Używamy katas doskonalenia, aby usprawnić nasze procesy. Napisaliśmy szczegółowy blog na ten temat, ale sedno polega na tym, że ulepszasz proces, wprowadzając małe, ukierunkowane zmiany i mierząc, czy zbliżyłeś się do celu. Mierzenie jest niezbędne w tym procesie; jeśli nie mierzysz, nie wiesz, czy jest coś do poprawy lub czy zmiany były skuteczne. Na szczęście znalezienie tego, co należy mierzyć, jest stosunkowo proste... zazwyczaj.
Dlaczego bezpieczeństwo?
Skupmy się na bezpieczeństwie. Bezpieczeństwo jest ważne. Wszyscy o tym wiemy. Nie chcemy, aby Twoje imię i nazwisko oraz adres były udostępniane w Internecie i nie chcemy, abyś stracił wyniki egzaminów. Większe bezpieczeństwo jest lepsze. Ale większe bezpieczeństwo niekoniecznie oznacza większe bezpieczeństwo. Gdybyśmy włączyli alarm na wszystko, co może pójść źle i monitorowali każdy ruch w naszych systemach, utonęlibyśmy w rozpraszających powiadomieniach. Nie mielibyśmy czasu pracować nad niczym innym. Musimy więc wybrać, co robić. Musimy mierzyć bezpieczeństwo, jeśli chcemy poprawić nasze procesy bezpieczeństwa. Ale jak mierzyć bezpieczeństwo?
Sposoby pomiaru bezpieczeństwa
Bezpieczeństwo nie jest łatwe do zmierzenia, zwłaszcza w krótkich ramach czasowych. W przypadku niektórych procesów można zmierzyć czas potrzebny użytkownikowi na wykonanie określonego zadania na stronie internetowej lub zliczyć liczbę pytań dotyczących określonego tematu. Następnie można wprowadzić zmiany i ponownie zmierzyć, aby zobaczyć, jak zmieniły się liczby. Ale w przypadku procesów bezpieczeństwa po prostu nie ma wystarczającego przepływu przez proces. Na przykład, nie możemy uzyskać znaczących pomiarów na podstawie liczby naruszeń danych. Nie możemy poprawić się od 0, a brak naruszeń danych nie oznacza, że nie ma możliwości ich wystąpienia, co jest jedną z rzeczy, które nas interesują. Musimy więc pomyśleć o innych sposobach.
Liczenie kwestii bezpieczeństwa
Spójrzmy prawdzie w oczy, nie ma systemu cyfrowego bez żadnych kwestii bezpieczeństwa. Zwłaszcza system, który ciągle się zmienia. Gdy takie problemy zostaną wykryte, należy je zgłosić. Są to wszelkie zgłoszenia problemów z bezpieczeństwem w systemie, od dostępnych danych tam, gdzie nie powinno ich być, po kogoś, kto zgubił klucz do biura. Jednym ze sposobów pomiaru jest liczenie tych problemów z bezpieczeństwem.
Ten wskaźnik może być bardzo przydatny, ale może też być bardzo zwodniczy. Mniejsza liczba problemów niekoniecznie oznacza mniejszą ich liczbę, a jedynie to, że można ich znaleźć mniej. To jak poszukiwanie skarbów; jeśli nie kopiesz w piasku, nie znajdziesz nic interesującego, ale nie możesz powiedzieć, że nie ma tam skarbu. W pewnym sensie zwiększenie liczby raportów bezpieczeństwa oznacza, że uzyskujemy lepszy przegląd naszego stanu bezpieczeństwa. Może to być ważny cel, ale nie jest to sposób pomiaru bezpieczeństwa.
Zgodność z przepisami prawa i regulacjami
Zamiast mierzyć, bezpieczeństwo jest często wyceniane na podstawie określonych standardów. W UE jest to zwykle RODO, najsurowsze prawo bezpieczeństwa na świecie. Opisuje ono zasady postępowania z różnymi rodzajami danych. Zapewnia to podstawowy poziom bezpieczeństwa i odpowiedzialności, w szczególności w odniesieniu do niewłaściwego wykorzystania i nadużywania danych.
