w całej mojej karierze miałem fantastyczne doświadczenie w pracy z małymi firmami, które są nowe w idei audytu.
widziałem organizacje na każdym poziomie gotowości, od „mamy to, jesteśmy przygotowani” do ” Dlaczego to takie trudne?”Wciąż dziwi mnie, że najtrudniejsze audyty zawsze są funkcją tego samego problemu: polityki i procedur.
w świecie bezpieczeństwa informacji polityka i procedury są lepsze niż złoto. Są ważniejsze niż bezprzewodowe klucze bezpieczeństwa, ważniejsze niż miejsce parkingowe prezesa. W rzeczywistości są one tak ważne, że każdy główny framework ma co najmniej jedną całą sekcję poświęconą całkowicie papierowi, który leży u podstaw Twojej operacji.
PCI DSS ma sekcję 12, ramy SOC 2 mają zarządzanie i zgodność jako pełny kwartał celów audytu, a regulacje HIPAA mają całą podsekcję poświęconą polityce.
masz pomysł, prawda? Polityka i procedury mają kluczowe znaczenie. Ale … czym one są?
czym są zasady i procedury?
w branży bezpieczeństwa informacji zasady i procedury odnoszą się do dokumentacji opisującej sposób prowadzenia firmy. Zasady to zbiór zasad lub wytycznych dla organizacji i pracowników do przestrzegania lub osiągnięcia zgodności. Polityka odpowiada na pytania o to, co robią pracownicy i dlaczego to robią. Procedura jest Instrukcją, w jaki sposób polityka jest przestrzegana. Procedury są instrukcjami krok po kroku dotyczącymi sposobu realizacji polityki. Polityka definiuje regułę, a procedura określa, kto ma to zrobić i jak ma to zrobić.
co to jest polityka?
polityka to zbiór zasad lub wytycznych dla organizacji i pracowników, których należy przestrzegać lub osiągnąć określony cel (tj. zgodność).
skuteczna polityka powinna określać, co pracownicy muszą robić, a czego nie, Kierunki, ograniczenia, zasady i wskazówki dotyczące podejmowania decyzji. Polityka odpowiada na pytania typu: co? Dlaczego?
co to jest procedura?
procedura jest odpowiednikiem polityki; jest to Instrukcja, w jaki sposób polityka jest przestrzegana.
jest to instrukcja krok po kroku, w jaki sposób należy osiągnąć opisane powyżej polityki. Polityka definiuje regułę, a procedura określa, kto ma to zrobić i jak ma to zrobić. Procedury odpowiadają na pytania typu: jak? Kiedy? Gdzie?
dlaczego wymagane są udokumentowane zasady, procedury i protokoły?
zbyt wiele firm postrzega politykę i procedury jako zło konieczne, nie biorąc pod uwagę ich celu. Nie chodzi o najlepsze praktyki ani o stanie się bezdusznym podmiotem korporacyjnym; celem polityki i procedur jest wyjaśnienie, co kierownictwo chce mieć miejsce i jak to się dzieje.
doszedłem do wniosku, że podstawowe rozróżnienie między małym i średnim biznesem nie znajduje się w ilościowym określaniu dojrzałości firmy według przychodów lub liczby pracowników, ale raczej, czy kierownictwo zajęło czas na opracowanie, wdrożenie i utrzymanie polityk i procedur.
do tej pory nie zawiodłem się na tej definicji; firmy z dojrzałymi politykami, procedurami i systemami są łatwiejsze do audytu, lepiej rozumieją swoją postawę bezpieczeństwa i ryzyko, i ogólnie po prostu wydają się działać znacznie bardziej zrównoważony niż te, które nie przywiązują większej wagi do zarządzania.
cel polityki i procedur vs. ból polityki i procedur
gdy kierownictwo zrozumie definicje polityki i procedur, przestaje pytać: „czym są polityki i procedury? dlaczego muszę pisać zasady i procedury?”Zarządzanie małymi firmami ma na ogół ten sam zestaw zastrzeżeń co do zapisywania zestawu polityk i procedur, wszystkie związane z trudnościami, kulturą firmy i ograniczeniami czasowymi. Ale pamiętajmy: korzyści przeważają nad bólem polityki i procedur. Cel polityki i procedur jest o wiele większy niż spisanie niektórych przepisów. Moje wyjaśnienie tych korzyści zwykle brzmi mniej więcej tak:
„ale to naprawdę trudne!”Cóż, tak … ale nie. Większość firm bez dojrzałych polityk i procedur działa dość dobrze, w przeciwnym razie nie byłoby ich w biznesie. Z pewnością łatwiej jest zdefiniować bezpieczeństwo od samego początku, ale nie oznacza to, że nie może być łatwo zacząć od tego, co robisz teraz, a następnie udoskonalić je później.
czasami prawdziwym sprzeciwem nie jest to, jak trudno jest zapisać zasady i procedury, ale jak przeraża większość ludzi, że napiszą, jak robią rzeczy źle. Zacznij od tego, gdzie jesteś, a następnie bądź realistą, dokąd zmierzasz. Być może nie jesteś w stanie osiągnąć standardu najlepszych praktyk w niektórych obszarach, ale jeśli pozwalasz, aby ten wstyd powstrzymywał Cię przed ustalaniem zasad na papierze, to nie masz sensu. Wiedząc dokładnie, co robisz teraz, dowiesz się, co powinieneś robić jutro. Chodzi o to, jak można zebrać prawdziwy budżet, zidentyfikować rzeczywiste zagrożenia dla przedsiębiorstwa i jak można skutecznie reagować, gdy coś pójdzie nie tak.
podpowiedź audytora: jeśli twoja praktyka nie jest „poprawna”, ale jesteś szczery, to jest to o wiele mniejszy problem niż Jeśli nie masz nic spisanego.
