Während meiner gesamten Karriere hatte ich die fantastische Erfahrung, mit kleinen Unternehmen zusammenzuarbeiten, die neu in der Idee sind, geprüft zu werden.
Ich habe Organisationen auf allen Ebenen der Bereitschaft gesehen, von „Wir haben das, wir sind vorbereitet“ bis zu „Warum ist das so schwierig?“ Es erstaunt mich immer noch, dass die härtesten Audits immer von demselben Problem abhängen: Richtlinien und Verfahren.
In der Welt der Informationssicherheit sind Richtlinien und Verfahren besser als Gold. Sie sind wichtiger als Ihre drahtlosen Sicherheitsschlüssel, wichtiger als der Parkplatz Ihres CEO. Sie sind in der Tat so wichtig, dass in jedem wichtigen Framework mindestens ein ganzer Abschnitt vollständig dem Papier gewidmet ist, das Ihrer Operation zugrunde liegt.
Der PCI DSS hat Abschnitt 12, das SOC 2-Framework hat Governance und Compliance als vollen Teil seiner Prüfungsziele und HIPAA-Vorschriften haben einen ganzen Unterabschnitt, der der Politik gewidmet ist.
Du hast die Idee, oder? Richtlinien und Verfahren sind von entscheidender Bedeutung. Aber … was sind sie?
Was sind Richtlinien und Verfahren?
In der Informationssicherheitsbranche beziehen sich Richtlinien und Verfahren auf die Dokumentation, die beschreibt, wie Ihr Unternehmen geführt wird. Eine Richtlinie ist eine Reihe von Regeln oder Richtlinien, die Ihre Organisation und Ihre Mitarbeiter befolgen oder einhalten müssen. Richtlinien beantworten Fragen darüber, was Mitarbeiter tun und warum sie es tun. Ein Verfahren ist die Anweisung, wie eine Richtlinie befolgt wird. Verfahren sind die Schritt-für-Schritt-Anweisungen, wie Richtlinien erreicht werden sollen. Eine Richtlinie definiert eine Regel, und die Prozedur definiert, wer sie ausführen soll und wie sie ausgeführt werden soll.
Was ist eine Richtlinie?
Eine Richtlinie ist eine Reihe von Regeln oder Richtlinien, die Ihre Organisation und Ihre Mitarbeiter befolgen müssen, um ein bestimmtes Ziel (z. B. Compliance) zu erreichen.
Eine wirksame Richtlinie sollte beschreiben, was Mitarbeiter tun oder nicht tun müssen, Anweisungen, Grenzen, Grundsätze und Leitlinien für die Entscheidungsfindung. Richtlinien beantworten Fragen wie: Was? Warum?
Was ist ein Verfahren?
Ein Verfahren ist das Gegenstück zu einer Politik; es ist die Anweisung, wie eine Richtlinie befolgt wird.
Es ist die Schritt-für-Schritt-Anleitung, wie die oben beschriebenen Richtlinien erreicht werden sollen. Eine Richtlinie definiert eine Regel, und die Prozedur definiert, wer sie ausführen soll und wie sie ausgeführt werden soll. Verfahren beantworten Fragen wie: Wie? Wann? Wo?
Warum sind dokumentierte Richtlinien, Verfahren und Protokolle erforderlich?
Zu viele Unternehmen betrachten Richtlinien und Verfahren als notwendiges Übel, ohne ihren Zweck zu berücksichtigen. Es geht nicht um Best Practices oder darum, eine seelenlose Unternehmenseinheit zu werden; der Zweck von Richtlinien und Verfahren besteht darin, zu erklären, was das Management geschehen lassen möchte und wie es geschieht.
Ich bin zu der Überzeugung gekommen, dass der Hauptunterschied zwischen einem kleinen und einem mittleren Unternehmen nicht darin besteht, die Reife eines Unternehmens nach Umsatz oder Anzahl der Mitarbeiter zu quantifizieren, sondern vielmehr, ob sich das Management Zeit genommen hat, Richtlinien und Verfahren zu entwickeln, umzusetzen und aufrechtzuerhalten.
