A lo largo de mi carrera, he tenido la fantástica experiencia de trabajar con pequeñas empresas que son nuevas en la idea de ser auditadas.
He visto organizaciones en todos los niveles de preparación, desde «Tenemos esto, estamos preparados «hasta» ¿Por qué es esto tan difícil?»Todavía me sorprende que las auditorías más difíciles siempre obedezcan al mismo problema: las políticas y los procedimientos.
En el mundo de la seguridad de la información, las políticas y los procedimientos son mejores que el oro. Son más importantes que sus llaves de seguridad inalámbricas, más vitales que el lugar de estacionamiento de su CEO. De hecho, son tan importantes que cada marco principal tiene al menos una sección completa dedicada completamente al papel que subyace a su operación.
El PCI DSS tiene la sección 12, el marco SOC 2 tiene la gobernanza y el cumplimiento como una cuarta parte de sus objetivos de auditoría, y las regulaciones HIPAA tienen una subsección completa dedicada a la política.
Estás entendiendo la idea, ¿verdad? Las políticas y los procedimientos son vitales. Pero what ¿qué son?
¿Qué son las Políticas y los Procedimientos?
En la industria de la seguridad de la información, las políticas y los procedimientos se refieren a la documentación que describe cómo se ejecuta su negocio. Una política es un conjunto de reglas o directrices que su organización y sus empleados deben seguir o cumplir. Las políticas responden a preguntas sobre lo que hacen los empleados y por qué lo hacen. Un procedimiento son las instrucciones sobre cómo se sigue una política. Los procedimientos son las instrucciones paso a paso sobre cómo se deben lograr las políticas. Una política define una regla, y el procedimiento define quién se espera que lo haga y cómo se espera que lo haga.
¿Qué es una política?
Una política es un conjunto de reglas o directrices para que su organización y sus empleados sigan o logren un objetivo específico (es decir, cumplimiento).
Una política eficaz debe describir lo que los empleados deben hacer o no hacer, direcciones, límites, principios y orientación para la toma de decisiones. Las políticas responden preguntas como: ¿Qué? ¿Por qué?
¿Qué es un procedimiento?
Un procedimiento es la contraparte de una política; es la instrucción sobre cómo se sigue una política.
Es la instrucción paso a paso sobre cómo se deben lograr las políticas descritas anteriormente. Una política define una regla, y el procedimiento define quién se espera que lo haga y cómo se espera que lo haga. Los procedimientos responden preguntas como: ¿Cómo? ¿Cuando? ¿En dónde?
¿Por qué son necesarias Políticas, Procedimientos y Protocolos Documentados?
Demasiadas empresas ven las políticas y los procedimientos como un mal necesario, sin considerar su propósito. No se trata de las mejores prácticas o de convertirse en una entidad corporativa sin alma; el propósito de las políticas y procedimientos es explicar lo que la administración desea que haya sucedido y cómo sucede.
He llegado a creer que la distinción principal entre una pequeña y mediana empresa no se encuentra en cuantificar el vencimiento de una empresa por ingresos o número de empleados, sino más bien, si la administración se ha tomado tiempo para desarrollar, implementar y mantener políticas y procedimientos.
Hasta ahora, no me ha decepcionado esta definición; las empresas con políticas, procedimientos y sistemas maduros son más fáciles de auditar, tienen una mejor comprensión de su postura y riesgo de seguridad y, en general, parecen estar operando de manera mucho más sostenible que aquellas que no han prestado mucha atención a la gobernanza.
El Propósito de las Políticas y los Procedimientos vs. el Dolor de las Políticas y los Procedimientos
Después de que la administración entiende las definiciones de las políticas y los procedimientos, dejan de preguntar: «¿Qué son las políticas y los procedimientos?»y seguir adelante,» ¿Por qué tengo que escribir políticas y procedimientos?»La gerencia de la pequeña empresa generalmente tiene el mismo conjunto de objeciones a escribir un conjunto de políticas y procedimientos, todos relacionados con la dificultad, la cultura de la empresa y las restricciones de tiempo. Pero, recordemos: los beneficios superan el dolor de las políticas y los procedimientos. El propósito de las políticas y procedimientos es mucho mayor que escribir algunas reglas. Mi explicación de estos beneficios por lo general suena algo como esto:
«Pero es realmente difícil!»Bueno, sí but pero no. La mayoría de las empresas sin políticas y procedimientos maduros están funcionando bastante bien o no seguirían en el negocio. Ciertamente, es más fácil definir la seguridad desde el principio, pero eso no significa que no pueda ser fácil comenzar con lo que está haciendo ahora y luego refinarlo más adelante.
