Tout au long de ma carrière, j’ai eu l’expérience fantastique de travailler avec de petites entreprises qui sont nouvelles à l’idée d’être auditées.
J’ai vu des organisations à tous les niveaux de préparation, de » Nous avons ceci, nous sommes préparés » à » Pourquoi est-ce si difficile? »Je suis toujours étonné de constater que les audits les plus difficiles sont toujours fonction du même problème : les politiques et les procédures.
Dans le monde de la sécurité de l’information, les politiques et les procédures valent mieux que l’or. Elles sont plus importantes que vos clés de sécurité sans fil, plus vitales que la place de stationnement de votre PDG. Ils sont si importants, en fait, que chaque cadre majeur comporte au moins une section entière entièrement consacrée au document qui sous-tend votre opération.
La norme PCI DSS comporte l’article 12, le cadre SOC 2 a la gouvernance et la conformité comme un quart complet de ses objectifs d’audit, et les règlements HIPAA ont une sous-section entière consacrée à la politique.
Vous avez l’idée, non? Les politiques et les procédures sont vitales. Mais are que sont-ils?
Quelles sont les Politiques et procédures?
Dans le secteur de la sécurité de l’information, les politiques et procédures se réfèrent à la documentation qui décrit la façon dont votre entreprise est gérée. Une politique est un ensemble de règles ou de lignes directrices que votre organisation et vos employés doivent suivre ou respecter. Les politiques répondent aux questions sur ce que font les employés et pourquoi ils le font. Une procédure est les instructions sur la façon dont une politique est suivie. Les procédures sont les instructions étape par étape sur la façon dont les politiques doivent être mises en œuvre. Une politique définit une règle, et la procédure définit qui est censé le faire et comment ils sont censés le faire.
Qu’est-ce qu’une politique?
Une politique est un ensemble de règles ou de lignes directrices que votre organisation et vos employés doivent suivre ou atteindre un objectif spécifique (c.-à-d. conformité).
Une politique efficace devrait décrire ce que les employés doivent faire ou ne pas faire, les orientations, les limites, les principes et les directives pour la prise de décision. Les politiques répondent à des questions comme : Quoi? Pourquoi?
Qu’est-ce qu’une procédure?
Une procédure est la contrepartie d’une politique; c’est l’instruction sur la façon dont une politique est suivie.
C’est l’instruction étape par étape sur la façon dont les politiques décrites ci-dessus doivent être mises en œuvre. Une politique définit une règle, et la procédure définit qui est censé le faire et comment ils sont censés le faire. Les procédures répondent à des questions telles que: Comment? Quand ? Où?
Pourquoi des Politiques, Procédures et protocoles documentés sont-ils nécessaires?
Trop d’entreprises considèrent les politiques et les procédures comme un mal nécessaire, sans tenir compte de leur objectif. Il ne s’agit pas de bonnes pratiques ou de devenir une entité corporative sans âme; le but des politiques et des procédures est d’expliquer ce que la direction souhaite que cela se produise et comment cela se produit.
J’en suis venu à croire que la principale distinction entre une petite et une moyenne entreprise ne se trouve pas dans la quantification de la maturité d’une entreprise par le chiffre d’affaires ou le nombre d’employés, mais plutôt dans le fait que la direction a pris ou non du temps pour élaborer, mettre en œuvre et maintenir des politiques et des procédures.
Jusqu’à présent, je n’ai pas été déçu par cette définition; les entreprises dotées de politiques, de procédures et de systèmes matures sont plus faciles à auditer, ont une meilleure compréhension de leur posture de sécurité et de leurs risques, et semblent généralement fonctionner de manière beaucoup plus durable que celles qui n’ont pas prêté beaucoup d’attention à la gouvernance.
Le but des politiques et des procédures par rapport à la douleur des Politiques et des procédures
Une fois que la direction a compris les définitions des politiques et des procédures, elle cesse de demander : » Qu’est-ce que les politiques et les procédures? » et passez à » Pourquoi dois-je rédiger des politiques et des procédures? »La direction des petites entreprises a généralement le même ensemble d’objections à la rédaction d’un ensemble de politiques et de procédures, toutes liées à la difficulté, à la culture de l’entreprise et aux contraintes de temps. Mais, rappelons-nous: les avantages l’emportent sur la douleur des politiques et des procédures. L’objectif des politiques et des procédures est tellement plus grand que d’écrire certaines règles. Mon explication de ces avantages ressemble généralement à ceci:
» Mais c’est vraiment dur ! »Eh bien, ouibut mais non. La plupart des entreprises sans politiques et procédures matures fonctionnent assez bien ou ne seraient pas encore en activité. Il est certainement plus facile de définir la sécurité dès le début, mais cela ne signifie pas qu’il ne peut pas être facile de commencer par ce que vous faites maintenant et de l’affiner plus tard.
