gedurende mijn hele carrière heb ik de fantastische ervaring gehad met het werken met kleine bedrijven die nieuw zijn in het idee om gecontroleerd te worden.
ik heb organisaties op elk niveau van paraatheid gezien, van “We hebben dit, we zijn voorbereid” tot ” Waarom is dit zo moeilijk?”Het verbaast me nog steeds dat de zwaarste audits altijd een functie zijn van hetzelfde probleem: beleid en procedures.In de wereld van informatiebeveiliging zijn beleid en procedures beter dan goud. Ze zijn belangrijker dan uw draadloze beveiligingssleutels, belangrijker dan de parkeerplaats van uw CEO. Ze zijn zo belangrijk, in feite, dat elk belangrijk kader heeft ten minste een hele sectie volledig gewijd aan het papier dat ten grondslag ligt aan uw operatie.
het PCI DSS heeft sectie 12, het SOC 2-kader heeft governance en compliance als een volledig kwart van de auditdoelstellingen, en HIPAA-regelgeving heeft een volledige subsectie gewijd aan beleid.
u begrijpt het idee, toch? Beleid en procedures zijn van vitaal belang. Maar … wat zijn het?
Wat zijn beleidslijnen en Procedures?
in de informatiebeveiligingsindustrie verwijzen beleidsregels en procedures naar de documentatie die beschrijft hoe uw bedrijf wordt geleid. Een beleid is een reeks regels of richtlijnen die uw organisatie en medewerkers moeten volgen of naleven. Beleid beantwoord vragen over wat medewerkers doen en waarom ze het doen. Een procedure is de instructies over hoe een beleid wordt gevolgd. Procedures zijn de stapsgewijze instructies voor de wijze waarop het beleid moet worden verwezenlijkt. Een beleid definieert een regel, en de procedure bepaalt wie wordt verwacht om het te doen en hoe ze worden verwacht om het te doen.
Wat is een beleid?
een beleid is een reeks regels of richtlijnen voor uw organisatie en medewerkers om een specifiek doel te volgen of te bereiken (d.w.z. compliance).
een effectief beleid moet aangeven wat werknemers wel of niet moeten doen, richtlijnen, grenzen, principes en richtsnoeren voor de besluitvorming. Beleid beantwoorden vragen als: wat? Waarom?
Wat is een procedure?
een procedure is de tegenhanger van een beleid; het is de instructie over hoe een beleid wordt gevolgd.
het is de stap-voor-stap instructie voor hoe de hierboven beschreven beleidsmaatregelen moeten worden bereikt. Een beleid definieert een regel, en de procedure bepaalt wie wordt verwacht om het te doen en hoe ze worden verwacht om het te doen. Procedures beantwoorden vragen als: Hoe? Wanneer? Waar?
Waarom zijn gedocumenteerd beleid, Procedures en protocollen noodzakelijk?
te veel bedrijven zien beleid en procedures als een noodzakelijk kwaad, zonder rekening te houden met hun doel. Het gaat niet om best practice of om een zielloze corporate entiteit te worden; het doel van beleid en procedures is om uit te leggen wat het management wenst te hebben plaatsgevonden en hoe het gebeurt.
ik ben gaan geloven dat het primaire onderscheid tussen een kleine en middelgrote onderneming niet wordt gevonden in het kwantificeren van de looptijd van een onderneming op basis van omzet of aantal werknemers, maar eerder in de vraag of het management tijd heeft genomen om beleid en procedures te ontwikkelen, uit te voeren en te handhaven.
tot nu toe ben ik niet teleurgesteld in deze definitie; bedrijven met volwassen beleid, procedures en systemen zijn gemakkelijker te controleren, hebben een beter begrip van hun beveiligingshouding en risico ‘ s, en lijken over het algemeen gewoon veel duurzamer te werken dan degenen die niet veel aandacht hebben besteed aan governance.
the Purpose of Policies and Procedures VS. the Pain of Policies and Procedures
nadat het management de definities van beleid en procedures begrijpt, vragen ze zich niet meer af: “wat zijn beleid en procedures?”en ga verder,” Waarom moet ik Beleid en procedures schrijven?”Het management van kleine bedrijven heeft over het algemeen dezelfde bezwaren tegen het opschrijven van een reeks beleidslijnen en procedures, die allemaal betrekking hebben op moeilijkheden, bedrijfscultuur en tijdsbeperkingen. Maar laten we niet vergeten: de voordelen wegen op tegen de pijn van beleid en procedures. Het doel van beleid en procedures is zoveel groter dan het vastleggen van een aantal regels. Mijn uitleg van deze voordelen klinkt meestal ongeveer als dit:
“maar het is echt moeilijk!”Nou, ja…maar nee. De meeste bedrijven zonder volwassen beleid en procedures werken vrij goed of ze zouden niet nog steeds in het bedrijfsleven. Het is zeker makkelijker om beveiliging vanaf het allereerste begin te definiëren, maar dat betekent niet dat het niet gemakkelijk kan zijn om te beginnen met wat je nu doet en het later te verfijnen.
