Indholdsfortegnelse
Vi har brugt forbedringskataer til at forbedre vores processer. Vi skrev en uddybende blog om det, men essensen er, at man forbedrer en proces ved at foretage små, fokuserede ændringer og måle, om man er kommet tættere på sit mål. Måling er afgørende i denne proces; hvis du ikke måler, ved du ikke, om der er noget, der skal forbedres, eller om dine ændringer var effektive. Heldigvis er det relativt ligetil at finde ud af, hvad man skal måle ... normalt.
Hvorfor sikkerhed?
Lad os skifte fokus til sikkerhed. Sikkerhed er vigtigt. Det ved vi alle sammen. Vi vil ikke have, at dit navn og din adresse bliver delt på internettet, og vi vil ikke have, at du mister dine eksamensresultater. Mere sikkerhed er bedre. Men mere sikkerhed er ikke nødvendigvis mere sikker. Hvis vi satte en alarm på alt, hvad der kan gå galt, og overvågede hver eneste bevægelse på vores systemer, ville vi drukne i distraherende notifikationer. Vi ville ikke have tid til at arbejde med noget andet. Så vi er nødt til at vælge, hvad vi vil gøre. Vi er nødt til at måle sikkerheden, hvis vi vil forbedre vores sikkerhedsprocesser. Men hvordan måler man sikkerhed?
Måder at måle sikkerhed på
Sikkerhed er ikke så ligetil at måle, især ikke inden for en kort tidsramme. I nogle processer kan man måle den tid, det tager for en bruger at udføre en bestemt opgave på en webside, eller man kan tælle antallet af spørgsmål om et bestemt emne. Derefter kan man foretage ændringer og måle igen for at se, hvordan tallene har ændret sig. Men når det gælder sikkerhedsprocesser, er der simpelthen ikke nok flow gennem processen. Vi kan f.eks. ikke få meningsfulde målinger ud fra antallet af databrud. Vi kan ikke forbedre os fra 0, og at vi ikke har nogen databrud betyder ikke, at der ikke er mulighed for databrud, hvilket er en af de ting, vi er interesserede i. Så vi er nødt til at tænke på andre måder.
Optælling af sikkerhedsproblemer
Lad os se det i øjnene: Der findes ikke noget digitalt system uden sikkerhedsproblemer. Især ikke et system, der hele tiden ændrer sig. Når disse problemer findes, skal de rapporteres. Det er alle rapporter om sikkerhedsproblemer i et system, fra tilgængelige data, hvor de ikke burde være, til nogen, der har mistet deres nøgle til kontoret. En måde at måle på er ved at tælle disse sikkerhedsproblemer.
Denne måling kan være meget nyttig, men den kan også være meget vildledende. At have færre problemer betyder ikke nødvendigvis, at der er færre problemer, kun at man kan finde færre. Det er ligesom skattejagt; hvis du ikke graver i sandet, finder du ikke noget interessant, men du kan ikke sige, at der ikke er nogen skat. At øge antallet af sikkerhedsrapporter betyder på en måde, at vi får et bedre overblik over vores sikkerhedstilstand. Det kan være et vigtigt mål, men det er ikke måden at måle sikkerhed på.
Overholdelse af love og regler
I stedet for at måle bliver sikkerhed ofte vurderet ud fra specifikke standarder. I EU er det normalt GDPR, den strengeste sikkerhedslov i verden. Den beskriver regler for, hvordan man håndterer forskellige typer data. Det giver et grundlæggende niveau af sikkerhed og ansvarlighed, især med hensyn til misbrug af data.
Det er selvfølgelig vigtigt. Hvis du har GDPR-problemer, skal de løses. Ikke kun af juridiske årsager, men fordi vi bekymrer os om vores kunders sikkerhed. Vi er GDPR-compliant og vil forblive compliant. Men igen, det er en baseline, hvorefter der stadig er en masse fleksibilitet og mulighed for sikkerhedsproblemer.
Risikovurderinger
For et stykke tid siden begyndte vi at se nærmere på ISO 27001-standarden. Standarden beskriver en måde at arbejde med et Information Security Management System (ISMS) på for at overvåge og behandle informationssikkerhed. Så vi begyndte at arbejde på dette ISMS, fordi det ville give os en bedre ramme for at se, hvordan vi klarer os med hensyn til sikkerhed.
