La politica IT si applica al Consiglio di amministrazione? Quali politiche si applicano?

Lavoro nel settore sanitario e scrivo le politiche IT (tra le altre cose). Tutte le mie politiche vengono esaminate dal team di conformità aziendale e da altri prima di essere finalizzate. Una volta approvata una politica, le prime persone che tengo alla politica sono quelle che hanno chiesto o aiutato a scriverla.

Il mio pensiero è che le persone che hanno contribuito a creare la politica dovrebbero essere quelle che devono affrontarla prima in modo che sappiano se funziona. Quando ho cambiato i requisiti di complessità della password, il nostro CEO aveva bisogno di ottenere informazioni dal suo PC per una riunione. Piuttosto che accettare una deroga temporanea dal cambiamento della politica delle password, ha insistito per mantenere lo stesso standard di tutti gli altri.

Se qualcuno sulla nostra scheda utilizza un sistema connesso alla nostra rete, può utilizzare la rete wireless dell'ospite oppure può rispettare le politiche. Tutte le politiche che scrivo hanno una clausola di eccezione, ma l'eccezione deve essere scritta e revisionata. Tutte le eccezioni vengono inviate al revisore della conformità entro 30 giorni dall'eccezione e ogni anno viene inviata l'intera lista. Qualsiasi eccezione scade non più di un anno dall'eccezione per forzare una revisione.

Sto bene con le eccezioni ragionevoli, purché sia documentato e necessario. Quando ciò accade, ho solo bisogno di dimostrare un controllo compensativo.

Ogni singola persona nell'organizzazione deve rispettare le politiche. Detto ciò, dal momento che sono in carica, hanno il diritto di apportare modifiche alle politiche.

Dovrebbero essere venduti sulle polizze in modo da non cambiarli. Lo sta facendo per proteggere l'investimento della commissione.

EDIT: per quanto riguarda le politiche in conflitto tra le organizzazioni, dico che si applicano le stesse politiche. Come gestiresti un laptop esterno per gli appaltatori?

Concorda con Steve - tuttavia una fonte comune di non conformità è il regista o il consiglio di amministrazione. Questi individui spesso desiderano la tecnologia più recente, o vogliono più libertà o flessibilità rispetto al loro personale, e sono in una posizione di potere così possono richiederlo, quindi a volte il team di sicurezza delle informazioni deve identificare in modo proattivo soluzioni ai problemi tecnologici futuri per fornire un soluzione sicura per eccezione in questi casi.

Laddove i senior / executive management sono completamente coinvolti nelle politiche di sicurezza, un'organizzazione è in genere più robusta e la governance e la conformità sono più facilmente dimostrate, ma nella più usuale organizzazione aziendale l'obiettivo è quello di scendere a compromessi che consentono il business mentre non incide troppo sulla sicurezza.

Secondo la mia esperienza, questo non varia molto tra paesi dell'Europa, America o Medio Oriente, o in tutti i settori. Il punto è che le persone in posizioni senior vogliono fare affari a modo loro, e di solito il loro modo è considerato giusto per il business se fanno ricavi ed è qui che noi professionisti dell'Information Security entrano.

La circostanza in cui un individuo si siede su più di una tavola è un grosso problema. L'ideale di sicurezza è ovviamente quello di separare completamente ogni ruolo, tuttavia è improbabile che un regista possa trasportare più laptop. In genere accade che utilizzino un account e gestiscano tutte le e-mail e gli accessi da una macchina, e finisci per affidarsi a loro per non commettere errori.

Pericoloso!

La segregazione per macchina virtuale sembrerebbe essere un logico passo successivo, ma l'ho vista solo una volta. Questo può essere garantito a un livello elevato, ma richiede una certa comunicazione tra le organizzazioni per concordare le configurazioni ecc.

Se sei abbastanza fortunato da operare in una giurisdizione in cui i direttori saranno personalmente responsabili per aver consapevolmente violato le protezioni, puoi semplicemente dare loro quel pezzo di legge fino a quando non si rendono conto che è meglio che rispettino la politica.

Un membro del consiglio di amministrazione non dovrebbe mai deviare dalla politica aziendale in cui la politica si applica a loro. La politica dovrebbe essere chiara su ciò che si applica a chi e quali sono le conseguenze per la violazione. Le politiche possono avere elementi contraddittori in cui "consentito vs non consentito" dipende dalla posizione e dalle responsabilità. Il consiglio dovrebbe essere preparato a giustificare la politica a chiunque risponda. Azionisti, agenzie di regolamentazione, ecc.

Per quanto riguarda la politica, l'unica posizione in cui non vuoi trovarti è quella in cui consenti o aiuti gli utenti a eludere la politica. Se devi avere delle eccezioni, documentali. Meglio ancora renderli parte della politica. Se la scheda non è comoda per documentare un'eccezione e continua a insistere per essere un'eccezione, completa il tuo curriculum.

Un membro del consiglio non dovrebbe essere diverso da qualsiasi altro dipendente per quanto riguarda il rispetto delle regole. Ma spetta al consiglio di amministrazione, salvo eventuali restrizioni legali, decidere se applicare a loro un diverso insieme di regole.

È responsabilità del membro del consiglio di amministrazione capire cosa viene loro richiesto. Se sono collocati in una posizione di conflitto, dovrebbero raggiungere entrambe le entità e cercare di raggiungere un compromesso. Da un punto di vista tecnico la soluzione più semplice sarebbe la completa separazione delle risorse, cioè due macchine separate. Ovviamente questa non è la soluzione più utilizzabile. Proverei a scattare per dare loro l'accesso remoto a una macchina interna che ha accesso limitato a solo quello di cui hanno bisogno per svolgere il proprio lavoro. Non sono un grande fan di dare loro l'accesso alla posta elettronica in cui possono lavorare con i documenti della loro macchina personale. Indipendentemente da ciò che fai, assicurati che sia documentato e che tu stia facendo ciò che la tua politica dichiara che stai facendo.