soms is het echte bezwaar niet hoe moeilijk het is om beleid en procedures op te schrijven, maar hoe bang de meeste mensen zijn dat ze zullen schrijven hoe ze dingen verkeerd doen. Begin met waar je bent, wees dan realistisch over waar je naartoe gaat. Je bent misschien niet aan de best practice standaard in sommige gebieden, maar als je laat die verlegenheid houden u van het instellen van beleid op papier, dan mis je het punt. Precies weten wat je nu doet is hoe je erachter komt wat je morgen moet doen. Het is hoe je een echt budget kunt samenstellen, echte risico ‘ s voor de onderneming kunt identificeren en hoe je effectief kunt reageren als er iets misgaat.
een auditor ‘ s hint: als je praktijk niet “correct” is, maar je bent er eerlijk over, is het veel minder een probleem dan als je helemaal niets hebt opgeschreven.
” maar het zal mijn bedrijf veranderen!”Misschien wel. Ik ga niet tegen je liegen – alles opschrijven, je handen leggen op formele processen, en verwachtingen stellen dwingt je om enige flexibiliteit op te offeren. Deze extra toevoegingen voegen een beetje overhead toe en kunnen resulteren in noodzakelijke veranderingen in de bedrijfsstructuur, bedrijfscultuur, inkomstenpijplijn, of “informeel, maar echt goed” processen om de vereisten te ondersteunen die u hebt opgesteld. Afhankelijk van uw bestaande structuur, kunt u zelfs ontdekken dat u wat extra personeel nodig hebt om nieuwe verantwoordelijkheden af te handelen, of sommige processen kunnen een beetje langzamer gaan.
bijvoorbeeld, met nieuwe beleidsregels en procedures geà mplementeerd, moet uw netwerkingenieur nu het management een firewallwijziging laten afmelden. Uw medewerkers kunnen mogelijk niet gewoon de telefoon opnemen en een nieuwe toestemming krijgen voor een extra deel van het netwerk. Dat voegt wat tijd en misschien zelfs een beetje frustratie toe aan het proces, toch? Aan de andere kant, hoeveel zou je verliezen als je de persoon die precies begreep waarom uw firewall is ingesteld zoals het is verloren? Zonder deze processen op te schrijven, creëer je enorme kwetsbaarheden. Mensen, training, standaarden, applicaties – hoeveel is dat beetje overhead waard als het ervoor zorgt dat je grip hebt op wat er gaande is binnen je bedrijf, je netwerken en je onderneming?
u kunt de verandering echter enigszins beperken door uw bedrijfscultuur in uw beleid en procedures op te nemen. Nergens staat geschreven dat beleid en procedures verschrikkelijk formeel moeten zijn, saai om te lezen documenten gevuld met legalese en pijn. Wat zijn de dingen waardoor mensen daar willen werken? Pas uw beleid en procedures aan op uw bedrijfscultuur, uw bedrijf en de interactie tussen uw medewerkers. Dit zal de ontberingen van de uitvoering ervan te minimaliseren en helpen behouden wat uw organisatie uniek maakt.
” maar er is geen tijd!”Dit is het meest geldige argument. In een wereld van lean staff, snelle turnaround, en een nadruk op het doen van veel met een beetje, het vinden van de tijd voor governance kan zeer moeilijk zijn. Met dat said…it maakt niet uit. Ik kan je management boek na management boek, essay na essay, whitepaper na whitepaper, alles over hoe gedefinieerd beleid en procedures zal uw bedrijf te verbeteren op elk niveau als je het proces te volgen. Je kunt gewoon niet slagen voor een formele audit zonder hen. De tijd om het werk te doen en documenteren uw beleid en procedures moet worden gevonden.
Als u zich kunt committeren om uw beleid op zijn plaats te krijgen en te handhaven, zult u geschokt zijn door de korte termijn winst in hoe gemakkelijk een audit wordt, en nog meer geschokt door de lange termijn voordelen die u krijgt. Uw operaties zullen minder stressvol zijn, uw mensen zullen meer richting hebben en, als het goed wordt gedaan, zult u eindelijk precies weten wat het is dat u beheert en waarom.
de voordelen wegen zwaarder dan de pijn van beleid en procedures. Betrokkenheid bij het proces heeft serieuze voordelen. Ziet uw organisatie volwassen beleid en procedures als een noodzakelijk kwaad? Begrijpt u het doel van beleid en procedures? Welke obstakels heeft uw organisatie gevonden bij het ontwikkelen of implementeren van beleid en procedures? Hoe heb je de tijd opgebouwd om je te verbinden aan het afdwingen van beleid en procedures?
over Shannon Lane
Shannon Lane heeft meer dan 20 jaar ervaring in informatiediensten, waaronder IT voor de gezondheidszorg, extrapolatie van e-commercegegevens, netwerkbeheer, databasebeheer en externe auditwerkzaamheden. Lane dient nu als informatiebeveiliging Auditor bij KirkpatrickPrice, vertegenwoordigt KirkpatrickPrice op de 2018 HITRUST CSF Assessor Council, en houdt CISSP, CISA, QSA, MSDBA, en CCSFP certificeringen.