ao longo da minha carreira, tive a fantástica experiência de trabalhar com pequenas empresas que são novas na ideia de serem auditadas.
eu vi organizações em todos os níveis de prontidão, de “nós temos isso, estamos preparados” a “por que isso é tão difícil?”Ainda me surpreende que as auditorias mais difíceis sejam sempre uma função do mesmo problema: políticas e procedimentos.
no mundo da segurança da informação, políticas e procedimentos são melhores do que o ouro. Eles são mais importantes do que suas chaves de segurança sem fio, mais vitais do que o local de estacionamento do seu CEO. Eles são tão importantes, de fato, que cada estrutura principal tem pelo menos uma seção inteira dedicada completamente ao papel que está por trás de sua operação.
o PCI DSS tem a seção 12, a estrutura SOC 2 tem governança e conformidade como um quarto completo de seus objetivos de auditoria, e os regulamentos da HIPAA têm uma subseção inteira dedicada à política.
você está tendo a ideia, certo? Políticas e procedimentos são vitais. Mas … o que são eles?
O Que são políticas e procedimentos?
no setor de segurança da informação, políticas e procedimentos referem-se à documentação que descreve como sua empresa é executada. Uma política é um conjunto de regras ou diretrizes para sua organização e funcionários seguirem ou alcançarem a conformidade. As políticas respondem a perguntas sobre o que os funcionários fazem e por que fazem isso. Um procedimento são as instruções sobre como uma política é seguida. Os procedimentos são as instruções passo a passo de como as políticas devem ser alcançadas. Uma política define uma regra, e o procedimento define quem deve fazê-lo e como deve fazê-lo.
o que é uma política?
uma política é um conjunto de regras ou diretrizes para sua organização e funcionários seguirem ou atingirem um objetivo específico (ou seja, conformidade).
uma política eficaz deve delinear o que os funcionários devem fazer ou não, direções, limites, princípios e orientações para a tomada de decisões. Políticas respondem a perguntas como: o quê? Por quê?
o que é um procedimento?
um procedimento é a contrapartida de uma política; é a instrução sobre como uma política é seguida.
é a instrução passo a passo de como as políticas descritas acima devem ser alcançadas. Uma política define uma regra, e o procedimento define quem deve fazê-lo e como deve fazê-lo. Os procedimentos respondem a perguntas como: como? Quando? Onde?Por Que políticas, procedimentos e protocolos documentados são necessários?
muitas empresas veem políticas e procedimentos como um mal necessário, sem considerar seu propósito. Não se trata de melhores práticas ou se tornar uma entidade corporativa sem alma; o objetivo das políticas e procedimentos é explicar o que a administração deseja ter acontecido e como isso acontece.
passei a acreditar que a principal distinção entre uma pequena e média empresa não é encontrada na quantificação da maturidade de uma empresa por receita ou número de funcionários, mas sim, se a administração levou ou não tempo para desenvolver, implementar e manter políticas e procedimentos.
até agora, não fiquei desapontado com esta definição; as empresas com políticas, procedimentos e sistemas maduros são mais fáceis de auditar, têm uma melhor compreensão de sua postura e risco de segurança e geralmente parecem estar operando de forma muito mais sustentável do que aquelas que não prestaram muita atenção à governança.
o propósito das políticas e procedimentos vs. A dor das políticas e procedimentos
depois que a administração entende as definições de políticas e procedimentos, eles param de perguntar: “o que são políticas e procedimentos?”e seguir em frente,” por que eu tenho que escrever políticas e procedimentos?”A gestão de pequenas empresas geralmente tem o mesmo conjunto de objeções a escrever um conjunto de políticas e procedimentos, todos relacionados à dificuldade, cultura da empresa e restrições de tempo. Mas, vamos lembrar: os benefícios superam a dor das políticas e procedimentos. O propósito das políticas e procedimentos é muito maior do que escrever algumas regras. Minha explicação desses benefícios geralmente parece algo assim:
“mas é muito difícil!”Bem, sim … mas não. A maioria das empresas sem políticas e procedimentos maduros está operando muito bem ou ainda não estaria no negócio. Certamente é mais fácil definir a segurança desde o início, mas isso não significa que não seja fácil começar com o que você está fazendo agora e depois refiná-la mais tarde.