Oczywiście jest to ważne. Jeśli masz problemy związane z RODO, muszą one zostać rozwiązane. Nie tylko ze względów prawnych, ale także dlatego, że dbamy o bezpieczeństwo naszych klientów. Jesteśmy zgodni z RODO i pozostaniemy zgodni. Z drugiej strony jest to punkt odniesienia, po którym nadal istnieje duża elastyczność i możliwość wystąpienia problemów związanych z bezpieczeństwem.
Oceny ryzyka
Jakiś czas temu zaczęliśmy przyglądać się normie ISO 27001. Norma ta opisuje sposób pracy z systemem zarządzania bezpieczeństwem informacji (ISMS) w celu nadzorowania i traktowania bezpieczeństwa informacji. Zaczęliśmy więc pracować nad tym ISMS, ponieważ zapewniłoby nam to lepsze ramy do sprawdzenia, jak radzimy sobie z bezpieczeństwem.
W ramach ISMS zaczęliśmy przeprowadzać oceny ryzyka związanego z bezpieczeństwem. Podczas spotkania dotyczącego oceny ryzyka omawiamy długą listę możliwych zagrożeń bezpieczeństwa z grupą pracowników z różnych działów: inżynierem oprogramowania, CTO i specjalistą ds. prywatności. Dla każdego ryzyka przyznajemy ocenę prawdopodobieństwa jego wystąpienia i jego wpływu, jeśli wystąpi. W ten sposób otrzymujemy listę różnych możliwych problemów, którym należy zapobiegać lub je łagodzić, posortowaną według stopnia ich narażenia, czyli kombinacji prawdopodobieństwa i wpływu.
Może to wyglądać podobnie do liczenia kwestii bezpieczeństwa, ale ma kilka interesujących różnic:
Posiadają one ocenę narażenia, pomagając nam wybrać, czym należy się zająć, aby uzyskać największy efekt;
Następna ocena ryzyka ma tę samą listę zagrożeń, co oznacza, że możemy porównać postęp narażenia na ryzyko zamiast ich liczby.
Ułatwia to dokonywanie pomiarów na podstawie ocen ryzyka. Mamy teraz ustrukturyzowany sposób patrzenia na bezpieczeństwo Easy LMS. Wypełniamy ocenę ryzyka wiedzą, którą uzyskujemy z raportów dotyczących kwestii bezpieczeństwa i naszych codziennych obserwacji, a następnie ulepszamy krok po kroku.
Certyfikacja
Istnieje pewien problem z pomiarem na podstawie oceny ryzyka: może on nie być całkowicie obiektywny. Możemy jedynie raportować to, co widzimy i oceniać je na podstawie naszych własnych doświadczeń i przemyśleń na ten temat. Zasadniczo tworzy to bańkę z tym, co wiemy i nad czym pracujemy, ale nie pokazuje nam tego, co znajduje się poza bańką.
W związku z tym zdecydowaliśmy się kontynuować normę ISO 27001 jako całość, która opisuje również proces certyfikacji. Zewnętrzna strona oceni nas pod kątem wdrożenia środków bezpieczeństwa i SZBI; zasadniczo jest to sprawdzenie, czy inni zgadzają się, że jesteśmy tam, gdzie myślimy, że jesteśmy.
Ciężko pracujemy nad przygotowaniem się do procesu certyfikacji i mamy nadzieję, że w 2023 roku będziemy mogli pochwalić się certyfikatem ISO 27001!
Jak wdrażamy skuteczne środki bezpieczeństwa
Teraz mamy proces poprawy naszego bezpieczeństwa. Wybraliśmy rzeczy, które musimy poprawić i zaczęliśmy je wdrażać w naszej firmie. Jednak nie jesteśmy jeszcze w pełni gotowi. Musimy również upewnić się, że wdrożenie zakończy się sukcesem.
