under hela min karriär har jag haft den fantastiska erfarenheten av att arbeta med småföretag som är nya för tanken på att bli granskade.
jag har sett organisationer på alla nivåer av beredskap, från ” Vi har det här, vi är beredda ”till” varför är det så svårt?”Det förvånar mig fortfarande att de tuffaste revisionerna alltid är en funktion av samma problem: policyer och förfaranden.
i världen av informationssäkerhet är policyer och förfaranden bättre än guld. De är viktigare än dina trådlösa säkerhetsnycklar, viktigare än din VD: s parkeringsplats. De är faktiskt så viktiga att varje större ram har minst en hel sektion som helt ägnas åt det papper som ligger till grund för din verksamhet.
PCI DSS har Avsnitt 12, SOC 2-ramverket har styrning och efterlevnad som ett helt kvartal av sina revisionsmål, och HIPAA-förordningarna har ett helt underavsnitt som ägnas åt politik.
du får tanken, eller hur? Policyer och förfaranden är avgörande. Men … vad är de?
Vad är policyer och procedurer?
i informationssäkerhetsbranschen hänvisar policyer och procedurer till dokumentationen som beskriver hur ditt företag drivs. En policy är en uppsättning regler eller riktlinjer för din organisation och anställda att följa i eller för att uppnå efterlevnad. Policyer svarar på frågor om vad anställda gör och varför de gör det. Ett förfarande är instruktionerna om hur en policy följs. Förfaranden är steg-för-steg-instruktioner för hur politik ska uppnås. En policy definierar en regel, och förfarandet definierar vem som förväntas göra det och hur de förväntas göra det.
Vad är en policy?
en policy är en uppsättning regler eller riktlinjer för din organisation och anställda att följa i eller för att uppnå ett specifikt mål (dvs. efterlevnad).
en effektiv policy bör beskriva vad anställda måste göra eller inte göra, anvisningar, gränser, principer och vägledning för beslutsfattande. Policyer svarar på frågor som: vad? Varför?
Vad är ett förfarande?
ett förfarande är motsvarigheten till en policy; det är instruktionen om hur en politik följs.
det är steg-för-steg-instruktionen för hur de policyer som beskrivs ovan ska uppnås. En policy definierar en regel, och förfarandet definierar vem som förväntas göra det och hur de förväntas göra det. Förfaranden svara på frågor som: hur? När? Var?
varför dokumenterade policyer, procedurer och protokoll är nödvändiga?
alltför många företag ser policyer och förfaranden som ett nödvändigt ont, utan att överväga deras syfte. Det handlar inte om bästa praxis eller att bli en själlös företagsenhet; syftet med policyer och rutiner är att förklara vad ledningen vill ha hänt och hur det händer.
jag har kommit att tro att den primära skillnaden mellan ett litet och medelstort företag inte finns i att kvantifiera ett företags mognad med intäkter eller antal anställda, utan snarare huruvida ledningen har tagit tid att utveckla, genomföra och upprätthålla policyer och förfaranden.
hittills har jag inte varit besviken i denna definition; företag med mogna policyer, förfaranden och system är lättare att granska, har en bättre förståelse för deras säkerhetsställning och risk och verkar i allmänhet bara fungera mycket mer hållbart än de som inte har lagt stor vikt vid styrning.
syftet med policyer och procedurer vs. smärtan av policyer och procedurer
efter att ledningen förstår definitionerna av policyer och procedurer slutar de fråga, ”Vad är policyer och procedurer?”och gå vidare,” varför måste jag skriva policyer och förfaranden?”Småföretagets ledning har i allmänhet samma uppsättning invändningar mot att skriva ner en uppsättning policyer och förfaranden, alla relaterade till svårigheter, företagskultur och tidsbegränsningar. Men låt oss komma ihåg: fördelarna uppväger smärtan i policyer och förfaranden. Syftet med policyer och förfaranden är så mycket större än att skriva ner några regler. Min förklaring av dessa fördelar låter vanligtvis något så här:
”men det är verkligen svårt!”Tja, Ja … men nej. De flesta företag utan mogna policyer och förfaranden fungerar ganska bra eller de skulle fortfarande inte vara i affärer. Det är säkert lättare att definiera säkerhet från början, men det betyder inte att det inte kan vara lätt att börja med vad du gör nu och sedan förfina det senare.