às vezes, a verdadeira objeção não é o quão difícil é escrever políticas e procedimentos, mas o quão assustada a maioria das pessoas é que eles vão colocar por escrito como eles estão fazendo as coisas erradas. Comece com onde você está, então seja realista sobre para onde você está indo. Você pode não estar de acordo com o padrão de melhores práticas em algumas áreas, mas se você está deixando esse constrangimento impedi-lo de definir políticas no papel, então você está perdendo o ponto. Saber exatamente o que você está fazendo agora é como você descobrir o que você deve estar fazendo amanhã. É como você pode montar um orçamento real, identificar riscos reais para a empresa e como você pode responder efetivamente quando algo der errado.
a dica de um auditor: se sua prática não é” correta”, mas você é honesto sobre isso, é muito menos problemático do que se você não tiver nada escrito.
“mas isso vai mudar minha empresa!”Talvez seja. Não vou mentir para você – escrever tudo, colocar as mãos em processos formais e definir expectativas o obriga a sacrificar alguma flexibilidade. Essas adições extras adicionam um pouco de sobrecarga e podem resultar em mudanças necessárias na estrutura corporativa, cultura da empresa, pipeline de receita ou processos “informais, mas realmente bons” para suportar os requisitos que você estabeleceu. Dependendo da sua estrutura existente, você pode até descobrir que precisa de alguma Equipe adicional para lidar com novas responsabilidades, ou alguns processos podem se mover um pouco mais devagar.
por exemplo, com novas políticas e procedimentos implementados, seu engenheiro de rede agora precisa fazer com que o gerenciamento assine uma alteração no firewall. Sua equipe pode não ser capaz de apenas pegar o telefone e obter uma nova permissão para alguma parte adicional da rede. Isso vai adicionar algum tempo e talvez até um pouco de frustração ao processo, certo? Por outro lado, quanto você perderia se perdesse a pessoa que entendeu exatamente por que seu firewall está configurado da maneira que é? Sem escrever esses processos, você cria vulnerabilidades maciças. Pessoas, treinamento, padrões, aplicativos – quanto vale esse pouco de sobrecarga se garantir que você tenha uma noção do que está acontecendo dentro de sua empresa, suas redes e sua empresa?
você pode mitigar a mudança um pouco, no entanto, escrevendo a cultura da sua empresa em suas políticas e procedimentos. Em nenhum lugar está escrito que políticas e procedimentos devem ser horrivelmente formais, documentos chatos de ler cheios de legaleses e dor. Quais são as coisas que fazem as pessoas quererem trabalhar lá? Ajuste suas políticas e procedimentos à cultura da sua empresa, ao seu negócio e à forma como seu pessoal interage. Isso minimizará as dificuldades de implementá-las e ajudará a preservar o que torna sua organização única.
“mas não há tempo!”Este é o argumento mais válido. Em um mundo de equipe enxuta, reviravolta rápida e ênfase em fazer muito com um pouco, encontrar tempo para governança pode ser extremamente difícil. Com isso said…it não importa. Posso entregar-lhe livro de gestão após livro de gestão, ensaio após ensaio, whitepaper após whitepaper, tudo sobre como políticas e procedimentos definidos irão melhorar o seu negócio em todos os níveis se você seguir o processo. Você simplesmente não pode passar por nenhuma auditoria formal sem eles. O tempo para fazer o trabalho e documentar suas políticas e procedimentos deve ser encontrado.
se você puder se comprometer a colocar suas políticas em prática e aplicá-las, ficará chocado com a vitória de curto prazo na facilidade com que uma auditoria se torna, e ainda mais chocado com as vantagens de longo prazo que você ganha. Suas operações serão menos estressantes, seu pessoal terá mais Direção e, se bem feito, você finalmente saberá exatamente o que está gerenciando e por quê.
as vantagens superam a dor das políticas e procedimentos. Comprometer-se com o processo tem sérios benefícios. Sua organização vê políticas e procedimentos maduros como um mal necessário? Você entende o propósito das políticas e procedimentos? Que obstáculos sua organização encontrou ao desenvolver ou implementar políticas e procedimentos? Como você construiu no tempo para se comprometer com a aplicação de políticas e procedimentos?
Sobre Shannon Lane
Shannon Lane tem mais de 20 anos de experiência em serviços de informação, incluindo cuidados de saúde É, o e-commerce extrapolação de dados, administração de rede, administração de banco de dados e a auditoria externa do trabalho. Lane agora atua como Auditor de segurança da Informação na KirkpatrickPrice, representa KirkpatrickPrice no 2018 HITRUST CSF Assessor Council, e possui certificações CISSP, CISA, QSA, MSDBA e CCSFP.