Om Globeteam

Dokumentation af informationssikkerheden – hvordan gør man det?

Der findes i dag flere dokumentationsværktøjer til smart beskrivelse af organisationens sikkerhedspolitik, overholdelse af ISO27k og EU’s regler mv. Hør om erfaringerne med og mulighederne i et af disse værktøjer. Artiklen er den fjerde og sidste artikel i Globeteams føljeton om databeskyttelse og informationssikkerhed og er skrevet af Carsten Beck.

Som tidligere nævnt i vores artikelserie er offentlige organisationer i Danmark underlagt kravet om at implementere ISO 27001 – og nu er mange offentlige og private virksomheder også nødsaget til at opbygge et ordentligt og grundigt sikkerheds-setup pga. EU-lovgivningen omkring sikring af persondata.

Ligegyldigt om det er de ovennævnte forordninger eller andre sikkerhedsprocesser der implementeres, vil det i sidste ende betyde, at den enkelte medarbejder skal ændre adfærd. Spørgsmålet er, hvilke virkemidler der skal til for at sikre denne adfærdsændring, og specielt hvilke barrierer der skal fjernes for at lykkes?

I en af de tidligere artikler i vores føljeton om informationssikkerhed skrev vi en del om den ledelsesmæssige forankring. Et af de mest effektive ledelsesværktøjer til at etablere en sådan ledelsesmæssig forankring er anvendelsen af et såkaldt procesværktøj. Og i konkrete projekter det seneste år har vi set, at netop procesværktøjet var en afgørende driver i implementeringen af nye sikkerhedsprocesser.

Mange har nok oplevet etablering af ”war rooms”, hvor væggene er blevet dekoreret med store flotte proceslandskaber ud fra de bedste intentioner, men når så det kommer til forankring og drift, er det ofte mindre vellykket. Det er her et enkelt og effektivt procesdokumentationsværktøj kan komme til undsætning – og kan give din informationssikkerhedsproces et løft og et link mellem politikker og virkelighed.

For at sikre ejerskab og dyb forankring af processer bør man som minimum forlange en række basale egenskaber af et procesdokumentationsværktøj:

Det skal være et fleksibelt system, hvor systemets anvendelse skal afspejle virksomheden virkelighed, så systemets begrænsninger ikke påvirker virksomhedens processer. Systemet skal løbende sikre proceslandskabets konsistens, indholdet skal kunne kommunikeres til alle på en enkelt måde, det skal være let at operere og vedligeholde, så det hele tiden tilpasser sig diverse interne og eksterne krav.

Er værktøjet endvidere i stand til at understøtte en optimal metamodel for Procesdesignet vil man opleve, at medarbejderne får en rigtig god procesforståelse, et højt engagement, tager ejerskab og løbende sikrer, at ”best practice” implementeres, samtidigt med at man kan håndtere og dokumentere compliance i forhold til fx Persondataforordningen. Neden for vil vi beskrive, hvorledes et godt procesværktøj kan hjælpe din organisation i forhold til mange af de fremhævede temaer – procesforståelse, engagement, ejerskab og best practice, vedligehold

Procesforståelse

I de glade 80ere var Janne Carlsons pixiebøger i SAS et godt værktøj til at gennemføre Changeprocessen – det samme kan være et af virkemidlerne her. Benyttes et procesværktøj der på en enkelt måde formår at visualisere ”de røde tråde” fra de overordnede strategiske sikkerhedspolitikker og ”ned” til processerne og opgaverne i den enkelte medarbejders hverdag, giver det medarbejderen en klar fornemmelse af, hvor han/hun passer ind og kan bidrage med værdi til informationssikkerhedsprocessen.

