Om Globeteam

Dokumentation af informationssikkerheden – hvordan gør man det?

I denne artikel kan du skridt for skridt læse om, hvordan du dokumenterer informationssikkerheden med det rette procesdokumentationsværktøj, og du kan derudover blive inspireret af, hvordan Globeteam har hjulpet Udenrigsministeriet med kortlægning af it-driftsprocesserne. 

Over tid opstår der i enhver virksomhed mange processer og procedurer, og der er mange platforme og systemer at holde styr på. Mange har nok oplevet etablering af ’war rooms’, hvor væggene er blevet dekoreret med store, flotte proceslandskaber ud fra de bedste intentioner, men når så det kommer til forankring og drift, er det ofte mindre vellykket.

Det er her, et enkelt og effektivt procesdokumentationsværktøj til beskrivelse af organisationens sikkerhedspolitik, overholdelse af ISO27001 og EU’s regler m.v. kommer til undsætning – og giver din informationssikkerhedsproces et løft og et link mellem politikker og virkelighed.

 

Compliance – Overholdelse af GDPR

Når du har dokumenteret organisationens processer i forhold til EU’s persondataforordning eller ISO27001, vil det rette værktøj bistå og være en god hjælp under en audit.

Problemet kan være at bevare overblikket over, hvor og hvordan dataforordningen rammer virksomheden. Man kan selvfølgelig etablere en række større excel-ark, der viser diverse sammenhænge, men risikoen for, at de sander til, er stor.

Vores erfaring er, at et velfungerende procesværktøj som f.eks. ChangeDriver vil vise, nøjagtigt hvor en specifik regel eller kontrol påvirker organisationen.

Case

I den løsning, Globeteam har etableret hos Udenrigsministeriet, vil man – med få klik – kunne besvare f.eks. Rigsrevisionens direkte spørgsmål om, hvor og hvordan persondata sikres mod en specifik defineret risiko som f.eks. hacking.

Man kan vise eller trække oversigter over regler/controls opsat for berørte systemer, hvilke processer der er omfattet, og hvordan de enkelte aktiviteter i processen udføres. Det hele vises i en wiki-løsning, hvor man linker rundt mellem de forskellige enheder.

Procesværktøjet ChangeDrivers omfattende rapportgenerator kan endvidere generere de ønskede snit fra ledelse, auditor eller medarbejder ned i databasen og visualisere dette på en overskuelig måde.

Helt konkret og praktisk har organisationen defineret en overordnet it-sikkerhedspolitik, der afføder en række risici med dertil afledte regler/controls. Disse relateres i værktøjet til de enkelte processer og aktiviteter. Dette link viser sig i medarbejdernes personlige processtillingsbeskrivelse på need to know-basis. Det giver medarbejderen et operationelt overblik over, præcis hvad der forventes af vedkommende for at leve op til f.eks. GDPR.

Læs hele casen her

Procesdokumentation step by step

For at sikre ejerskab og dyb forankring af processer bør man som minimum forlange en række basale egenskaber af et procesdokumentationsværktøj:

Procesforståelse
Benyttes et procesværktøj, der på en enkelt måde formår at visualisere de røde tråde fra de overordnede strategiske sikkerhedspolitikker og ned til processerne og opgaverne i den enkelte medarbejders hverdag, giver det medarbejderen en klar fornemmelse af, hvor han/hun passer ind og kan bidrage med værdi til informationssikkerhedsprocessen.
Globeteam benytter værktøjet ChangeDriver, som bl.a. viser sammenhængen fra den overordnede politik helt ned på ’hvad betyder det for mig i min dagligdag’-niveau.

Engagement
Involveres medarbejderne ikke i skabelsen af proceslandskabet, kan man heller ikke forvente, at de står på mål for det. Medarbejderne skal have mulighed for at videndele og hurtigt kunne bidrage til proceslandskabet. Det er derfor vigtigt, at et procesværktøj er effektivt og enkelt, når processerne skal skitseres og gerne med faciliteter, medarbejderne kender i forvejen, f.eks. Office-pakken (Visio, Word og Excel).
I praksis sikrer man dette engagement ved afholdelse af workshops, hvor processerne skitseres direkte f.eks. i Visio. Herefter publiceres de i en wiki-løsning, således at medarbejderen kan lave opfølgende kvalitetstjek. Ønsker medarbejderen at tilføre rettelser, anvendes feedback-funktionalitet til den respektive procesansvarlige. Dette giver indtryk af en effektiv og dynamisk proces hos medarbejderen, hvor værdiinput håndteres hurtigt.