ibland är den verkliga invändningen inte hur svårt det är att skriva ner policyer och förfaranden, men hur rädda de flesta är att de kommer att skriva skriftligt hur de gör saker fel. Börja med var du är, var sedan realistisk om vart du ska. Du kanske inte uppfyller standarden för bästa praxis på vissa områden, men om du låter den förlägenhet hindra dig från att ställa in policyer på papper, saknar du poängen. Att veta exakt vad du gör nu är hur du räknar ut vad du borde göra imorgon. Det är hur du kan sätta ihop en riktig budget, identifiera verkliga risker för företaget och hur du kan reagera effektivt när något går fel.
en revisors tips: om din övning inte är ”korrekt”, men du är ärlig om det, är det mycket mindre problem än om du inte har något skrivet alls.
” men det kommer att förändra mitt företag!”Kanske kommer det. Jag kommer inte att ljuga för dig – skriva ner allt, lägga händerna på formella processer och ställa förväntningar tvingar dig att offra viss flexibilitet. Dessa extra tillägg lägger till lite omkostnader och kan leda till nödvändiga förändringar i företagets struktur, företagskultur, intäktsrörledning eller ”informella men riktigt bra” processer för att stödja de krav du har lagt ut. Beroende på din befintliga struktur kan du till och med upptäcka att du behöver lite extra personal för att hantera nya ansvarsområden, eller vissa processer kan gå lite långsammare.
till exempel, med nya policyer och procedurer implementerade, måste din nätverksingenjör nu ha ledningen logga ut på en brandväggsändring. Din personal kanske inte bara kan hämta telefonen och få ett nytt tillstånd till ytterligare en del av nätverket. Det kommer att lägga till lite tid och kanske till och med lite frustration i processen, eller hur? Å andra sidan, hur mycket skulle du förlora om du förlorade personen som förstod exakt varför din brandvägg är inställd som den är? Utan att skriva ner dessa processer skapar du massiva sårbarheter. Människor, utbildning, standarder, applikationer – hur mycket är det lite omkostnader värt om det säkerställer att du har ett handtag på vad som händer inom ditt företag, dina nätverk och ditt företag?
du kan dock mildra förändringen något genom att skriva din företagskultur i dina policyer och rutiner. Ingenstans är det skrivet att policyer och förfaranden måste vara hemskt formella, tråkiga att läsa dokument fyllda med legalese och smärta. Vilka är de saker som gör att människor vill arbeta där? Anpassa dina policyer och rutiner till din företagskultur, ditt företag och hur dina medarbetare interagerar. Detta minimerar svårigheterna med att implementera dem och hjälper till att bevara det som gör din organisation unik.
” men det finns ingen tid!”Detta är det mest giltiga argumentet. I en värld av mager personal, snabb vändning och betoning på att göra mycket med lite kan det vara extremt svårt att hitta tid för styrning. Med det said…it det spelar ingen roll. Jag kan lämna dig förvaltningsbok efter förvaltningsbok, uppsats efter uppsats, vitbok efter vitbok, allt om hur definierade policyer och rutiner kommer att förbättra ditt företag på alla nivåer om du följer processen. Du kan helt enkelt inte klara någon formell revision utan dem. Tiden att göra arbetet och dokumentera dina policyer och rutiner måste hittas.
om du kan åta dig att få din politik på plats och genomdriva dem, kommer du att bli chockad över den kortsiktiga vinsten i hur lätt en revision blir, och ännu mer chockad över de långsiktiga fördelarna du får. Din verksamhet kommer att bli mindre stressande, ditt folk kommer att ha mer riktning och, om det görs bra, du äntligen vet exakt vad det är du hanterar och varför.
fördelarna uppväger smärtan av politik och förfaranden. Att engagera sig i processen har allvarliga fördelar. Ser din organisation mogna policyer och rutiner som ett nödvändigt ont? Förstår du syftet med policyer och rutiner? Vilka hinder har din organisation hittat när du utvecklar eller implementerar policyer och rutiner? Hur har du byggt in tiden för att åta dig att tillämpa policyer och förfaranden?
om Shannon Lane
Shannon Lane har över 20 års erfarenhet av informationstjänster, inklusive sjukvård IT, e-handel data extrapolering, nätverksadministration, databasadministration och externt revisionsarbete. Lane fungerar nu som Informationssäkerhetsrevisor på KirkpatrickPrice, representerar KirkpatrickPrice på 2018 HITRUST CSF Assessor Council och innehar CISSP, CISA, QSA, MSDBA och CCSFP-certifieringar.