A veces, la verdadera objeción no es lo difícil que es escribir políticas y procedimientos, sino lo asustada que está la mayoría de la gente de que escribirán cómo están haciendo las cosas mal. Comience con dónde está, luego sea realista sobre hacia dónde va. Es posible que no cumpla con el estándar de mejores prácticas en algunas áreas, pero si está dejando que esa vergüenza le impida establecer políticas en papel, entonces no está entendiendo el punto. Saber exactamente lo que estás haciendo ahora es cómo averiguar lo que deberías hacer mañana. Se trata de cómo puede armar un presupuesto real, identificar riesgos reales para la empresa y cómo puede responder de manera efectiva cuando algo sale mal.
Sugerencia de un auditor: Si su práctica no es «correcta», pero es honesto al respecto, es mucho menos problemático que si no tiene nada escrito en absoluto.
«¡Pero cambiará mi empresa!»Tal vez lo haga. No voy a mentirte: escribir todo, poner las manos en los procesos formales y establecer expectativas te obliga a sacrificar algo de flexibilidad. Estas adiciones adicionales agregan un poco de gastos generales y pueden dar lugar a los cambios necesarios en la estructura corporativa, la cultura de la empresa, la canalización de ingresos o los procesos «informales, pero realmente buenos» para respaldar los requisitos que ha establecido. Dependiendo de su estructura existente, incluso puede descubrir que necesita personal adicional para manejar nuevas responsabilidades, o algunos procesos pueden moverse un poco más lentos.
Por ejemplo, con las nuevas políticas y procedimientos implementados, su ingeniero de red ahora debe tener la autorización de administración para un cambio de firewall. Es posible que su personal no pueda simplemente levantar el teléfono y obtener un nuevo permiso para alguna parte adicional de la red. Eso va a agregar algo de tiempo y tal vez incluso un poco de frustración al proceso, ¿verdad? Por otro lado, ¿cuánto perdería si perdiera a la persona que entendió exactamente por qué su firewall está configurado de la manera en que está? Sin escribir estos procesos, se crean vulnerabilidades masivas. Personas, capacitación, estándares, aplicaciones: ¿cuánto vale ese poco de gastos generales si garantiza que tiene un control de lo que está sucediendo dentro de su empresa, sus redes y su empresa?
Sin embargo, puede mitigar un poco el cambio escribiendo la cultura de su empresa en sus políticas y procedimientos. En ninguna parte está escrito que las políticas y los procedimientos deben ser documentos terriblemente formales, aburridos de leer, llenos de jerga legal y dolor. ¿Cuáles son las cosas que hacen que la gente quiera trabajar allí? Ajuste sus políticas y procedimientos a la cultura de su empresa, su negocio y cómo interactúan sus empleados. Esto minimizará las dificultades de implementarlas y ayudará a preservar lo que hace que su organización sea única.
«¡Pero no hay tiempo!»Este es el argumento más válido. En un mundo de personal reducido, respuesta rápida y un énfasis en hacer mucho con un poco, encontrar el tiempo para el gobierno puede ser extremadamente difícil. Con eso said…it no importa. Puedo entregarle libro de gestión tras libro de gestión, ensayo tras ensayo, documento técnico tras documento técnico, todo sobre cómo las políticas y procedimientos definidos mejorarán su negocio en todos los niveles si sigue el proceso. Simplemente no puede pasar ninguna auditoría formal sin ellos. Hay que encontrar el tiempo para hacer el trabajo y documentar sus políticas y procedimientos.
Si puede comprometerse a implementar sus políticas y a hacerlas cumplir, se sorprenderá de la victoria a corto plazo en lo fácil que se vuelve una auditoría, y aún más por las ventajas a largo plazo que obtiene. Sus operaciones serán menos estresantes, su gente tendrá más dirección y, si se hace bien, finalmente sabrá exactamente qué es lo que está manejando y por qué.
Las ventajas superan el dolor de las políticas y procedimientos. Comprometerse con el proceso tiene serios beneficios. ¿Considera su organización que las políticas y procedimientos maduros son un mal necesario? ¿Entiende el propósito de las políticas y procedimientos? ¿Qué obstáculos ha encontrado su organización al desarrollar o implementar políticas y procedimientos? ¿Cómo ha creado el tiempo para comprometerse a hacer cumplir las políticas y los procedimientos?
Acerca de Shannon Lane
Shannon Lane tiene más de 20 años de experiencia en servicios de información, incluidos TI de atención médica, extrapolación de datos de comercio electrónico, administración de redes, administración de bases de datos y trabajo de auditoría externa. Lane ahora se desempeña como Auditor de Seguridad de la Información en KirkpatrickPrice, representa a KirkpatrickPrice en el Consejo Asesor de HITRUST CSF 2018 y posee certificaciones CISSP, CISA, QSA, MSDBA y CCSFP.