Som en del af ISMS begyndte vi at lave sikkerhedsrisikovurderinger. På et risikovurderingsmøde diskuterer vi en lang liste over mulige sikkerhedsrisici med en gruppe medarbejdere fra forskellige afdelinger; en softwareingeniør, CTO'en og den databeskyttelsesansvarlige. For hver risiko giver vi en vurdering af sandsynligheden for, at den indtræffer, og af konsekvenserne, hvis den indtræffer. Det giver os en liste over forskellige mulige problemer, som skal forebygges eller afhjælpes, sorteret efter deres eksponering, en kombination af sandsynlighed og effekt.
Det kan minde meget om at tælle sikkerhedsproblemer, men der er nogle interessante forskelle:
De har en eksponeringsvurdering, der hjælper os med at vælge, hvad vi skal tackle for at få den største effekt;
Den næste risikovurdering har den samme liste over risici, hvilket betyder, at vi kan sammenligne udviklingen i risikoeksponeringen i stedet for antallet af dem.
Det gør målingerne fra risikovurderingerne meget nemmere. Vi har nu en struktureret måde at se på sikkerheden i Easy LMS. Vi udfylder risikovurderingen med den viden, vi får fra rapporter om sikkerhedsproblemer og vores daglige observationer, og så forbedrer vi et skridt ad gangen.
Certificering
Der er et problem med at måle ud fra risikovurderingen: Den er måske ikke helt objektiv. Vi kan kun rapportere, hvad vi ser, og vurdere dem ud fra vores egne erfaringer og tanker om emnet. Det skaber dybest set en boble med det, vi ved, og det, vi arbejder med, men det viser os ikke, hvad der er uden for boblen.
Derfor besluttede vi at fortsætte med ISO 27001-standarden som helhed, som også beskriver en proces for certificering. En ekstern part vil bedømme os på vores implementering af sikkerhedsforanstaltninger og ISMS; dybest set et tjek for at se, om andre er enige i, at vi er der, hvor vi tror, vi er.
Så vi arbejder hårdt på at gøre os klar til denne certificeringsproces, og vi håber at kunne kalde os ISO 27001-certificerede et sted i 2023!
Hvordan vi implementerer sikkerhedsforanstaltninger, der holder
Nu har vi en proces til at forbedre vores sikkerhed. Vi har udvalgt de ting, vi skal forbedre, og er begyndt at implementere dem i vores virksomhed. Men vi er ikke helt i mål endnu. Vi skal også sikre os, at implementeringen bliver en succes.
Sagen er, at alle ved, at sikkerhed er vigtigt, men folk bryder sig faktisk ikke om at arbejde med det. Det kan hurtigt blive som med skat; det skal gøres, men det er en irriterende opgave. Hvordan sikrer vi, at det ikke bliver et problem?
Fjernelse af forhindringer
Den største grund til, at sikkerhedsforanstaltninger ikke virker, er, at folk arbejder uden om dem. Dette problem ligger hos foranstaltningen, ikke hos menneskerne. Det betyder, at det simpelthen er mere bekvemt at skabe løsninger end rent faktisk at følge reglerne og processerne. Processen har for mange forhindringer, der skal overvindes, og det ligger i vores natur at vælge den mindste modstands vej. Det kan få katastrofale følger.
Et ekstremt eksempel er Bhopal-katastrofen i 1984, hvor flere sikkerhedsforanstaltninger blev forsømt. En by blev oversvømmet med giftig gas, der dræbte tusinder og sårede mere end en halv million mennesker. Selvfølgelig ville sikkerhedshændelser på Easy LMS ikke have disse ekstreme effekter, men det viser, hvor let sikkerhedsforanstaltninger kan omgås på trods af de mulige konsekvenser.
Det er bedst at gøre det så enkelt som muligt at følge sikkerhedsprocedurerne. Mere specifikt skal du forsøge at gøre det lettere end at omgå foranstaltningerne. Der kan være nogle ekstra skridt, der skal tages af sikkerhedshensyn, men ikke for mange. Der bør ikke være ekstra ventetid. Sikkerhedsprocedurer bør ikke forhindre dine medarbejdere i at udføre deres arbejde; de bør vejlede dem i, hvordan de kan gøre det mere sikkert.
Sikkerhedsprocedurer bør ikke forhindre dine medarbejdere i at udføre deres arbejde; de bør vejlede dem i, hvordan de kan gøre det mere sikkert.
