normal del sistema. Y el software de respaldo también necesitaba una actualización.
Alerta de spoiler: Como resultado, el SGSI se implementó heroicamente en 6 meses. ¡Y nadie murió!
¿Qué ha cambiado más?
Por supuesto, durante la implementación del estándar, se han producido una gran cantidad de pequeños cambios en los procesos de la empresa. Hemos destacado los cambios más significativos para usted:
- Formalización del proceso de evaluación de riesgos
Anteriormente, la empresa no contaba con ningún procedimiento formalizado de evaluación de riesgos; se hacía solo de pasada como parte de la planificación estratégica general. Una de las tareas más importantes resueltas en el marco de la certificación fue la implementación de la Política de Evaluación de Riesgos de la empresa, que describe todas las etapas de este proceso y los responsables de cada etapa.
- Control sobre medios extraíbles
Uno de los riesgos importantes para las empresas era el uso de unidades flash USB sin cifrar: de hecho, cualquier empleado podía escribir cualquier información disponible en una unidad flash USB y, en el mejor de los casos, perderla. Como parte de la certificación, se desactivó la capacidad de descargar cualquier información en unidades flash en todas las estaciones de trabajo de los empleados; la grabación de información solo fue posible a través de una aplicación para el departamento de TI.
- Control de superusuario
Uno de los principales problemas fue el hecho de que todos los empleados del departamento de TI tenían derechos absolutos en todos los sistemas de la empresa: tenían acceso a toda la información. Al mismo tiempo, nadie los controlaba realmente.
Hemos implementado el sistema Data Loss Prevention (DLP), un programa de control de empleados que analiza, bloquea y alerta sobre actividades peligrosas e improductivas. Ahora las notificaciones sobre las acciones de los empleados del departamento de TI llegan al correo del COO de la empresa.
- Un enfoque para organizar la infraestructura de la información
La certificación requirió cambios y enfoques globales. Sí, tuvimos que actualizar varios equipos de servidor debido al aumento de carga. En particular, hemos asignado un servidor separado para los sistemas de recopilación de eventos. El servidor estaba equipado con unidades SSD grandes y rápidas. Abandonamos el software por las copias de seguridad y optamos por sistemas de almacenamiento que tienen todas las funciones necesarias listas para usar. Dimos varios pasos importantes hacia el concepto de "infraestructura como código", que ahorró mucho espacio en disco al no realizar copias de seguridad de varios servidores. En el menor tiempo posible (1 semana), todo el software de las estaciones de trabajo se actualizó a Win10. Uno de los problemas que resolvió la modernización fue la capacidad de habilitar el cifrado (en la versión Pro).
- Control sobre documentos en papel
La empresa tenía riesgos importantes asociados con el uso de documentos en papel: podrían perderse, dejarse en el lugar equivocado o destruirse de manera incorrecta. Para minimizar este riesgo, hemos marcado todos los documentos en papel según el grado de confidencialidad y hemos desarrollado un procedimiento para la destrucción de diferentes tipos de documentos. Ahora, cuando un empleado abre una carpeta o toma un documento, sabe exactamente a qué categoría pertenece esta información y cómo manejarla.
- Arrendamiento de un centro de datos de respaldo
Anteriormente, toda la información de la empresa se almacenaba en servidores ubicados en un centro de datos seguro de terceros. Sin embargo, no hubo procedimientos de emergencia en este centro de datos. La solución fue alquilar un centro de datos de respaldo en la nube y hacer una copia de respaldo de la información más importante allí. Ahora la información de la empresa se almacena en dos centros de datos geográficamente remotos, lo que minimiza el riesgo de perderla.
- Prueba de continuidad empresarial
Desde hace varios años, nuestra empresa cuenta con una Política de Continuidad de Negocio (BCP) que describe el procedimiento para que los empleados actúen en diversos escenarios negativos (pérdida de acceso a una oficina, epidemia, cortes de energía, etc.). Sin embargo, nunca hemos probado la continuidad, es decir, nunca medimos cuánto tiempo llevará recuperar un negocio en cada una de estas situaciones. En preparación para la auditoría de certificación, no solo hicimos esto, sino que también desarrollamos un plan de prueba de continuidad comercial para el próximo año. Cabe señalar que un año después, cuando nos enfrentamos a la necesidad de cambiar por completo a la operación remota, hicimos frente a esta tarea en tres días.
Es importante tener en cuentaque todas las empresas que se preparan para la certificación tienen diferentes condiciones de partida; por lo tanto, en su caso, es posible que se requieran cambios completamente diferentes.
Reacción de los empleados a los cambios
Curiosamente, aquí esperábamos lo peor, no resultó tan malo. No se puede decir que los compañeros recibieron la noticia sobre la certificación con gran entusiasmo, pero lo siguiente fue claro:
- Todos los empleados clave comprendieron la importancia y la inevitabilidad de este evento;
- Todos los demás empleados eran iguales a los empleados clave.
Por supuesto, las características específicas de nuestra industria nos ayudaron mucho: la subcontratación de funciones contables. La gran mayoría de nuestros empleados hacen un excelente trabajo con cambios constantes en la legislación de la Federación de Rusia. En consecuencia, la introducción de un par de docenas de nuevas reglas, que ahora deben observarse, no se convirtió en algo fuera de lo común para ellos.
Hemos preparado una nueva formación y pruebas obligatorias de ISO 27001 para todos nuestros empleados. Todos quitaron obedientemente las pegatinas con las contraseñas de sus monitores y desmantelaron las mesas repletas de documentos. No se notó ningún descontento fuerte; en general, tuvimos mucha suerte con los empleados.
Por lo tanto, hemos pasado la etapa más dolorosa, la "depresión", asociada con los cambios en nuestros procesos comerciales. Fue duro y difícil, pero el resultado finalmente superó todas las expectativas más salvajes.
Lea los materiales anteriores del ciclo:
5 etapas de inevitabilidad de la certificación ISO / IEC 27001 Negación: conceptos erróneos sobre la certificación ISO 27001: 2013, la viabilidad de obtener un certificado.
5 etapas de adopción inevitable de la certificación ISO / IEC 27001. Ira: ¿Por dónde empezar? Datos iniciales. Gastos. Elección de proveedor.
5 etapas de adopción inevitable de la certificación ISO / IEC 27001. Negociación: elaboración de un plan de implementación, evaluación de riesgos, redacción de políticas.
5 etapas de adopción inevitable de la certificación ISO / IEC 27001. Depresión.
5 etapas de adopción inevitable de la certificación ISO / IEC 27001. Adopción.