De færreste procesværktøjer kan vise sammenhængen fra en overordnet politik helt ned på ”hvad betyder det for mig i min dagligdag”. Globeteam benytter værktøjet ChangeDriver, som opfylder alle ovenstående krav. Det seneste år har vi anvendt værktøjet hos en offentlig kunde til at skabe et klart billede for alle i organisationen af koblingen mellem ISO27001-standardens krav, de overordnede sikkerhedspolitikker og helt ned til de konkrete daglige IT-driftsprocesser. Både ledelse og medarbejdere ved nu, og kan dokumentere, hvordan de overordnede krav realiseres i den virkelige verden. Samme værktøj kan anvendes til at dokumentere, hvorledes EU-forordningens krav er implementeret i udviklingsprocesser mv.

Helt konkret og praktisk har organisationen defineret en overordnet IT-sikkerhedspolitik, der afføder en række risici med dertil afledte regler/controls. Disse relateres så i værktøjet til de enkelte processer og aktiviteter. Dette link viser sig så i medarbejderens personlige processtillingsbeskrivelse på Need to know basis. Dette giver medarbejderen et operationelt overblik over, præcist hvad der forventes af vedkommende for at leve op til feks. Persondataforordningen.

Engagement

Involveres medarbejderne ikke i skabelsen af proceslandskabet, kan man heller ikke forvente de står på mål for det. Medarbejderne skal have mulighed for at videndele og hurtigt kunne bidrage til proceslandskabet. Det er derfor vigtigt, at et procesværktøj er effektivt og enkelt, når processerne skal skitseres og gerne med faciliteter medarbejderne kender i forvejen f.eks. Office-pakker (Visio, Word og Excel).

I praksis sikrer man dette engagement ved afholdelse af workshops, hvor processerne skitseres direkte f.eks. i Visio. Herefter publiceres de i en wiki-løsning, således at medarbejderen kan lave opfølgende kvalitetstjek. Ønsker medarbejderen at tilføre rettelser, anvendes feedback funktionalitet til den respektive procesansvarlige. Dette giver indtryk af en effektiv og dynamisk proces hos medarbejderen, hvor medarbejderen oplever værdiinput håndteres hurtigt.

Ejerskab

Procesværktøjet skal via oversigter kunne vise, hvilke relationer og forpligtigelser den enkelte medarbejder har til dele af proceslandskabet. Dette skabes på ”NEED TO KNOW-basis” dvs. kun relevante dele.

I praksis kan med stor fordel arbejde med ”Processtillingsbeskrivelser”, der angiver hvilke overordnede processer, procesdiagrammer, aktiviteter, applikationer osv. medarbejderen er ansvarlig for, og hvad der forventes. Ligeledes kan der eksplicit af proces-og aktivitetsbeskrivelserne fremgå, hvilken adfærd medarbejderen skal udvise for at overholde f.eks. Persondataforordning, ISO standarder osv.

Best Practice – løbende blive hørt

Medarbejderne besidder en kæmpe ressource af viden og erfaring i at drive deres funktion optimalt, som meget gerne skal opsamles. Mange medarbejdere har oplevet, at der ikke eksisterer en struktureret måde at aflevere, behandle og modtage svar på forbedringsforslag, hvorfor ”best practice” ikke bliver implementeret. Problemet er derfor ofte, at organisationen langsomt udvikler forskellige personlige og personafhængige måder at løse opgaverne på, og dermed øger sårbarheden. Oplever medarbejderne et værktøj der på enkel vis sikrer, at deres forslag kan afleveres, evalueres, kommunikeres og implementeres, vil medarbejderen opleve, at det ”nytter noget” at komme med input til processerne og dermed bidrage til virksomhedens ve og vel.

I praksis har jeg har selv med meget stor effekt benyttet denne ”Feedback” facilitet både under opbygningen af proceslandskabet såvel som i den efterfølgende drift. Det kræver selvfølgelig disiplin at følge op på, vurdere og svare afsender tilbage.

Vedligehold – et levende og effektivt proceslandskab

Det er gift for procesarbejdet, at medarbejderne oplever, at proceslandskabet sander til. Her er et effektivt procesværktøj bydende nødvendigt. Værktøjet skal sikre at en rettelse slår igennem over hele linien, dvs. i processer, aktiviteter, processtillingsbeskrivelser, rollebeskrivelser osv., således at proceslandskabet fastholder sin konsistente opbygning.

