IT-sikkerhetspolicyer: Hvorfor fungerer de ikke alltid

Jeg En klient ba meg delta på et møte. Jeg sa sikkert og spurte hva det handlet om. Klienten sa at de ville revidere IT-sikkerhetspolitikken. Det er bra; vi visste begge at det var noen problemer med det. Administrerende direktør visste også at det var kritisk å få kjøp fra alle, og hun regnet med at det ville være en kamp på bakken.

Resultatene

Overraskende nok gikk møtet ganske bra. Administrerende direktør forklarte situasjonen, og alle kom på jobb. Gruppen var kort sagt enig i at de fleste spørsmål med sikkerhetspolitikken skyldtes tre årsaker.

1: Politikken var vag

De fleste IT-sikkerhetspolicyer som jeg har lest, er ikke veldig tydelige, og dermed helt ubrukelige for ansatte. For eksempel uttaler selskapets IT-sikkerhetspolitikk at applikasjoner i sosiale nettverk ikke er tillatt.

Under møtet spurte jeg noen ansatte om bruken av direktemeldinger (IM). I tillegg til at de følte at de ikke misbrukte selskapets retningslinjer, nevnte alle hvordan IM gjorde jobben deres så mye enklere. Ingen så et problem.

Det bekreftet uklarhet i sikkerhetsplanen. I gruppen som ønsket å eliminere enhver tvetydighet, kom gruppen med følgende endringer:

  • Hvis visse programmer eller tjenester er forbudt, må du spesifikt nevne hvilke i sikkerhetspolitikken og kommunisere den til alle ansatte.
  • Gå tilbake i sikkerhetspolitikken med jevne mellomrom. Hvis det er behov, kan du endre policy for å imøtekomme dagens forretningsbehov.
  • Teknisk forhindre at forbudte applikasjoner fungerer i stedet for å stole på brukerutdanning.
2: Sikkerhet kontra produktivitet

Sikkerhet og produktivitet er polare motsetninger. Det beste noen kan håpe på er en hyggelig midtbane. Under møtet var det veldig tydelig at det var mer som et ingenmannsland.

IT-personell gjorde jobben sin slik de forsto det. Noen sikkerhetspraksis tilla betydelig produksjonsprosess, men i deres øyne var det akseptabelt. Anleggssjefen var uenig. Å øke produksjonen og redusere kostnadene var avgjørende for at selskapet fortsatt skal lykkes.

Hvem har rett? Jeg vil ikke si noe av det. Uansett er en torvkrig dårlig for alle. Under konsernsjefets vakre øye, arbeidet begge sider sammen for å lage en strategi som skulle forbedre sikkerheten, øke produksjonen og redusere overheadkostnadene. Nå er det en hyggelig midtvei.

3: Politikken gjelder for alle

Jeg syntes det var interessant, diskusjonen om sikkerhetspolitikken gjelder alle eller ikke. Noen ansatte følte faktisk at sikkerhetspolitikken ikke gjaldt dem. Administrerende direktør la saken raskt til ro, gjør det. Konsernsjefen påpekte klokt at hvis det er et problem, kan du gå tilbake til policyen og se om den må endres.

Siste tanker

Min klient gjennomgikk en smertefull, men gunstig oppdagelsesprosess. Jeg trodde at det å dele det de lærte kan bidra til å gjøre det lettere for andre.

© Copyright 2020 | mobilegn.com