„ale to zmieni moją firmę!”Może tak będzie. Nie będę cię okłamywał – zapisywanie wszystkiego, wkładanie rąk w procesy formalne i ustalanie oczekiwań zmusza cię do poświęcenia pewnej elastyczności. Te dodatkowe dodatki dodają trochę narzutu i mogą spowodować niezbędne zmiany w strukturze korporacyjnej, kulturze firmy, rurociągu przychodów lub „nieformalnych, ale naprawdę dobrych” procesów wspierających określone wymagania. W zależności od istniejącej struktury możesz nawet odkryć, że potrzebujesz dodatkowego personelu do obsługi nowych obowiązków lub niektóre procesy mogą działać nieco wolniej.
na przykład po wdrożeniu nowych zasad i procedur inżynier sieci musi teraz wylogować zarządzanie zmianą zapory sieciowej. Twoi pracownicy mogą nie być w stanie po prostu odebrać telefonu i uzyskać nowe pozwolenie na dodatkową część sieci. To doda trochę czasu, a może nawet trochę frustracji do procesu, prawda? Z drugiej strony, ile straciłbyś, gdybyś stracił osobę, która dokładnie zrozumiała, dlaczego firewall jest skonfigurowany tak, jak jest? Bez zapisywania tych procesów tworzysz ogromne luki w zabezpieczeniach. Ludzie, szkolenia, standardy, aplikacje – ile jest warta ta mała część kosztów ogólnych, jeśli zapewnia, że wiesz, co dzieje się wewnątrz Twojej firmy, sieci i przedsiębiorstwa?
możesz jednak nieco złagodzić zmianę, wpisując kulturę firmy do swoich zasad i procedur. Nigdzie nie jest napisane, że polityka i procedury muszą być strasznie formalne, nudne do czytania dokumenty wypełnione prawem i bólem. Co sprawia, że ludzie chcą tam pracować? Dopasuj swoje zasady i procedury do kultury firmy, firmy i sposobu interakcji pracowników. Pozwoli to zminimalizować trudności związane z ich wdrażaniem i pomoże zachować to, co sprawia, że Twoja organizacja jest wyjątkowa.
” ale nie ma czasu!”To jest najbardziej słuszny argument. W świecie szczupłego personelu, szybkiego zwrotu i nacisku na robienie dużo przy odrobinie, znalezienie czasu na zarządzanie może być niezwykle trudne. Z tym said…it nieważne. Mogę podać Ci książkę zarządzania po książce zarządzania, esej po eseju, whitepaper po whitepaper, wszystko na temat tego, jak określone zasady i procedury poprawią Twoją firmę na każdym poziomie, jeśli zastosujesz się do tego procesu. Po prostu nie można przejść żadnego formalnego audytu bez nich. Należy znaleźć czas na wykonanie pracy i udokumentowanie zasad i procedur.
jeśli możesz zaangażować się w wdrożenie swoich zasad i ich egzekwowanie, będziesz zszokowany krótkoterminową wygraną w zakresie łatwości audytu, a jeszcze bardziej zszokowany długoterminowymi korzyściami, które zyskujesz. Twoje operacje będą mniej stresujące, twoi ludzie będą mieli większy kierunek, a jeśli wykonasz je dobrze, w końcu będziesz wiedział dokładnie, czym zarządzasz i dlaczego.
zalety przeważają nad bólem polityki i procedur. Zaangażowanie w ten proces przynosi poważne korzyści. Czy Twoja organizacja postrzega Dojrzałe zasady i procedury jako zło konieczne? Czy rozumiesz cel polityki i procedur? Jakie przeszkody napotkała Twoja organizacja podczas opracowywania lub wdrażania polityk i procedur? Jak zbudowałeś w tym czasie, aby zobowiązać się do egzekwowania polityk i procedur?
o Shannon Lane
Shannon Lane ma ponad 20-letnie doświadczenie w Usługach Informacyjnych, w tym w branży IT w służbie zdrowia, ekstrapolacji danych w handlu elektronicznym, administracji siecią, administrowaniu bazami danych i audytach zewnętrznych. Lane służy teraz jako audytor bezpieczeństwa informacji w KirkpatrickPrice, reprezentuje KirkpatrickPrice na 2018 HITRUST CSF Assessor Council, i posiada CISSP, CISA, QSA, MSDBA, i CCSFP certyfikaty.