karrierem során fantasztikus tapasztalatom volt olyan kisvállalkozásokkal dolgozni, akik újak az auditálás gondolatában.
láttam szervezeteket a készültség minden szintjén, a “megvan ez, készen állunk” – tól a “miért olyan nehéz ez?”Még mindig lenyűgöz, hogy a legkeményebb auditok mindig ugyanazon probléma függvényei: politikák és eljárások.
az információbiztonság világában a politikák és eljárások jobbak, mint az arany. Ezek fontosabbak, mint a vezeték nélküli biztonsági kulcsok, fontosabbak, mint a vezérigazgató parkolóhelye. Annyira fontosak, valójában, hogy minden nagyobb keretrendszernek legalább egy teljes szakasza van, amelyet teljes egészében a művelet alapjául szolgáló papírnak szentelnek.
a PCI DSS 12.szakasza, a SOC 2 keretrendszer ellenőrzési célkitűzéseinek teljes negyede az irányítás és a megfelelés, a HIPAA-rendeletek pedig egy teljes alszakaszt szentelnek a politikának.
érted az ötletet, ugye? A politikák és eljárások létfontosságúak. De … mik ezek?
mik azok a szabályzatok és eljárások?
az információbiztonsági iparágban a szabályzatok és eljárások a vállalkozás működését leíró dokumentációban találhatók. A házirend olyan szabályok vagy irányelvek összessége, amelyeket a szervezet és az alkalmazottak követhetnek vagy elérhetnek. A politikák megválaszolják azokat a kérdéseket, hogy mit csinálnak az alkalmazottak és miért csinálják. Az eljárás a házirend betartásának utasításai. Az eljárások a politikák megvalósításának lépésenkénti utasításai. A házirend meghatároz egy szabályt, az eljárás pedig meghatározza, hogy kitől és hogyan várják el, hogy megtegye.
mi a politika?
a házirend olyan szabályok vagy irányelvek összessége, amelyeket a szervezet és az alkalmazottak követhetnek vagy elérhetnek egy adott célt (azaz a megfelelést).
a hatékony politikának körvonalaznia kell, hogy mit kell tennie vagy nem kell tennie az alkalmazottaknak, irányokat, korlátokat, elveket és útmutatást kell adnia a döntéshozatalhoz. A politikák olyan kérdésekre válaszolnak, mint: mi? Miért?
mi az eljárás?
egy eljárás a politika megfelelője; ez az utasítás arról, hogyan követik a politikát.
ez a lépésenkénti utasítás a fent vázolt politikák megvalósítására. A házirend meghatároz egy szabályt, az eljárás pedig meghatározza, hogy kitől és hogyan várják el, hogy megtegye. Az eljárások olyan kérdésekre válaszolnak, mint: Hogyan? Mikor? Hol?
miért van szükség dokumentált irányelvekre, eljárásokra és protokollokra?
túl sok vállalat tekinti a politikákat és eljárásokat szükséges rossznak, anélkül, hogy figyelembe venné azok célját. Nem a legjobb gyakorlatról vagy a lélektelen vállalati entitássá válásról van szó; a politikák és eljárások célja annak magyarázata, hogy a vezetés mit kíván tenni, és hogyan történik.
arra a következtetésre jutottam, hogy a kis-és középvállalkozások közötti elsődleges különbség nem a vállalat érettségének a bevétel vagy az alkalmazottak száma alapján történő számszerűsítésében rejlik, hanem abban, hogy a vezetésnek időbe telt-e a politikák és eljárások kidolgozása, végrehajtása és fenntartása.
eddig nem csalódtam ebben a meghatározásban; az érett politikákkal, eljárásokkal és rendszerekkel rendelkező vállalatok könnyebben auditálhatók, jobban megértik biztonsági helyzetüket és kockázataikat, és általában úgy tűnik, hogy sokkal fenntarthatóbb módon működnek, mint azok, akik nem fordítottak sok figyelmet a kormányzásra.
a politikák és eljárások célja vs. a politikák és eljárások fájdalma
miután a vezetés megértette a politikák és eljárások definícióit, abbahagyják a kérdést: “Mik azok a politikák és eljárások?”és lépjünk tovább:” Miért kell szabályzatokat és eljárásokat írnom? A “kisvállalkozások” menedzsmentjének általában ugyanazok a kifogásai vannak a politikák és eljárások leírásával szemben, amelyek mind a nehézséggel, a vállalati kultúrával és az időbeli korlátozásokkal kapcsolatosak. De ne feledjük: az előnyök meghaladják a politikák és eljárások fájdalmát. A politikák és eljárások célja sokkal nagyobb, mint néhány szabály leírása. Ezeknek az előnyöknek a magyarázata általában így hangzik:
“de ez nagyon nehéz!”Nos, igen…de nem. A legtöbb olyan vállalat, amely nem rendelkezik Érett politikákkal és eljárásokkal, meglehetősen jól működik, vagy még mindig nem lenne az üzleti életben. Minden bizonnyal könnyebb meghatározni a biztonságot a kezdetektől fogva, de ez nem jelenti azt, hogy nem lehet könnyű elkezdeni azzal, amit most csinálsz, majd később finomítani.