Parfois, la vraie objection n’est pas à quel point il est difficile d’écrire des politiques et des procédures, mais à quel point la plupart des gens sont effrayés de dire par écrit comment ils font mal les choses. Commencez par où vous êtes, puis soyez réaliste quant à l’endroit où vous allez. Vous n’êtes peut-être pas à la hauteur des meilleures pratiques dans certains domaines, mais si vous laissez cet embarras vous empêcher de définir des politiques sur papier, vous manquez le point. Savoir exactement ce que vous faites maintenant, c’est comprendre ce que vous devriez faire demain. C’est ainsi que vous pouvez établir un budget réel, identifier les risques réels pour l’entreprise et réagir efficacement en cas de problème.
Indice d’un auditeur: Si votre pratique n’est pas « correcte », mais que vous êtes honnête à ce sujet, c’est beaucoup moins un problème que si vous n’avez rien écrit du tout.
« Mais ça va changer mon entreprise! »Peut-être que ça le fera. Je ne vais pas vous mentir – tout écrire, mettre la main sur les processus formels et établir des attentes vous oblige à sacrifier une certaine flexibilité. Ces ajouts supplémentaires ajoutent un peu de frais généraux et peuvent entraîner des changements nécessaires à la structure de l’entreprise, à la culture de l’entreprise, au pipeline de revenus ou à des processus « informels, mais vraiment bons » pour répondre aux exigences que vous avez définies. Selon votre structure existante, vous découvrirez peut-être même que vous avez besoin de personnel supplémentaire pour gérer de nouvelles responsabilités, ou que certains processus peuvent évoluer un peu plus lentement.
Par exemple, avec la mise en œuvre de nouvelles stratégies et procédures, votre ingénieur réseau doit désormais faire approuver par la direction un changement de pare-feu. Votre personnel ne pourra peut-être pas simplement décrocher le téléphone et obtenir une nouvelle autorisation pour une partie supplémentaire du réseau. Cela va ajouter du temps et peut-être même un peu de frustration au processus, non? D’un autre côté, combien perdrez-vous si vous perdez la personne qui a compris exactement pourquoi votre pare-feu est configuré tel quel? Sans écrire ces processus, vous créez des vulnérabilités massives. Personnes, formation, normes, applications – combien vaut ce petit peu de frais généraux si cela garantit que vous maîtrisez ce qui se passe à l’intérieur de votre entreprise, de vos réseaux et de votre entreprise?
Vous pouvez cependant atténuer quelque peu le changement en inscrivant votre culture d’entreprise dans vos politiques et procédures. Nulle part il n’est écrit que les politiques et les procédures doivent être des documents horriblement formels, ennuyeux à lire, remplis de jargon juridique et de douleur. Quelles sont les choses qui donnent envie aux gens d’y travailler? Adaptez vos politiques et procédures à la culture de votre entreprise, à votre entreprise et à la façon dont vos employés interagissent. Cela minimisera les difficultés liées à leur mise en œuvre et aidera à préserver ce qui rend votre organisation unique.
« Mais il n’y a pas de temps! »C’est l’argument le plus valable. Dans un monde où le personnel est allégé, les délais d’exécution rapides et l’accent mis sur le fait de faire beaucoup avec un peu, il peut être extrêmement difficile de trouver le temps de gouverner. Avec ça said…it peu importe. Je peux vous remettre livre de gestion après livre de gestion, essai après essai, livre blanc après livre blanc, tout sur la façon dont les politiques et procédures définies amélioreront votre entreprise à tous les niveaux si vous suivez le processus. Vous ne pouvez tout simplement pas passer un audit formel sans eux. Il faut trouver le temps de faire le travail et de documenter vos politiques et procédures.
Si vous pouvez vous engager à mettre en place vos politiques et à les appliquer, vous serez choqué par la facilité à court terme d’un audit, et encore plus choqué par les avantages à long terme que vous obtenez. Vos opérations seront moins stressantes, vos employés auront plus de direction et, si elles sont bien faites, vous saurez enfin exactement ce que vous gérez et pourquoi.
Les avantages l’emportent sur la douleur des politiques et des procédures. S’engager dans le processus présente de sérieux avantages. Votre organisation considère-t-elle les politiques et procédures matures comme un mal nécessaire? Comprenez-vous le but des politiques et des procédures? Quels obstacles votre organisation a-t-elle rencontrés lors de l’élaboration ou de la mise en œuvre de politiques et de procédures? Comment avez-vous pris le temps de vous engager à appliquer les politiques et les procédures?
À propos de Shannon Lane
Shannon Lane a plus de 20 ans d’expérience dans les services d’information, y compris l’informatique de santé, l’extrapolation de données de commerce électronique, l’administration de réseaux, l’administration de bases de données et les travaux d’audit externe. Lane est maintenant Auditeur en sécurité de l’information chez KirkpatrickPrice, représente KirkpatrickPrice au Conseil des évaluateurs du CSF HITRUST 2018 et détient les certifications CISSP, CISA, QSA, MSDBA et CCSFP.