Nel corso della mia carriera, ho avuto la fantastica esperienza di lavorare con piccole imprese che sono nuove all’idea di essere sottoposte a revisione.
Ho visto organizzazioni ad ogni livello di preparazione, da “Abbiamo questo, siamo preparati” a ” Perché è così difficile?”Mi stupisce ancora che gli audit più difficili siano sempre in funzione dello stesso problema: politiche e procedure.
Nel mondo della sicurezza delle informazioni, le politiche e le procedure sono migliori dell’oro. Sono più importanti delle tue chiavi di sicurezza wireless, più vitali del parcheggio del tuo CEO. Sono così importanti, infatti, che ogni quadro principale ha almeno un’intera sezione dedicata completamente alla carta che sta alla base della vostra operazione.
Il PCI DSS ha la sezione 12, il quadro SOC 2 ha governance e conformità come un quarto completo dei suoi obiettivi di audit e i regolamenti HIPAA hanno un’intera sottosezione dedicata alla politica.
Stai ricevendo l’idea, giusto? Le politiche e le procedure sono fondamentali. Ma what cosa sono?
Quali sono le politiche e le procedure?
Nel settore della sicurezza delle informazioni, le politiche e le procedure fanno riferimento alla documentazione che descrive come viene gestita l’azienda. Una politica è un insieme di regole o linee guida per l’organizzazione e i dipendenti da seguire o per ottenere la conformità. Politiche rispondere alle domande su ciò che i dipendenti fanno e perché lo fanno. Una procedura è le istruzioni su come viene seguita una politica. Le procedure sono le istruzioni passo-passo per il modo in cui le politiche devono essere realizzate. Una politica definisce una regola e la procedura definisce chi dovrebbe farlo e come dovrebbero farlo.
Che cos’è una politica?
Una politica è un insieme di regole o linee guida per l’organizzazione e i dipendenti da seguire o per raggiungere un obiettivo specifico (ad esempio la conformità).
Una politica efficace dovrebbe delineare ciò che i dipendenti devono fare o non fare, indicazioni, limiti, principi e linee guida per il processo decisionale. Politiche rispondere a domande come: Cosa? Perché?
Che cos’è una procedura?
Una procedura è la controparte di una politica; è l’istruzione su come viene seguita una politica.
E ‘ l’istruzione passo-passo per come le politiche di cui sopra devono essere raggiunti. Una politica definisce una regola e la procedura definisce chi dovrebbe farlo e come dovrebbero farlo. Le procedure rispondono a domande come: Come? Quando? Dove?
Perché sono necessarie politiche, procedure e protocolli documentati?
Troppe aziende considerano le politiche e le procedure come un male necessario, senza considerare il loro scopo. Non si tratta di best practice o di diventare un’entità aziendale senz’anima; lo scopo delle politiche e delle procedure è quello di spiegare ciò che la gestione desidera essere accaduto e come accade.
Sono giunto a credere che la distinzione primaria tra una piccola e media impresa non si trova nel quantificare la maturità di un’azienda per fatturato o numero di dipendenti, ma piuttosto, se la gestione ha preso tempo per sviluppare, implementare e mantenere politiche e procedure.
Finora, non sono rimasto deluso da questa definizione; le aziende con politiche, procedure e sistemi maturi sono più facili da controllare, hanno una migliore comprensione della loro posizione di sicurezza e del rischio e in generale sembrano operare in modo molto più sostenibile rispetto a coloro che non hanno prestato molta attenzione alla governance.
Lo scopo delle politiche e delle procedure rispetto al dolore delle politiche e delle procedure
Dopo che la direzione ha compreso le definizioni di politiche e procedure, smettono di chiedersi: “Quali sono le politiche e le procedure?”e andare avanti,” Perché devo scrivere politiche e procedure?”La gestione delle piccole imprese ha generalmente la stessa serie di obiezioni alla scrittura di una serie di politiche e procedure, tutte relative a difficoltà, cultura aziendale e limiti di tempo. Ma, ricordiamo: i benefici superano il dolore delle politiche e delle procedure. Lo scopo delle politiche e delle procedure è molto più grande di scrivere alcune regole. La mia spiegazione di questi benefici di solito suona qualcosa del genere:
“Ma è davvero difficile!”Beh, sì…ma no. La maggior parte delle aziende senza politiche e procedure mature operano abbastanza bene o non sarebbero ancora in attività. È certamente più facile definire la sicurezza fin dall’inizio, ma ciò non significa che non possa essere facile iniziare con quello che stai facendo di tanto in tanto e perfezionarlo in seguito.