Lad os tage et eksempel med rapportering af et sikkerhedsproblem. Lad os sige, at det skal gøres via et brugerdefineret arkiveringssystem, hvor der skal søges efter og udfyldes mange detaljer, hvoraf de fleste alligevel ikke bliver brugt, hvilket koster medarbejderen 15 minutter af deres tid. Det kan måske bruges i begyndelsen, men det er ikke bæredygtigt. Det er nemmere at gøre det senere og glemme alt om det. Tag nu et andet system, hvor en medarbejder kan sende en simpel besked på Slack med en kort beskrivelse af problemet, og så bliver det håndteret. Der er stadig nogle trin for medarbejderen, men det er meget nemt og kræver ikke megen indsats. Måske endnu vigtigere er det, at medarbejderen ikke længere er ansvarlig for at løse det. De sender beskeden og kan fortsætte med deres dag, hvilket er meget nemmere end at håndtere de uundgåelige konsekvenser af en sikkerhedshændelse. Så i stedet for at tvinge folk til at arbejde ineffektivt og derefter bebrejde dem for at begå fejl, ser man på, hvad der er ineffektivt ved det, og så forbedrer man det, så det bliver nemmere.
Selvfølgelig er der skridt at tage for at være mere sikker, men forhindringer på vejen for dine medarbejdere gør deres arbejde unødigt sværere. Mange af disse forhindringer kan fjernes ved hjælp af automatisering eller simpel uddelegering af opgaver.
Sikkerhed for mennesker
Vi har før talt om sikkerhed for mennesker i forbindelse med at begå fejl. Vi kan også anvende dette på sikkerhed. Folk skal kunne tale om sikkerhed, nævne sikkerhedsproblemer og korrigere hinandens adfærd uden negative konsekvenser. Hvis medarbejderne føler, at de ikke kan tale om sikkerhed, eller de ikke ved, hvor de skal gøre det, vil sikkerhedsforanstaltningerne udgøre en hindring for dem. Medarbejderne har alle deres egen ekspertise og erfaring inden for deres domæne, så de ved, hvad de arbejder med.
Folk skal kunne tale om sikkerhed, nævne sikkerhedsproblemer og korrigere hinandens adfærd uden negative konsekvenser.
De kan hjælpe ved at foreslå foranstaltninger til specifikke sikkerhedsproblemer, de kan give feedback på allerede gennemførte foranstaltninger, og de kan underrette dig om forhindringer på deres vej. Så da vi hørte, at nogen havde mistet deres nøgler, eller at papirarbejdet med at arrangere et interview med en klient var for stort, blev vi ikke vrede eller afvisende. Vi var glade for, at de kom til os med disse oplysninger. Hvis du ikke behandler denne feedback som værdifuld, eller hvis du ikke gør noget ved den, mister du dine medarbejderes interesse i at arbejde sikkert.
Bliv ved med at forbedre dig
Vi har allerede talt om at forbedre vores informationssikkerhed, men det er lige så vigtigt at blive ved med at forbedre sikkerhedsprocesserne for vores medarbejdere. Hvis du ikke aktivt lytter til dine medarbejdere og ændrer det, der ikke fungerer, vil sikkerhedsforanstaltningerne til sidst holde op med at fungere. Medarbejderne vil, ligesom virksomheden selv, blive ved med at ændre sig. Easy LMS vil blive ved med at ændre sig, og det samme vil vores sikkerhedsprocedurer, ikke bare for at gøre dem bedre, men for at gøre dem nemmere.
Se mere i vores blogs
Caroline
Vores sekundære beskæftigelsesfordele forklaret
Lønnen er vigtig, når du vælger job, men lad os ikke glemme de frynsegoder, der følger med. De sekundære fordele kan virkelig forsøde aftalen! Og vi mener, at vi har sammensat en fantastisk pakke. Dyk ned i alle vores vidunderlige ekstraydelser!
Læs mere
Caroline
Arbejde og trivsel!
Det er givende at arbejde hos Easy LMS! Naturligvis betaler vi en konkurrencedygtig løn, befordring og tilskud til home office samt tilbyder 25 feriedage om året! Derudover er vi stolte af at kunne tilbyde dig fordele, som får dig til at føle dig veltilpas og til at yde dit bedste. Dit velbefindende, fysisk og psykisk er højeste prioritet! Det er det, fordi vores medarbejdere er rygraden i vores organisation.
Læs mere
Caroline
Din første måned
Når du har fået nyt arbejde, er du ivrig efter at komme i gang! På samme tid er der en sund dosis af nervøsitet. Hvad venter dig? Hvordan vil dine første uger se ud? Og hvor hurtig kan du rent faktisk tilføre værdi? Det sidste er vores fokus. Vores onboarding for softwareingeniører er klar og tydelig og vil hjælpe dig med at lære vores virksomhed at kende, dine kolleger samt introducerer dig til dine opgaver på ingen tid! Oplev, hvordan vi giver dig en kickstart!
Læs mere