de-a lungul carierei mele, am avut experiența fantastică de a lucra cu întreprinderi mici care sunt noi în ideea de a fi auditate.
am văzut organizații la fiecare nivel de pregătire, de la „avem asta, suntem pregătiți „La” De ce este atât de dificil?”Încă mă uimește faptul că cele mai dificile audituri sunt întotdeauna o funcție a aceleiași probleme: politici și proceduri.
în lumea securității informațiilor, politicile și procedurile sunt mai bune decât aurul. Acestea sunt mai importante decât cheile de securitate wireless, mai vitale decât locul de parcare al CEO-ului. Ele sunt atât de importante, de fapt, încât fiecare cadru major are cel puțin o secțiune întreagă dedicată complet hârtiei care stă la baza operațiunii dvs.
PCI DSS are Secțiunea 12, cadrul SOC 2 are guvernanța și conformitatea ca un sfert complet al obiectivelor sale de audit, iar reglementările HIPAA au o întreagă subsecțiune dedicată politicii.
îți vine ideea, nu? Politicile și procedurile sunt vitale. Dar … ce sunt?
ce sunt politicile și procedurile?
în industria securității informațiilor, politicile și procedurile se referă la documentația care descrie modul în care este condusă afacerea dvs. O politică este un set de reguli sau linii directoare pe care organizația și angajații dvs. trebuie să le respecte sau să le respecte. Politicile răspund la întrebări despre ce fac angajații și de ce o fac. O procedură este instrucțiunile privind modul în care este urmată o politică. Procedurile sunt instrucțiunile pas cu pas pentru modul în care trebuie realizate politicile. O politică definește o regulă, iar procedura definește cine se așteaptă să o facă și cum se așteaptă să o facă.
ce este o politică?
o politică este un set de reguli sau linii directoare pe care organizația și angajații dvs. trebuie să le urmeze sau să atingă un anumit obiectiv (de exemplu, conformitatea).
o politică eficientă ar trebui să contureze ceea ce angajații trebuie să facă sau nu, direcții, limite, principii și îndrumări pentru luarea deciziilor. Politicile răspund la întrebări precum: Ce? De ce?
ce este o procedură?
o procedură este contrapartida unei politici; este instrucțiunea cu privire la modul în care este urmată o politică.
este instrucțiunea pas cu pas pentru modul în care trebuie realizate politicile prezentate mai sus. O politică definește o regulă, iar procedura definește cine se așteaptă să o facă și cum se așteaptă să o facă. Procedurile răspund la întrebări precum: cum? Când? Unde?
de ce sunt necesare politici, proceduri și protocoale documentate?
prea multe companii văd politicile și procedurile ca pe un rău necesar, fără a lua în considerare scopul lor. Nu este vorba despre cele mai bune practici sau de a deveni o entitate corporativă fără suflet; scopul politicilor și procedurilor este de a explica ce dorește conducerea să se fi întâmplat și cum se întâmplă.
am ajuns să cred că distincția principală între o afacere mică și medie nu se găsește în cuantificarea maturității unei companii în funcție de venituri sau de numărul de angajați, ci mai degrabă, dacă managementul a luat sau nu timp pentru a dezvolta, implementa și menține politici și proceduri.
până acum, nu am fost dezamăgit de această definiție; companiile cu politici, proceduri și sisteme mature sunt mai ușor de auditat, au o mai bună înțelegere a posturii și riscului lor de securitate și, în general, par să funcționeze mult mai durabil decât cei care nu au acordat prea multă atenție guvernării.
scopul politicilor și procedurilor vs. durerea politicilor și procedurilor
după ce managementul înțelege definițiile politicilor și procedurilor, ei nu se mai întreabă: „Ce sunt politicile și procedurile?”și treceți mai departe,” de ce trebuie să scriu politici și proceduri?”Managementul întreprinderilor mici are, în general, același set de obiecții cu privire la scrierea unui set de politici și proceduri, toate legate de dificultate, cultura companiei și restricții de timp. Dar, să ne amintim: beneficiile depășesc durerea politicilor și procedurilor. Scopul politicilor și procedurilor este mult mai mare decât scrierea unor reguli. Explicația mea despre aceste beneficii sună de obicei așa:
„dar este foarte greu!”Ei bine, da … dar nu. Majoritatea companiilor fără politici și proceduri mature funcționează destul de bine sau nu ar mai fi în afaceri. Este cu siguranță mai ușor să definiți securitatea de la bun început, dar asta nu înseamnă că nu poate fi ușor să începeți cu ceea ce faceți acum și apoi să o rafinați mai târziu.
uneori, obiecția reală nu este la cât de dificil este să scrii politici și proceduri, ci cât de speriați sunt majoritatea oamenilor că vor scrie cum fac lucrurile greșit. Începeți cu locul în care vă aflați, apoi fiți realiști cu privire la locul în care mergeți. Este posibil să nu fiți la curent cu cele mai bune practici în anumite domenii, dar dacă lăsați această jenă să vă împiedice să stabiliți politici pe hârtie, atunci pierdeți punctul. Știind exact ceea ce faci acum este modul în care îți dai seama ce ar trebui să faci mâine. Este modul în care puteți pune împreună un buget real, identifica riscurile reale pentru întreprindere, și modul în care puteți răspunde în mod eficient atunci când ceva nu merge bine.
indiciul unui auditor: dacă practica dvs. nu este „corectă”, dar sunteți sincer în legătură cu aceasta, este mult mai puțin o problemă decât dacă nu aveți nimic scris deloc.