A volte, la vera obiezione non è quanto sia difficile scrivere politiche e procedure, ma quanto sia spaventata la maggior parte delle persone che metteranno per iscritto come stanno facendo le cose sbagliate. Inizia con dove sei, poi essere realistici su dove si sta andando. Potresti non essere all’altezza dello standard di best practice in alcune aree, ma se stai lasciando che l’imbarazzo ti impedisca di impostare le politiche sulla carta, allora ti manca il punto. Sapere esattamente cosa stai facendo ora è come capire cosa dovresti fare domani. È come si può mettere insieme un budget reale, identificare i rischi reali per l’impresa, e come si può rispondere in modo efficace quando qualcosa va storto.
Suggerimento di un auditor: se la tua pratica non è “corretta”, ma sei onesto a riguardo, è molto meno un problema che se non hai nulla scritto.
” Ma cambierà la mia azienda!”Forse lo farà. Non ho intenzione di mentirti – scrivere tutto, mettere le mani sui processi formali e impostare le aspettative ti costringe a sacrificare una certa flessibilità. Queste aggiunte extra aggiungono un po ‘ di overhead e possono comportare modifiche necessarie alla struttura aziendale, alla cultura aziendale, alla pipeline delle entrate o ai processi “informali, ma davvero buoni” per supportare i requisiti che hai definito. A seconda della struttura esistente, potresti anche scoprire che hai bisogno di personale aggiuntivo per gestire nuove responsabilità, o alcuni processi potrebbero spostarsi un po ‘ più lentamente.
Ad esempio, con l’implementazione di nuove politiche e procedure, il tecnico di rete deve ora avere la firma della gestione su una modifica del firewall. Il tuo personale potrebbe non essere in grado di prendere il telefono e ottenere un nuovo permesso per una parte aggiuntiva della rete. Questo aggiungerà un po ‘di tempo e forse anche un po’ di frustrazione al processo, giusto? D’altra parte, quanto perderesti se perdessi la persona che ha capito esattamente perché il tuo firewall è impostato così com’è? Senza scrivere questi processi verso il basso, si creano enormi vulnerabilità. Persone, formazione, standard, applicazioni: quanto vale quel po ‘ di overhead se ti assicura di avere una maniglia su ciò che sta accadendo all’interno della tua azienda, delle tue reti e della tua azienda?
È possibile mitigare il cambiamento un po’, però, scrivendo la vostra cultura aziendale nelle vostre politiche e procedure. Da nessuna parte è scritto che le politiche e le procedure devono essere orribilmente formali, documenti noiosi da leggere pieni di legalese e dolore. Quali sono le cose che fanno venire voglia di lavorare lì? Adatta le tue politiche e procedure alla tua cultura aziendale, alla tua attività e al modo in cui le persone interagiscono. Ciò ridurrà al minimo le difficoltà di implementarli e contribuirà a preservare ciò che rende unica la tua organizzazione.
” Ma non c’è tempo!”Questo è l’argomento più valido. In un mondo di personale snello, turnaround veloce, e l’accento sul fare molto con un po’, trovare il tempo per la governance può essere estremamente difficile. Con quello said…it non importa. Posso consegnarti il libro di gestione dopo il libro di gestione, saggio dopo saggio, white paper dopo white paper, tutto su come le politiche e le procedure definite miglioreranno la tua attività ad ogni livello se segui il processo. Semplicemente non puoi passare alcun controllo formale senza di loro. Il tempo per fare il lavoro e documentare le politiche e le procedure deve essere trovato.
Se puoi impegnarti a mettere in atto le tue politiche e farle rispettare, rimarrai scioccato dalla vittoria a breve termine nella facilità con cui diventa facile un audit e ancora più scioccato dai vantaggi a lungo termine che ottieni. Le tue operazioni saranno meno stressanti, la tua gente avrà più direzione e, se fatto bene, finalmente saprai esattamente cosa stai gestendo e perché.
I vantaggi superano il dolore delle politiche e delle procedure. Impegnarsi nel processo ha seri benefici. La tua organizzazione considera le politiche e le procedure mature come un male necessario? Capisci lo scopo delle politiche e delle procedure? Quali ostacoli ha trovato la tua organizzazione nello sviluppo o nell’implementazione di politiche e procedure? Come avete costruito nel tempo di impegnarsi a far rispettare le politiche e le procedure?
informazioni Su Shannon Lane
Shannon Lane ha oltre 20 anni di esperienza in servizi di informazione, compresi i sanitari, e-commerce, estrapolazione dati, amministrazione di rete, database administration, di revisione esterna e di lavoro. Lane ora funge da Auditor per la sicurezza delle informazioni presso KirkpatrickPrice, rappresenta KirkpatrickPrice nel 2018 HITRUST CSF Assessor Council e detiene le certificazioni CISSP, CISA, QSA, MSDBA e CCSFP.