Vi har använt förbättringskatas för att förbättra våra processer. Vi skrev en fördjupad blogg om detta, men kontentan är att du förbättrar en process genom att göra små, fokuserade förändringar och mäta om du kom närmare ditt mål. Mätning är viktigt i den här processen; om du inte mäter vet du inte om det finns något att förbättra eller om dina förändringar var effektiva. Lyckligtvis är det relativt enkelt att hitta vad man ska mäta... vanligtvis.
Varför säkerhet?
Låt oss skifta fokus till säkerhet. Säkerhet är viktigt. Det vet vi alla. Vi vill inte att ditt namn och din adress ska spridas på internet, och vi vill inte att du ska förlora dina provresultat. Säkrare är bättre. Men mer säkerhet är inte nödvändigtvis säkrare. Om vi skulle sätta ett larm på allt som kan gå fel och övervaka varje rörelse i våra system skulle vi drunkna i distraherande notiser. Vi skulle inte ha tid att arbeta med något annat. Så vi måste välja vad vi ska göra. Vi måste mäta säkerheten om vi vill förbättra våra säkerhetsprocesser. Men hur mäter man säkerhet?
Olika sätt att mäta säkerheten
Säkerhet är inte helt enkelt att mäta, särskilt inte inom en kort tidsram. För vissa processer kan du mäta den tid det tar för en användare att utföra en viss uppgift på en webbsida, eller så kan du räkna antalet frågor om ett visst ämne. Sedan kan man göra ändringar och mäta igen för att se hur siffrorna förändrats. Men när det gäller säkerhetsprocesser finns det helt enkelt inte tillräckligt med flöde genom processen. Vi kan till exempel inte få meningsfulla mätningar av antalet dataintrång. Vi kan inte förbättra från 0, och att vi inte har några dataintrång betyder inte att det inte finns någon risk för dataintrång, vilket är en av de saker vi är intresserade av. Så vi måste tänka på andra sätt.
Räknar säkerhetsfrågor
Det är bara att inse att det inte finns något digitalt system utan säkerhetsproblem. Särskilt inte ett system som ständigt förändras. När sådana problem upptäcks ska de rapporteras. Det handlar om alla rapporter om säkerhetsproblem i ett system, från tillgänglig data där den inte borde finnas till någon som tappat bort sin nyckel till kontoret. Ett sätt att mäta är att räkna dessa säkerhetsproblem.
Detta mått kan vara mycket användbart, men det kan också vara mycket vilseledande. Att ha färre frågor betyder inte nödvändigtvis att problemen är färre, bara att man kan hitta färre. Det är som med skattjakt: om man inte gräver i sanden hittar man inget intressant, men man kan inte säga att det inte finns någon skatt. Att öka antalet säkerhetsrapporter innebär på sätt och vis att vi får en bättre överblick över vårt säkerhetsläge. Detta kan vara ett viktigt mål, men det är inte så man mäter säkerhet.
Efterlevnad av lagar och förordningar
I stället för genom mätning värderas säkerheten ofta utifrån specifika standarder. Inom EU handlar det oftast om GDPR, världens strängaste säkerhetslag. Den beskriver regler för hur man ska hantera olika typer av data. Detta ger en basnivå av säkerhet och ansvar, särskilt när det gäller felaktig användning och missbruk av data.
Detta är naturligtvis viktigt. Om du har GDPR-problem måste de lösas. Inte bara av juridiska skäl utan för att vi bryr oss om våra kunders säkerhet. Vi är GDPR-kompatibla och kommer att förbli kompatibla. Men å andra sidan är det en baslinje efter vilken det fortfarande finns mycket flexibilitet och möjlighet till säkerhetsproblem.
Riskbedömningar
För ett tag sedan började vi titta närmare på standarden ISO 27001. Standarden beskriver ett sätt att arbeta med ett ledningssystem för informationssäkerhet (ISMS) för att övervaka och behandla informationssäkerhet. Så vi började arbeta med detta ISMS eftersom det skulle ge oss ett bättre ramverk för att se hur vi ligger till när det gäller säkerhet.