” dar îmi va schimba compania!”Poate că va fi. Nu te voi minți – scriind totul, punând mâna pe procese formale și stabilind așteptări te obligă să sacrifici o anumită flexibilitate. Aceste adăugiri suplimentare adaugă un pic de cheltuieli generale și pot duce la modificări necesare structurii corporative, culturii companiei, conductei de venituri sau proceselor „informale, dar foarte bune” pentru a susține cerințele pe care le-ați stabilit. În funcție de structura existentă, puteți descoperi chiar că aveți nevoie de personal suplimentar pentru a gestiona noi responsabilități sau unele procese s-ar putea mișca puțin mai lent.
de exemplu, cu noile politici și proceduri implementate, inginerul dvs. de rețea trebuie acum să semneze managementul pentru o modificare a firewall-ului. Este posibil ca personalul dvs. să nu poată ridica telefonul și să obțină o nouă permisiune pentru o parte suplimentară a rețelei. Asta va adăuga ceva timp și poate chiar o mică frustrare procesului, nu? Pe de altă parte, cât de mult ați pierde dacă ați pierdut persoana care a înțeles exact de ce firewall-ul dvs. este configurat așa cum este? Fără a scrie aceste procese, creați vulnerabilități masive. Oameni, instruire, standarde, aplicații – cât valorează acel pic de cheltuieli generale dacă vă asigură că aveți un mâner asupra a ceea ce se întâmplă în interiorul companiei, rețelelor și întreprinderii dvs.?
puteți atenua oarecum schimbarea, deși, scriind cultura companiei dvs. în politicile și procedurile dvs. Nicăieri nu este scris că politicile și procedurile trebuie să fie documente oribil formale, plictisitoare de citit, pline de legalitate și durere. Care sunt lucrurile care îi fac pe oameni să-și dorească să lucreze acolo? Adaptați politicile și procedurile la cultura companiei dvs., la afacerea dvs. și la modul în care interacționează oamenii dvs. Acest lucru va reduce la minimum dificultățile de implementare a acestora și va ajuta la păstrarea a ceea ce face organizația dvs. unică.
” dar nu este timp!”Acesta este argumentul cel mai valid. Într-o lume a personalului slab, a schimbării rapide și a accentului pe a face multe cu puțin, găsirea timpului pentru guvernare poate fi extrem de dificilă. Cu asta said…it nu contează. Vă pot înmâna cartea de management după cartea de management, eseu după eseu, hârtie albă după hârtie albă, totul despre modul în care politicile și procedurile definite vă vor îmbunătăți afacerea la fiecare nivel dacă urmați procesul. Pur și simplu nu puteți trece niciun audit formal fără ele. Timp pentru a face munca și documentul politicile și procedurile trebuie să fie găsit.
dacă vă puteți angaja să vă puneți politicile în aplicare și să le aplicați, veți fi șocați de câștigul pe termen scurt în ceea ce privește cât de ușor devine un audit și chiar mai șocați de avantajele pe termen lung pe care le obțineți. Operațiunile dvs. vor fi mai puțin stresante, oamenii dvs. vor avea mai multă direcție și, dacă sunt făcuți bine, veți ști în sfârșit exact ce gestionați și de ce.
avantajele depășesc durerea politicilor și procedurilor. Angajarea în proces are beneficii serioase. Organizația dvs. consideră politicile și procedurile mature ca un rău necesar? Înțelegeți scopul politicilor și procedurilor? Ce obstacole a găsit organizația dvs. atunci când elaborează sau implementează politici și proceduri? Cum ați construit în timp să se angajeze la aplicarea politicilor și procedurilor?
despre Shannon Lane
Shannon Lane are peste 20 de ani de experiență în servicii de informații, inclusiv IT de asistență medicală, extrapolarea datelor din comerțul electronic, administrarea rețelei, Administrarea Bazelor de date și activitatea de audit extern. Lane servește acum ca Auditor de securitate a informațiilor la KirkpatrickPrice, reprezintă KirkpatrickPrice în Consiliul de evaluare HITRUST CSF din 2018 și deține certificările CISSP, CISA, QSA, MSDBA și CCSFP.