Bisher wurde ich von dieser Definition nicht enttäuscht; unternehmen mit ausgereiften Richtlinien, Verfahren und Systemen sind leichter zu auditieren, haben ein besseres Verständnis für ihre Sicherheitslage und ihr Risiko und scheinen im Allgemeinen weitaus nachhaltiger zu arbeiten als diejenigen, die der Governance nicht viel Aufmerksamkeit geschenkt haben.
Der Zweck von Richtlinien und Verfahren vs. der Schmerz von Richtlinien und Verfahren
Nachdem das Management die Definitionen von Richtlinien und Verfahren verstanden hat, hört es auf zu fragen: „Was sind Richtlinien und Verfahren?“ und weiter: „Warum muss ich Richtlinien und Verfahren schreiben?“ Das Management von Kleinunternehmen hat im Allgemeinen die gleichen Einwände gegen das Aufschreiben einer Reihe von Richtlinien und Verfahren, die sich alle auf Schwierigkeiten, Unternehmenskultur und Zeitbeschränkungen beziehen. Aber denken wir daran: Die Vorteile überwiegen den Schmerz von Richtlinien und Verfahren. Der Zweck von Richtlinien und Verfahren ist so viel größer als das Aufschreiben einiger Regeln. Meine Erklärung dieser Vorteile klingt normalerweise ungefähr so:
“ Aber es ist wirklich schwer!“ Nun, ja … aber nein. Die meisten Unternehmen ohne ausgereifte Richtlinien und Verfahren funktionieren ziemlich gut oder wären noch nicht im Geschäft. Es ist sicherlich einfacher, Sicherheit von Anfang an zu definieren, aber das bedeutet nicht, dass es nicht einfach sein kann, mit dem zu beginnen, was Sie gerade tun, und es später zu verfeinern.
Manchmal ist der eigentliche Einwand nicht, wie schwierig es ist, Richtlinien und Verfahren aufzuschreiben, sondern wie verängstigt die meisten Menschen sind, dass sie schriftlich darlegen, wie sie Dinge falsch machen. Beginnen Sie mit, wo Sie sind, dann realistisch sein, wohin Sie gehen. Sie sind möglicherweise in einigen Bereichen nicht dem Best-Practice-Standard gewachsen, aber wenn Sie sich von dieser Peinlichkeit davon abhalten lassen, Richtlinien auf Papier festzulegen, dann verpassen Sie den Punkt. Wenn Sie genau wissen, was Sie jetzt tun, finden Sie heraus, was Sie morgen tun sollten. So können Sie ein echtes Budget zusammenstellen, echte Risiken für das Unternehmen identifizieren und effektiv reagieren, wenn etwas schief geht.
Ein Hinweis des Auditors: Wenn Ihre Praxis nicht „korrekt“ ist, Sie aber ehrlich sind, ist dies weitaus weniger ein Problem, als wenn Sie überhaupt nichts aufgeschrieben haben.
„Aber es wird mein Unternehmen verändern!“ Vielleicht wird es. Ich werde dich nicht anlügen – alles aufzuschreiben, formale Prozesse in die Hand zu nehmen und Erwartungen zu setzen, zwingt dich, etwas Flexibilität zu opfern. Diese zusätzlichen Ergänzungen fügen ein wenig Overhead hinzu und können zu notwendigen Änderungen an der Unternehmensstruktur, der Unternehmenskultur, der Umsatzpipeline oder „informellen, aber wirklich guten“ Prozessen führen, um die von Ihnen festgelegten Anforderungen zu unterstützen. Abhängig von Ihrer bestehenden Struktur stellen Sie möglicherweise sogar fest, dass Sie zusätzliches Personal benötigen, um neue Aufgaben zu übernehmen, oder dass sich einige Prozesse etwas langsamer bewegen.