Som en del av ISMS började vi göra säkerhetsriskbedömningar. Under ett riskbedömningsmöte diskuterar vi en lång lista med möjliga säkerhetsrisker med en grupp anställda från olika avdelningar: en programvaruingenjör, teknikchefen och den personuppgiftsansvarige. För varje risk ger vi ett betyg för sannolikheten att den inträffar och för konsekvenserna om den skulle inträffa. Detta ger oss en lista över olika möjliga problem som måste förebyggas eller minskas, sorterade efter deras exponering, en kombination av sannolikhet och påverkan.
Detta kan se ut ungefär som att räkna säkerhetsfrågor, men det har några intressanta skillnader:
De har en exponeringsgrad, vilket hjälper oss att välja vad vi ska ta itu med för att få störst effekt;
Nästa riskbedömning har samma lista med risker, vilket innebär att vi kan jämföra utvecklingen av riskernas exponering istället för antalet.
Detta gör mätningarna från riskbedömningarna mycket enklare. Vi har nu ett strukturerat sätt att titta på säkerheten i Easy LMS. Vi fyller riskbedömningen med den kunskap vi får från rapporter om säkerhetsproblem och våra dagliga observationer, och sedan förbättrar vi ett steg i taget.
Certifiering
Det finns ett problem med att mäta utifrån riskbedömningen: den kanske inte är helt objektiv. Vi kan bara rapportera vad vi ser och betygsätta dem utifrån våra egna erfarenheter och tankar om ämnet. Detta skapar i princip en bubbla med vad vi vet och vad vi arbetar med, men det visar oss inte vad som finns utanför bubblan.
Därför beslutade vi att fortsätta med ISO 27001-standarden i sin helhet, som också beskriver en process för certifiering. En extern part kommer att betygsätta oss för vår implementering av säkerhetsåtgärder och ISMS; i princip en kontroll för att se om andra håller med om att vi är där vi tror att vi är.
Så vi arbetar hårt med att göra oss redo för denna certifieringsprocess, och vi hoppas kunna kalla oss ISO 27001-certifierade någon gång under 2023!
Hur vi implementerar säkerhetsåtgärder som håller
Nu har vi en process för att förbättra vår säkerhet. Vi har valt ut de saker som vi behöver förbättra och börjat implementera dem i vårt företag. Men vi är inte helt i mål än. Vi måste också se till att implementeringen blir framgångsrik.
Saken är den att alla vet att säkerhet är viktigt, men folk gillar faktiskt inte att arbeta med det. Det kan snabbt bli som med skatterna; det ska göras, men det är en irriterande syssla. Hur ser vi till att detta inte blir ett problem?
Undanröjande av hinder
Det största skälet till att säkerhetsåtgärder inte fungerar är att människor arbetar runt dem. Problemet ligger i åtgärden, inte hos människorna. Det innebär att det helt enkelt är bekvämare att skapa lösningar än att faktiskt följa reglerna och processerna. Processen har för många hinder att övervinna, och det ligger i vår natur att ta vägen med minst motstånd. Detta kan få katastrofala effekter.
Ett extremt exempel är Bhopal-katastrofen 1984, där flera säkerhetsåtgärder försummades. En stad översvämmades av giftig gas, vilket dödade tusentals och skadade mer än en halv miljon människor. Naturligtvis skulle säkerhetsincidenter på Easy LMS inte ha dessa extrema effekter, men det visar hur lätt det är att kringgå säkerhetsåtgärder, trots de möjliga konsekvenserna.
Det är bäst att göra det så enkelt som möjligt att följa säkerhetsprocedurerna. Mer specifikt, försök att göra det lättare än att kringgå åtgärderna. Det kan finnas några ytterligare steg som måste vidtas av säkerhetsskäl, men inte för många. Det ska inte finnas någon extra väntetid. Säkerhetsrutinerna ska inte hindra dina medarbetare från att utföra sitt arbete, utan vägleda dem i hur de kan göra det på ett säkrare sätt.
Säkerhetsrutiner ska inte hindra dina anställda från att utföra sitt arbete, de ska vägleda dem genom hur de kan göra det på ett säkrare sätt.
