během své kariéry jsem měl fantastické zkušenosti s prací s malými podniky, které jsou nové v myšlence auditu.
viděl jsem organizace na všech úrovních připravenosti, od „máme to, jsme připraveni „až po“ proč je to tak obtížné?“Stále mě udivuje, že nejtěžší audity jsou vždy funkcí stejného problému: politiky a postupy.
ve světě informační bezpečnosti jsou politiky a postupy lepší než zlato. Jsou důležitější než vaše bezdrátové bezpečnostní klíče, důležitější než parkovací místo vašeho generálního ředitele. Ve skutečnosti jsou tak důležité, že každý hlavní rámec má alespoň jednu celou sekci věnovanou zcela papíru, který je základem vaší operace.
PCI DSS má oddíl 12, rámec SOC 2 má správu a dodržování předpisů jako celou čtvrtinu svých cílů auditu a předpisy HIPAA mají celou podsekci věnovanou politice.
dostáváte nápad, že? Zásady a postupy jsou zásadní. Ale … co jsou zač?
co jsou zásady a postupy?
v odvětví informační bezpečnosti se zásady a postupy vztahují k dokumentaci, která popisuje, jak je vaše firma provozována. Politika je soubor pravidel nebo pokynů pro vaši organizaci a zaměstnance, které je třeba dodržovat nebo dosáhnout souladu. Zásady odpovídají na otázky o tom, co zaměstnanci dělají a proč to dělají. Postup je návod, jak se zásady dodržují. Postupy jsou podrobné pokyny, jak mají být politiky dosaženy. Politika definuje pravidlo a postup definuje, kdo se od něj očekává a jak se od něj očekává.
co je politika?
politika je soubor pravidel nebo pokynů pro vaši organizaci a zaměstnance, které mají dodržovat nebo dosáhnout konkrétního cíle (tj.
účinná politika by měla nastínit, co musí zaměstnanci dělat nebo nedělat, pokyny, limity, zásady a pokyny pro rozhodování. Politika odpovídá na otázky typu: Co? Proč?
co je to postup?
postup je protějškem politiky; je to návod, jak je politika dodržována.
jedná se o podrobný návod, jak mají být výše uvedené politiky dosaženy. Politika definuje pravidlo a postup definuje, kdo se od něj očekává a jak se od něj očekává. Postupy odpovídají na otázky jako: jak? Kdy? Kde?
proč jsou zdokumentované zásady, postupy a protokoly nezbytné?
příliš mnoho společností považuje politiky a postupy za nezbytné zlo, aniž by zvážilo jejich účel. Nejde o osvědčené postupy nebo stát se bezduchým právnickým subjektem; účelem politik a postupů je vysvětlit, co si vedení přeje, aby se stalo a jak se to stane.
začal jsem věřit, že primární rozdíl mezi malým a středním podnikem není nalezen v kvantifikaci zralosti společnosti podle příjmů nebo počtu zaměstnanců, ale spíše v tom, zda vedení trvalo čas na vývoj, implementaci a udržování politik a postupů.
zatím jsem nebyl touto definicí zklamán; společnosti s vyspělými politikami, postupy a systémy se snadněji kontrolují, lépe chápou své bezpečnostní postavení a riziko a obecně se zdá, že fungují mnohem udržitelněji než ti, kteří nevěnovali velkou pozornost správě věcí veřejných.
účel politik a postupů vs. bolest politik a postupů
poté, co vedení pochopí definice politik a postupů, přestanou se ptát: „co jsou zásady a postupy?“a přejít na:“ Proč musím psát zásady a postupy?“Vedení malých podniků má obecně stejný soubor námitek proti sepsání souboru zásad a postupů, které se týkají obtížnosti, firemní kultury a časových omezení. Ale pamatujme si: výhody převažují nad bolestí politik a postupů. Účel politik a postupů je mnohem větší než zapisování některých pravidel. Moje vysvětlení těchto výhod obvykle zní takto:
„ale je to opravdu těžké!“No, ano…ale ne. Většina společností bez vyspělých politik a postupů funguje docela dobře, jinak by stále nebyly v podnikání. Je to určitě jednodušší definovat zabezpečení od samého začátku, ale to neznamená, že to nemůže být snadné začít s tím, co děláte teď a pak ji upřesnit později.
někdy skutečnou námitkou není, jak obtížné je sepsat zásady a postupy, ale jak se většina lidí bojí, že písemně uvedou, jak dělají věci špatně. Začněte tím, kde jste, pak buďte realističtí ohledně toho, kam jdete. Možná nebudete v některých oblastech dodržovat standard osvědčených postupů, ale pokud necháte toto rozpaky zabránit tomu, abyste stanovili zásady na papíře, pak vám chybí bod. Vědět přesně, co teď děláte, je to, jak zjistíte, co byste měli dělat zítra. Je to, jak můžete dát dohromady skutečný rozpočet, identifikovat skutečná rizika pro podnik a jak můžete efektivně reagovat, když se něco pokazí.
tip auditora: pokud vaše praxe není „správná“, ale jste k tomu upřímní, Je to mnohem menší problém, než když nemáte vůbec nic zapsáno.
