gennem hele min karriere har jeg haft den fantastiske oplevelse at arbejde med små virksomheder, der er nye til ideen om at blive revideret.
jeg har set organisationer på alle niveauer af parathed, fra ” Vi har fået dette, vi er forberedt, “til,” hvorfor er det så svært?”Det undrer mig stadig, at de hårdeste revisioner altid er en funktion af det samme problem: politikker og procedurer.
i en verden af informationssikkerhed er politikker og procedurer bedre end guld. De er vigtigere end dine trådløse sikkerhedsnøgler, mere vigtige end din administrerende direktørs parkeringsplads. De er så vigtige, faktisk, at hver større ramme har mindst en hel sektion, der er afsat fuldstændigt til det papir, der ligger til grund for din operation.
PCI DSS har Afsnit 12, SOC 2-rammen har styring og overholdelse som en hel fjerdedel af sine revisionsmål, og HIPAA-regler har et helt underafsnit, der er afsat til politik.
du får ideen, ikke? Politikker og procedurer er afgørende. Men … hvad er de?
Hvad er politikker og procedurer?
i informationssikkerhedsbranchen henvises politikker og procedurer til dokumentationen, der beskriver, hvordan din virksomhed drives. En politik er et sæt regler eller retningslinjer, som din organisation og medarbejdere skal følge i eller for at opnå overholdelse. Politikker besvarer spørgsmål om, hvad medarbejderne gør, og hvorfor de gør det. En procedure er instruktionerne om, hvordan en politik følges. Procedurer er de trinvise instruktioner for, hvordan politikker skal opnås. En politik definerer en regel, og proceduren definerer, hvem der forventes at gøre det, og hvordan de forventes at gøre det.
Hvad er en politik?
en politik er et sæt regler eller retningslinjer, som din organisation og medarbejdere skal følge i eller for at nå et specifikt mål (dvs.overholdelse).
en effektiv politik bør skitsere, hvad medarbejderne skal gøre eller ikke gøre, retninger, grænser, principper og vejledning til beslutningstagning. Politikker besvarer spørgsmål som: Hvad? Hvorfor?
Hvad er en procedure?
en procedure er modstykke til en politik; det er instruktionen om, hvordan en politik følges.
det er den trinvise instruktion for, hvordan de ovenfor beskrevne politikker skal opnås. En politik definerer en regel, og proceduren definerer, hvem der forventes at gøre det, og hvordan de forventes at gøre det. Procedurer besvarer spørgsmål som: hvordan? Hvornår? Hvor?
Hvorfor er dokumenterede politikker, procedurer og protokoller nødvendige?
for mange virksomheder ser politikker og procedurer som et nødvendigt onde uden at overveje deres formål. Det handler ikke om bedste praksis eller at blive en sjælløs virksomhedsenhed; formålet med politikker og procedurer er at forklare, hvad ledelsen ønsker at være sket, og hvordan det sker.
jeg er kommet til at tro, at den primære skelnen mellem en lille og mellemstor virksomhed ikke findes i kvantificering af en virksomheds modenhed efter omsætning eller antal ansatte, men snarere, om ledelsen har taget tid til at udvikle, implementere og vedligeholde politikker og procedurer.
indtil videre har jeg ikke været skuffet over denne definition; virksomheder med modne politikker, procedurer og systemer er lettere at revidere, har en bedre forståelse af deres sikkerhedsstilling og risiko og ser generelt ud til at fungere langt mere bæredygtigt end dem, der ikke har været meget opmærksomme på regeringsførelse.
formålet med politikker og procedurer vs. smerten ved politikker og procedurer
når ledelsen forstår definitionerne af politikker og procedurer, holder de op med at spørge: “Hvad er politikker og procedurer?”og gå videre,” hvorfor skal jeg skrive politikker og procedurer?”Ledelse af små virksomheder har generelt det samme sæt indvendinger mod at nedskrive et sæt politikker og procedurer, der alle vedrører vanskeligheder, virksomhedskultur og tidsbegrænsninger. Men lad os huske: fordelene opvejer smerten ved politikker og procedurer. Formålet med politikker og procedurer er så meget større end at nedskrive nogle regler. Min forklaring på disse fordele lyder normalt noget som dette:
“men det er virkelig svært!”Nå, ja … men nej. De fleste virksomheder uden modne politikker og procedurer fungerer ret godt, eller de ville stadig ikke være i erhvervslivet. Det er bestemt lettere at definere sikkerhed helt fra starten, men det betyder ikke, at det ikke kan være let at starte med det, du laver nu og derefter forfine det senere.