Rzecz w tym, że wszyscy wiedzą, że bezpieczeństwo jest ważne, ale ludzie nie lubią nad nim pracować. Może to szybko stać się jak podatki; powinno się to robić, ale jest to irytujący obowiązek. Jak upewnić się, że nie stanie się to problemem?
Usuwanie przeszkód
Największym powodem, dla którego środki bezpieczeństwa mogą nie działać, jest to, że ludzie pracują wokół nich. Ten problem leży po stronie środków, a nie ludzi. Oznacza to, że tworzenie obejść jest po prostu wygodniejsze niż przestrzeganie zasad i procesów. Proces ma zbyt wiele przeszkód do pokonania, a w naszej naturze leży podążanie ścieżką najmniejszego oporu. Może to mieć katastrofalne skutki.
Ekstremalnym przykładem może być katastrofa w Bhopalu w 1984 roku, gdzie zaniedbano kilka środków bezpieczeństwa. Miasto zostało zalane toksycznym gazem, zabijając tysiące i raniąc ponad pół miliona osób. Oczywiście incydenty związane z bezpieczeństwem w Easy LMS nie miałyby tak ekstremalnych skutków, ale pokazują, jak łatwo można obejść środki bezpieczeństwa, pomimo możliwych konsekwencji.
Najlepiej jest uczynić przestrzeganie procedur bezpieczeństwa tak prostym, jak to tylko możliwe. Mówiąc dokładniej, staraj się, aby było to łatwiejsze niż obejście środków. Mogą istnieć pewne dodatkowe kroki, które należy podjąć ze względów bezpieczeństwa, ale nie za dużo. Nie powinno być dodatkowego czasu oczekiwania. Procedury bezpieczeństwa nie powinny przeszkadzać pracownikom w wykonywaniu ich pracy; powinny prowadzić ich przez to, jak robić to bezpieczniej.
Procedury bezpieczeństwa nie powinny powstrzymywać pracowników przed wykonywaniem ich pracy; powinny one wskazywać im, jak robić to bezpieczniej.
Weźmy przykład zgłaszania problemów z bezpieczeństwem. Załóżmy, że trzeba to zrobić za pomocą niestandardowego systemu archiwizacji, w którym należy wyszukać i wypełnić wiele szczegółowych informacji, z których większość i tak nie zostanie wykorzystana, kosztując pracownika 15 minut czasu. Może to być wykorzystywane na początku, ale nie jest trwałe. Łatwiej jest zrobić to później i o tym zapomnieć. Weźmy teraz inny system, w którym pracownik może wysłać prostą wiadomość na Slacku z krótkim opisem problemu, a zostanie on rozwiązany. Nadal istnieją pewne kroki dla pracownika, ale jest to bardzo łatwe i niewymagające dużego wysiłku. Może nawet ważniejsze jest to, że pracownik nie jest już odpowiedzialny za rozwiązanie problemu. Wysyła wiadomość i może kontynuować swój dzień, co jest o wiele łatwiejsze niż radzenie sobie z nieuniknionymi konsekwencjami incydentu bezpieczeństwa. Zamiast więc zmuszać ludzi do nieefektywnej pracy, a następnie obwiniać ich za popełnianie błędów, należy przyjrzeć się temu, co jest w niej nieefektywne, a następnie poprawić ją, aby stała się łatwiejsza.
Oczywiście istnieją kroki, które należy podjąć, aby być bardziej bezpiecznym, ale przeszkody na drodze pracowników niepotrzebnie utrudniają im pracę. Wiele z tych przeszkód można wyeliminować poprzez automatyzację lub proste delegowanie zadań.