„ale změní to mou společnost!“Možná bude. Nebudu vám lhát-zapisovat vše, dávat ruce na formální procesy, a stanovení očekávání vás nutí obětovat určitou flexibilitu. Tyto dodatečné dodatky přidat trochu režii a může mít za následek nezbytné změny firemní struktury, firemní kultury, příjmové potrubí, nebo“ neformální, ale opravdu dobré “ procesy na podporu požadavků, které jste stanovili. V závislosti na vaší stávající struktuře můžete dokonce zjistit, že potřebujete další zaměstnance, aby zvládli nové povinnosti, nebo se některé procesy mohou pohybovat o něco pomaleji.
například při implementaci nových zásad a postupů musí nyní váš síťový inženýr nechat odhlásit správu při změně brány firewall. Vaši zaměstnanci nemusí být schopni jen zvednout telefon a získat nové povolení k nějaké další části sítě. To přidá nějaký čas a možná i trochu frustrace do procesu, že jo? Na druhou stranu, kolik byste ztratili, kdybyste ztratili osobu, která přesně pochopila, proč je váš firewall nastaven tak, jak je? Bez zapsání těchto procesů vytvoříte masivní zranitelnosti. Lidé, školení, standardy, aplikace-kolik stojí za to trochu režie, pokud to zajistí, že máte přehled o tom, co se děje uvnitř vaší společnosti, vašich sítí a vašeho podniku?
tuto změnu však můžete trochu zmírnit tím, že do svých zásad a postupů zapíšete svou firemní kulturu. Nikde není psáno, že politiky a postupy musí být strašně formální, nudně čitelné dokumenty plné práv a bolesti. Jaké jsou věci, díky nimž tam lidé chtějí pracovat? Přizpůsobte své zásady a postupy firemní kultuře, vaší firmě a interakci vašich lidí. Tím se minimalizuje těžkosti jejich provádění a pomůže zachovat to, co dělá vaši organizaci jedinečnou.
„ale není čas!“To je nejvíce platný argument. Ve světě štíhlých zaměstnanců, rychlého obratu a důrazu na to, aby se s trochou udělalo hodně, může být nalezení času na správu věcí veřejných nesmírně obtížné. S tím said…it na tom nezáleží. Mohu vám předat knihu řízení po knize řízení, esej po eseji, whitepaper po whitepaper, vše o tom, jak definované zásady a postupy zlepší vaše podnikání na všech úrovních, pokud budete postupovat podle procesu. Bez nich prostě nemůžete projít žádným formálním auditem. Je třeba najít čas na práci a zdokumentovat vaše zásady a postupy.
pokud se můžete zavázat, že zavedete své politiky a vymáháte je, budete šokováni krátkodobým vítězstvím v tom, jak snadný je audit, a ještě více šokováni dlouhodobými výhodami, které získáte. Vaše operace budou méně stresující, vaši lidé budou mít větší směr a pokud se to povede dobře, budete konečně přesně vědět, co řídíte a proč.
výhody převažují nad bolestí politik a postupů. Závazek k procesu má vážné výhody. Vnímá vaše organizace zralé politiky a postupy jako nutné zlo? Rozumíte účelu politik a postupů? Jaké překážky našla vaše organizace při vývoji nebo provádění zásad a postupů? Jak jste si vybudovali čas, abyste se zavázali k prosazování zásad a postupů?
o Shannon Lane
Shannon Lane má více než 20 let zkušeností v oblasti informačních služeb, včetně zdravotnických IT, extrapolace dat elektronického obchodování, správy sítě, správy databází a práce externího auditu. Lane nyní slouží jako Auditor informační bezpečnosti v KirkpatrickPrice, zastupuje KirkpatrickPrice na 2018 HITRUST CSF Assessor Council a je držitelem certifikací CISSP, CISA, QSA, MSDBA a CCSFP.