Nachdem beispielsweise neue Richtlinien und Verfahren implementiert wurden, muss Ihr Netzwerktechniker jetzt eine Firewall-Änderung vom Management abmelden lassen. Ihre Mitarbeiter können möglicherweise nicht einfach zum Telefon greifen und eine neue Berechtigung für einen zusätzlichen Teil des Netzwerks erhalten. Das wird dem Prozess etwas Zeit und vielleicht sogar ein wenig Frustration hinzufügen, oder? Auf der anderen Seite, wie viel würden Sie verlieren, wenn Sie die Person verlieren, die genau verstanden hat, warum Ihre Firewall so eingerichtet ist, wie sie ist? Ohne diese Prozesse aufzuschreiben, erstellen Sie massive Schwachstellen. Mitarbeiter, Schulungen, Standards, Anwendungen – wie viel ist dieser kleine Overhead wert, wenn er sicherstellt, dass Sie die Vorgänge in Ihrem Unternehmen, Ihren Netzwerken und Ihrem Unternehmen im Griff haben?
Sie können die Änderung jedoch etwas abmildern, indem Sie Ihre Unternehmenskultur in Ihre Richtlinien und Verfahren schreiben. Nirgendwo steht geschrieben, dass Richtlinien und Verfahren schrecklich formell sein müssen, langweilig zu lesende Dokumente voller Rechtssprache und Schmerz. Was sind die Dinge, die Menschen dazu bringen, dort zu arbeiten? Passen Sie Ihre Richtlinien und Verfahren an Ihre Unternehmenskultur, Ihr Unternehmen und die Interaktion Ihrer Mitarbeiter an. Dies minimiert die Schwierigkeiten bei der Implementierung und trägt dazu bei, das zu bewahren, was Ihre Organisation einzigartig macht.
„Aber es gibt keine Zeit!“ Das ist das stichhaltigste Argument. In einer Welt mit schlanken Mitarbeitern, schnellen Turnarounds und der Betonung, viel mit wenig zu tun, kann es äußerst schwierig sein, Zeit für Governance zu finden. Damit said…it macht nichts. Ich kann Ihnen Managementbuch für Managementbuch, Aufsatz für Aufsatz, Whitepaper für Whitepaper geben, alles darüber, wie definierte Richtlinien und Verfahren Ihr Unternehmen auf jeder Ebene verbessern, wenn Sie dem Prozess folgen. Sie können einfach kein formelles Audit ohne sie bestehen. Die Zeit, um die Arbeit zu erledigen und Ihre Richtlinien und Verfahren zu dokumentieren, muss gefunden werden.
Wenn Sie sich dazu verpflichten können, Ihre Richtlinien einzuführen und durchzusetzen, werden Sie schockiert sein über den kurzfristigen Gewinn, wie einfach eine Prüfung wird, und noch schockierter über die langfristigen Vorteile, die Sie erzielen. Ihre Abläufe werden weniger stressig, Ihre Mitarbeiter haben mehr Orientierung und wenn Sie es gut machen, wissen Sie endlich genau, was Sie verwalten und warum.
Die Vorteile überwiegen den Schmerz von Richtlinien und Verfahren. Das Engagement für den Prozess hat ernsthafte Vorteile. Betrachtet Ihre Organisation ausgereifte Richtlinien und Verfahren als notwendiges Übel? Verstehen Sie den Zweck von Richtlinien und Verfahren? Welche Hindernisse hat Ihre Organisation bei der Entwicklung oder Umsetzung von Richtlinien und Verfahren festgestellt? Wie haben Sie die Zeit aufgebaut, um sich zur Durchsetzung von Richtlinien und Verfahren zu verpflichten?
Über Shannon Lane
Shannon Lane verfügt über mehr als 20 Jahre Erfahrung in Informationsdiensten, einschließlich IT im Gesundheitswesen, Extrapolation von E-Commerce-Daten, Netzwerkadministration, Datenbankadministration und externer Audit-Arbeit. Lane ist jetzt Informationssicherheitsprüfer bei KirkpatrickPrice, vertritt KirkpatrickPrice im HITRUST CSF Assessor Council 2018 und verfügt über CISSP-, CISA-, QSA-, MSDBA- und CCSFP-Zertifizierungen.