nogle gange er den virkelige indsigelse ikke mod, hvor svært det er at nedskrive politikker og procedurer, men hvor bange de fleste mennesker er, at de vil skrive, hvordan de gør tingene forkert. Start med hvor du er, så vær realistisk om, hvor du skal hen. Du er muligvis ikke op til best practice-standarden på nogle områder, men hvis du lader denne forlegenhed forhindre dig i at indstille politikker på papir, så mangler du pointen. At vide præcis, hvad du laver nu, er, hvordan du finder ud af, hvad du skal gøre i morgen. Det er, hvordan du kan sammensætte et reelt budget, identificere reelle risici for virksomheden, og hvordan du kan reagere effektivt, når noget går galt.
en revisors TIP: Hvis din praksis ikke er “korrekt”, men du er ærlig om det, er det langt mindre af et problem, end hvis du ikke har noget skrevet ned overhovedet.
“men det vil ændre mit firma!”Måske vil det. Jeg vil ikke lyve for dig – at skrive alt ned, lægge dine hænder på formelle processer og sætte forventninger tvinger dig til at ofre en vis fleksibilitet. Disse ekstra tilføjelser tilføjer lidt overhead og kan resultere i nødvendige ændringer i virksomhedsstruktur, virksomhedskultur, indtægtsrørledning eller “uformelle, men virkelig gode” processer til støtte for de krav, du har lagt ud. Afhængigt af din eksisterende struktur kan du endda opdage, at du har brug for noget ekstra personale til at håndtere nye ansvarsområder, eller nogle processer kan bevæge sig lidt langsommere.
for eksempel, med nye politikker og procedurer implementeret, skal din netværksingeniør nu have ledelsen til at logge af på en brandvægsændring. Dine medarbejdere kan muligvis ikke bare hente telefonen og få en ny tilladelse til en ekstra del af netværket. Det vil tilføje lidt tid og måske endda lidt frustration til processen, ikke? På den anden side, hvor meget ville du tabe, hvis du mistede den person, der forstod nøjagtigt, hvorfor din brandvæg er oprettet, som den er? Uden at skrive disse processer ned, skaber du massive sårbarheder. Mennesker, uddannelse, standarder, applikationer – hvor meget er den lille smule overhead værd, hvis det sikrer, at du har et håndtag på, hvad der foregår inde i din virksomhed, dine netværk og din virksomhed?
du kan dog afbøde ændringen noget ved at skrive din virksomhedskultur ind i dine politikker og procedurer. Ingen steder er det skrevet, at politikker og procedurer skal være forfærdeligt formelle, kedelige at læse dokumenter fyldt med legalese og smerte. Hvad er de ting, der får folk til at arbejde der? Tilpas dine politikker og procedurer til din virksomhedskultur, din virksomhed, og hvordan dine medarbejdere interagerer. Dette vil minimere vanskelighederne ved at implementere dem og hjælpe med at bevare det, der gør din organisation unik.
“men der er ingen tid!”Dette er det mest gyldige argument. I en verden af magert personale, hurtig vending og vægt på at gøre meget med lidt, kan det være ekstremt svært at finde tid til styring. Med det said…it det er lige meget. Jeg kan give dig ledelsesbog efter ledelsesbog, essay efter essay, hvidbog efter hvidbog, alt om, hvordan definerede politikker og procedurer vil forbedre din virksomhed på alle niveauer, hvis du følger processen. Du kan simpelthen ikke bestå nogen formel revision uden dem. Tiden til at udføre arbejdet og dokumentere dine politikker og procedurer skal findes.
hvis du kan forpligte dig til at få dine politikker på plads og håndhæve dem, vil du blive chokeret over den kortsigtede gevinst i, hvor let en revision bliver, og endnu mere chokeret over de langsigtede fordele, du får. Dine operationer vil være mindre stressende, dine folk vil have mere retning, og hvis det gøres godt, ved du endelig nøjagtigt, hvad det er, du administrerer, og hvorfor.
fordelene opvejer smerten ved politikker og procedurer. At forpligte sig til processen har alvorlige fordele. Ser din organisation modne politikker og procedurer som et nødvendigt onde? Forstår du formålet med politikker og procedurer? Hvilke hindringer har din organisation fundet, når du udvikler eller implementerer politikker og procedurer? Hvordan har du bygget i tid til at forpligte sig til at håndhæve politikker og procedurer?
om Shannon Lane
Shannon Lane har over 20 års erfaring inden for informationstjenester, herunder sundheds-IT, ekstrapolering af e-handelsdata, netværksadministration, databaseadministration og eksternt revisionsarbejde. Lane fungerer nu som en Informationssikkerhedsrevisor hos KirkpatrickPrice, repræsenterer KirkpatrickPrice på 2018 HITRUST CSF Assessor Council og har CISSP, CISA, KSA, MSDBA og CCSFP certificeringer.