Vores praktiske erfaringer viser, at hvis systemløsningen er effektiv og smidig, vil selv større virksomheder kunne nøjes med en enkelt person under 20% af arbejdstiden til at tage sig af vedligeholdelse af proceslandskabet, når det først er etableret. Er det besværligt eller uoverskueligt at implementere ændringer, vil den ansvarlige proceseditor meget hurtigt opleve ikke at kunne leve op til medarbejdernes forventninger og se alle de gode intentioner forsvinde i en jungle af beklagelser og negative tilkendegivelser.

Overholdelse af Dataforordningen – Compliance

Har man fået dokumenteret organisationens processer i forhold til EU’s Dataforordning eller ISO 27000 vil det rette værktøj endvidere kunne bistå og være en god hjælp under en auditering. Problemet kan være at bevare overblikket over, hvor og hvordan dataforordningen rammer virksomheden. Man kan selvfølgelig etablere en række større excel-ark, der viser diverse sammenhænge, men risikoen for at de sander til er stor.

Vores erfaring er, at et velfungerende procesværktøj vil kunne vise, hvor f.eks. en specifik regel eller kontrol påvirker organisationen. I den løsning vi har etableret hos en stor offentlig organisation vil man – med få klik – kunne besvare f.eks Rigsrevisionens direkte spørgsmål om, hvor og hvordan persondata sikres mod en specifik defineret risiko, f.eks hacking. Man kan vise eller trække oversigter over regler/controls opsat for berørte systemer, hvilke processer der er omfattet, og hvordan de enkelte aktiviteter i processen udføres. Det hele vises i en wiki-løsning, hvor man linker rundt mellem de forskelige enheder. Procesværktøjet ChangeDrivers omfattende rapportgenerator kan endvidere generere de ønskede snit fra Ledelse, auditor eller medarbejder ned i databasen og visualisere dette på en overskuelig måde.

Med denne artikel afsluttes Globeteams føljeton om informationssikkerhed. Vi håber, at serien af artikler har givet jer et klarere billeder, hvad indholdet af de forskellige standarder og forordninger på området dækker over, hvordan man arbejder med informationssikkerhed og får gennemført omstillingen i praksis, og ikke mindst hvordan man vha. et velegnet procesværktøj kan dokumentere politikkerne og få dem synliggjort for alle i organisationen.

Har du spørgsmål eller ønsker at drøfte udfordringerne i din organisation så kontakt partner Jesper Vraa Nielsen på jvn@globeteam.com eller tlf. 23626962.

Nyheder

Videogalleri-hjemmeside

Nyt videogalleri

Se eller gense Globeteams spændende videocases, faglige indlæg om aktuelle emner og meget mere […]

Koncepter

User profiling metode

Globeteams projektmodel og unikke user profiling metode sammenstiller brugerprofiler med forretningens mål og it-afdelingens behov for teknisk solide og driftsstabile løsninger.
Cases

Brdr. Hartmann – Effektiv Windows 8.1 migrering

Brdr. Hartmann stod overfor at skifte operativsystem fra Windows XP til Windows 8.1 på […]

Globeteam tilbyder ydelser inden for og på tværs af tre hovedområder

Business model

skab sammenhæng mellem it og forretning

Globeteam hjælper dig med at optimere værdien af dine it-løsninger ved at sikre, at de understøtter forretningens

strategi og vision

Optimer og moderniser din
IT-INFRASTRUKTUR 

Globeteam sikrer dig en velfungerende it-infrastruktur, så du opnår en mere stabil drift og øget medarbejdereffektivitet

understøt forretningen med en skræddersyet it-løsning

Globeteam tilbyder assistance til at udvikle eller tilpasse it-løsninger, som møder forretningens specifikke behov


Er du Interesseret i at høre mere?

Navn:

E-mail:

Virksomhed:

Emne :

Optimer din forretning og dine it-investeringer

Er du interesseret i at vide mere om Globeteams ydelser, og hvordan vi kan hjælpe netop din forretning?