Låt oss ta exemplet med att rapportera ett säkerhetsproblem. Säg att detta måste göras via ett anpassat arkiveringssystem där många detaljer måste sökas efter och fyllas i, varav de flesta ändå inte kommer att användas, vilket kostar medarbetaren 15 minuter av sin tid. Det kanske kan användas i början, men det är inte hållbart. Det är lättare att göra det senare och glömma bort det. Ta nu ett annat system där en medarbetare kan skicka ett enkelt meddelande på Slack med en kort beskrivning av problemet, och det kommer att hanteras. Det finns fortfarande några steg för medarbetaren, men det är mycket enkelt och kräver lite ansträngning. Kanske ännu viktigare är att medarbetaren inte längre är ansvarig för att lösa det. De skickar meddelandet och kan fortsätta med sin dag, vilket är mycket enklare än att hantera de oundvikliga konsekvenserna av en säkerhetsincident. Så istället för att tvinga människor att arbeta ineffektivt och sedan skylla på dem för att de gör misstag, tittar du på vad som är ineffektivt med det och sedan förbättrar du det så att det blir enklare.
Självklart finns det åtgärder att vidta för att bli säkrare, men hinder på vägen för dina anställda gör deras arbete onödigt mycket svårare. Många av dessa hinder kan tas bort genom automatisering eller enkel delegering av uppgifter.
Säkerhet för människor
Vi har tidigare talat om säkerhet för människor i samband med att göra misstag. Vi kan också tillämpa detta på säkerhet. Människor måste kunna prata om säkerhet, nämna säkerhetsproblem och korrigera varandras beteende utan att det får några negativa konsekvenser. Om medarbetarna känner att de inte kan prata om säkerhet eller inte vet var de ska göra det, kommer säkerhetsåtgärderna att utgöra ett hinder för dem. Medarbetarna har alla sin egen expertis och erfarenhet inom sitt område, så de vet vad de arbetar med.
Människor måste kunna prata om säkerhet, nämna säkerhetsproblem och korrigera varandras beteende utan några negativa konsekvenser.
De kan hjälpa till genom att föreslå åtgärder för specifika säkerhetsproblem, de kan ge feedback på redan genomförda åtgärder och de kan meddela dig om hinder på vägen. Så när vi hörde att någon hade tappat bort sina nycklar eller att pappersarbetet kring en kundintervju var för mycket, blev vi inte arga eller avvisande. Vi blev glada över att de kom till oss med den här informationen. Om du inte behandlar denna feedback som värdefull eller om du inte gör något åt den, tappar du medarbetarnas intresse för att arbeta säkert.
Fortsätt att förbättra
Vi har redan talat om att förbättra vår informationssäkerhet, men det är lika viktigt att fortsätta att förbättra säkerhetsprocesserna för våra medarbetare. Om du inte aktivt lyssnar på dina medarbetare och ändrar det som inte fungerar kommer säkerhetsåtgärderna till slut att sluta fungera. De anställda, precis som företaget självt, kommer att fortsätta att förändras. Easy LMS kommer att fortsätta förändras, och det kommer även våra säkerhetsprocedurer att göra, inte bara för att göra dem bättre utan för att göra dem enklare.
Läs fler av våra blogginlägg
Caroline
Våra förmåner vid bisyssla förklarade
While your salary is a big deal when picking a job, let's not forget the perks that come with it. The secondary benefits can really sweeten the deal! And we believe we've put together a fantastic package. Dive into all our wonderful extras!
Läs mer
Caroline
Att arbeta hos oss
Att arbeta på Easy LMS är givande! Vi erbjuder en konkurrenskraftig lön, resor och ersättning för att jobba hemifrån, samt 25 betalda semesterdagar per år! Men vi är också stolta över att kunna erbjuda dig fördelar som hjälper dig att må bra och göra ditt bästa. Ditt fysiska och mentala välbefinnande har högsta prioritet! Våra anställda är ryggraden i vår organisation.
Läs mer
Caroline
Din första månad
När man har fått ett nytt jobb är man ivrig att komma igång! Samtidigt finns det alltid en hälsosam dos av nervositet. Vad väntar på dig? Hur kommer dina första veckor att se ut? Och hur snabbt kan du verkligen tillföra värde? Det sistnämnda är vårt fokus. Vårt tydliga onboardingprogram för mjukvaruingenjörer hjälper dig att lära känna vårt företag, dina kollegor och dina arbetsuppgifter på nolltid! Upplev hur vi ger dig en kickstart!
Läs mer