Bezpieczeństwo dla ludzi
Mówiliśmy wcześniej o bezpieczeństwie ludzi w kontekście popełniania błędów. Możemy to również zastosować do bezpieczeństwa. Ludzie muszą być w stanie rozmawiać o bezpieczeństwie, wspominać o problemach związanych z bezpieczeństwem i korygować nawzajem swoje zachowanie bez żadnych negatywnych konsekwencji. Jeśli pracownicy czują, że nie mogą rozmawiać o bezpieczeństwie lub nie wiedzą, gdzie to zrobić, środki bezpieczeństwa będą stanowić dla nich przeszkodę. Wszyscy pracownicy mają własną wiedzę i doświadczenie w swojej dziedzinie, więc wiedzą, z czym pracują.
Ludzie muszą być w stanie rozmawiać o bezpieczeństwie, wspominać o problemach związanych z bezpieczeństwem i korygować nawzajem swoje zachowanie bez żadnych negatywnych konsekwencji.
Mogą pomóc, sugerując środki dotyczące konkretnych kwestii bezpieczeństwa, mogą przekazać informacje zwrotne na temat już wdrożonych środków i mogą powiadomić Cię o przeszkodach na ich drodze. Kiedy więc usłyszeliśmy, że ktoś zgubił klucze lub że formalności związane z przygotowaniem rozmowy z klientem były zbyt pracochłonne, nie byliśmy źli ani lekceważący. Cieszyliśmy się, że ktoś przyszedł do nas z taką informacją. Jeśli nie potraktujesz tej informacji zwrotnej jako wartościowej lub jeśli nic z nią nie zrobisz, stracisz zainteresowanie pracowników bezpieczną pracą.
Ciągłe doskonalenie
Mówiliśmy już o poprawie bezpieczeństwa naszych informacji, ale równie ważne jest ciągłe doskonalenie procesów bezpieczeństwa dla naszych pracowników. Jeśli nie będziesz aktywnie słuchać swoich pracowników i zmieniać tego, co nie działa, środki bezpieczeństwa w końcu przestaną działać. Pracownicy, podobnie jak sama firma, będą się zmieniać. Easy LMS będzie się zmieniać, podobnie jak nasze procedury bezpieczeństwa, nie tylko po to, by je ulepszyć, ale także by uczynić je łatwiejszymi.
Przeczytaj więcej wpisów na naszym blogu
Caroline
Wyjaśnienie naszych dodatkowych korzyści związanych z zatrudnieniem
Wynagrodzenie ma duże znaczenie przy wyborze pracy, ale nie zapominajmy o dodatkach, które się z nim wiążą. Dodatkowe korzyści mogą naprawdę osłodzić umowę! Wierzymy, że przygotowaliśmy fantastyczny pakiet. Zapoznaj się z naszymi wspaniałymi dodatkami!
Czytaj dalej
Caroline
Praca i rozwój!
Praca w Easy LMS daje satysfakcję! Oczywiście zapewniamy konkurencyjne wynagrodzenie, dodatek na dojazdy i pracę z domu oraz 25 płatnych dni urlopu rocznie! Ale jesteśmy również dumni, że możemy zaoferować ci benefity, które pomogą ci poczuć swój pełen potencjałi dawać z siebie wszystko. Twoje dobre samopoczucie, zarówno fizyczne, jak i psychiczne, jest naszym najwyższym priorytetem! Nasi pracownicy stanowią kręgosłup naszej organizacji.
Czytaj dalej
Caroline
Pierwszy miesiąc
Kiedy masz nową pracę, z niecierpliwością czekasz na jej rozpoczęcie! Jednocześnie zawsze towarzyszy temu zdrowa dawka nerwów. Co cię czeka? Jak będą wyglądały pierwsze tygodnie? I jak szybko możesz naprawdę wnieść wartość dodaną? Skupiamy się na tym ostatnim. Nasz przejrzysty program wdrożeniowy dla inżynierów oprogramowania pomoże Ci poznać naszą firmę, współpracowników i zadania w mgnieniu oka! Przekonaj się, jak zapewnimy Ci dobry start!
Czytaj dalej