Ejerskab
Procesværktøjet skal via oversigter vise, hvilke relationer og forpligtlser den enkelte medarbejder har til dele af proceslandskabet på ’need to know’-basis.

I praksis kan du med stor fordel arbejde med processtillingsbeskrivelser, der angiver hvilke overordnede processer, procesdiagrammer, aktiviteter, applikationer osv., medarbejderen er ansvarlig for, og hvad der forventes af vedkommende. Ligeledes kan det fremgå eksplicit af proces- og aktivitetsbeskrivelserne, hvilken adfærd medarbejderen skal udvise for at overholde f.eks. GDPR, ISO-standarder osv.

Best practice
Medarbejderne besidder en kæmpe ressource i form af viden og erfaring i at drive deres funktion optimalt. Mange medarbejdere har oplevet, at der ikke eksisterer en struktureret måde at aflevere, behandle og modtage svar på forbedringsforslag, hvorfor best practice ikke bliver implementeret. Problemet er derfor ofte, at organisationen langsomt udvikler forskellige personlige og personafhængige måder at løse opgaverne på, og dermed øges sårbarheden.

Oplever medarbejderne et værktøj, der på enkel vis sikrer, at deres forslag kan afleveres, evalueres, kommunikeres og implementeres, vil de opleve, at det nytter noget at komme med input til processerne og dermed bidrage til virksomhedens ve og vel.

Vedligehold
Det er gift for procesarbejdet, når medarbejderne oplever, at proceslandskabet sander til. Her er et effektivt procesværktøj bydende nødvendigt. Værktøjet skal sikre, at en rettelse slår igennem over hele linjen, dvs. i processer, aktiviteter, processtillingsbeskrivelser, rollebeskrivelser osv., således at proceslandskabet fastholder sin konsistente opbygning.

Vores praktiske erfaringer viser, at hvis systemløsningen er effektiv og smidig, vil selv større virksomheder kunne nøjes med, at en enkelt person anvender mindre end 20 procent af arbejdstiden til at tage sig af vedligeholdelse af proceslandskabet, når det først er etableret.

Er det besværligt eller uoverskueligt at implementere ændringer, vil den ansvarlige proceseditor meget hurtigt opleve ikke at kunne leve op til medarbejdernes forventninger og se alle de gode intentioner forsvinde i en jungle af beklagelser og negative tilkendegivelser.

 

Globeteam tilbyder assistance med både it og forretning hele vejen gennem forløbet fra foranalyse og projektdefinition over kortlægning og løsningsforslag til implementering og drift. Se vores ydelser her.

Vil du vide mere om, hvordan Globeteam klæder din organisation på til GDPR?

Så kontakt:

Jesper Vraa Nielsen
E-mail: jvn@globeteam.com
Mobil: +45 2362 6962

eller

Henrik Gissel Szokody
E-mail: hgs@globeteam.com
Mobil: +45 4245 8797

Kontakt

Jesper Vraa Nielsen
E-mail: jvn@globeteam.com
Mobil: +45 2362 6962

Jesper Vraa Nielsen

eller

Henrik Gissel Szokody
E-mail: hgs@globeteam.com
Mobil: +45 4245 8797

20161121_HenrikGSzokody_4562b

Ydelser

Globeteam tilbyder assistance med både it og forretning hele vejen gennem forløbet fra foranalyse og projektdefinition over kortlægning og løsningsforslag til implementering og drift. Læs hvordan her:

Få vores nyhedsbrev

Hold dig opdateret på din virksomheds digitale muligheder med cases og faglige artikler

Tilmeld

Globeteam tilbyder ydelser inden for og på tværs af tre hovedområder

Business model

skab sammenhæng mellem it og forretning

Globeteam hjælper dig med at optimere værdien af dine it-løsninger ved at sikre, at de understøtter forretningens

strategi og vision

Optimer og moderniser din
IT-INFRASTRUKTUR 

Globeteam sikrer dig en velfungerende it-infrastruktur, så du opnår en mere stabil drift og øget medarbejdereffektivitet

understøt forretningen med en skræddersyet it-løsning

Globeteam tilbyder assistance til at udvikle eller tilpasse it-løsninger, som møder forretningens specifikke behov

Optimer din forretning og dine it-investeringer

Er du interesseret i at vide mere om Globeteams ydelser, og hvordan vi kan hjælpe netop din forretning?