néha az igazi ellenvetés nem az, hogy milyen nehéz leírni az irányelveket és eljárásokat, hanem az, hogy a legtöbb ember mennyire fél attól, hogy leírják, hogyan csinálnak rosszul dolgokat. Kezdje azzal, hogy hol van, majd legyen reális abban, hogy merre tart. Lehet, hogy egyes területeken nem felel meg a legjobb gyakorlatnak, de ha hagyja, hogy ez a zavar megakadályozza, hogy a házirendeket papírra állítsa, akkor hiányzik a lényeg. Pontosan tudva, hogy mit csinálsz most, hogyan találod ki, mit kell tenned holnap. Ez az, hogyan lehet összeállítani egy valódi költségvetést, azonosítani a vállalkozás valódi kockázatait, és hogyan tud hatékonyan reagálni, ha valami rosszul megy.
az auditor tippje: ha a gyakorlatod nem “helyes”, de őszinte vagy vele kapcsolatban, az sokkal kisebb probléma, mintha egyáltalán nem írnál le semmit.
” de ez megváltoztatja a cégemet!”Talán így lesz. Nem fogok hazudni neked – mindent leírni, a formális folyamatokra helyezni a kezét, és az elvárások megfogalmazása arra kényszerít, hogy feláldozzon némi rugalmasságot. Ezek az extra kiegészítések hozzáadnak egy kis költséget, és a vállalati struktúra, a vállalati kultúra, a bevételi csővezeték vagy az “informális, de nagyon jó” folyamatok szükséges változásait eredményezhetik az Ön által meghatározott követelmények támogatása érdekében. A meglévő struktúrától függően akár azt is felfedezheti, hogy további személyzetre van szüksége az új feladatok kezeléséhez, vagy egyes folyamatok kissé lassabban mozoghatnak.
például az új házirendek és eljárások bevezetésével a hálózati mérnöknek mostantól a tűzfal módosítása esetén a menedzsmentnek alá kell írnia. Előfordulhat, hogy a személyzet nem tudja csak felvenni a telefont, és új engedélyt kap a hálózat néhány további részére. Ez hozzá fog adni egy kis időt, talán még egy kis frusztrációt is a folyamathoz, igaz? Másrészt, mennyit veszítene, ha elveszítené azt a személyt, aki pontosan megértette, miért van a tűzfal úgy beállítva, ahogy van? Anélkül, hogy leírná ezeket a folyamatokat, hatalmas sebezhetőségeket hoz létre. Emberek, képzés, szabványok, alkalmazások – mennyit ér ez a kis költség, ha biztosítja, hogy kezelje, mi történik a vállalaton belül, a hálózatokban és a vállalkozásban?
a változást némileg enyhítheti, ha vállalati kultúráját beírja irányelveibe és eljárásaiba. Sehol sincs megírva, hogy a politikáknak és eljárásoknak szörnyen formálisnak, unalmasan olvashatónak kell lenniük, tele jogi és fájdalmas dokumentumokkal. Melyek azok a dolgok, amelyek miatt az emberek ott akarnak dolgozni? Illessze irányelveit és eljárásait vállalati kultúrájához, vállalkozásához és az emberek interakciójához. Ez minimalizálja a megvalósítás nehézségeit, és segít megőrizni azt, ami egyedivé teszi a szervezetet.
” de nincs idő!”Ez a legeredményesebb érv. A lean személyzet világában, a gyors fordulatban és a hangsúlyban, hogy sokat tegyünk egy kicsit, a kormányzás ideje rendkívül nehéz lehet. Ezzel said…it nem számít. Átadhatom Önnek a menedzsment könyvet a menedzsment könyv után, esszé esszé után, whitepaper a whitepaper után, mindent arról, hogy a meghatározott politikák és eljárások hogyan javítják vállalkozását minden szinten, ha követi a folyamatot. Egyszerűen nem tudsz átadni semmilyen hivatalos ellenőrzést nélkülük. Meg kell találni a munka elvégzésének és az irányelvek és eljárások dokumentálásának idejét.
ha elkötelezi magát a házirendek bevezetése és érvényesítése mellett, megdöbbenve látja, hogy rövid távon milyen könnyű lesz az audit, és még inkább megdöbbent a hosszú távú előnyök. A műveleteid kevésbé lesznek stresszesek, az embereknek több irányuk lesz, és ha jól csinálják, akkor végre pontosan tudni fogják, hogy mit irányítanak és miért.
az előnyök meghaladják a politikák és eljárások fájdalmát. A folyamat iránti elkötelezettség komoly előnyökkel jár. Az Ön szervezete az érett politikákat és eljárásokat szükséges rossznak tekinti? Tisztában van a politikák és eljárások céljával? Milyen akadályokat talált a szervezet a politikák és eljárások kidolgozása vagy végrehajtása során? Hogyan építetted fel az időt arra, hogy elkötelezd magad a politikák és eljárások betartatása mellett?
a Shannon Lane-ről
a Shannon Lane több mint 20 éves tapasztalattal rendelkezik az információs szolgáltatások területén, beleértve az egészségügyi IT-t, az e-kereskedelmi adatok extrapolálását, a hálózati Adminisztrációt, az adatbázis-adminisztrációt és a külső auditálást. Lane jelenleg információbiztonsági auditorként szolgál a KirkpatrickPrice – nál, képviseli a KirkpatrickPrice-t a 2018-as HITRUST CSF értékelő Tanácsban, és rendelkezik CISSP, CISA, QSA, MSDBA és CCSFP tanúsítványokkal.