Vége?

Az információbiztonság megteremtésére szolgáló rendszer bevezetésének szentelt projektet lezárhatjuk ugyan, de a munka soha nem fog igazán véget érni. Ablakon kidobott pénz és idő volt minden, amennyiben nem számolunk a bevezetett rendszer fenntartására szánt energiával.

Ellenőrizd!
Azoknak a kollégáknak, akiknek munkaköri teendői közé tartozik az informatikai és információbiztonsági rendszerek védelme, figyelmeztetés nélkül is minden nap tenniük kell e rendszerek fenntartásáért. Egy megfelelő rendszerbevezetést követően tehát semmi rendkívülit nem kell tennünk, csupán a kialakított folyamatok szerint dolgoznunk. Eleinte természetesen ügyelnünk kell rá, hogy az átállást követően valóban mindenki hozzászokjon a változásokhoz, valamint a bevezetett rendszer működésének, a folyamatok hatékonyságának mutatóit is gyakrabban kell ellenőriznünk.


Mérd!
A bevezetést követően folyamatosan mérésekkel kell alátámasztanunk, hogy a bevezetett rendszer továbbra is kellő biztonságot nyújt. A bevezetett folyamatok működését rendszer szinten és egyes kollégák munkavégzésének szintjén is méréseknek kell alávetni. A méréseket eleinte legalább negyedévenként meg kell ismételni. Ügyeljünk rá, hogy a méréseknek alávetett területeken minél könnyebben meghatározható legyen az esetleges alacsony vagy magas értékek hátterében álló okok összessége.
 


Figyelj a javaslatokra!
Ne ess abba a tipikus hibába, hogy ragaszkodsz a kialakított folyamatokhoz és rendszerhez, akkor is, mikor a tapasztalatok ennek ellentmondanak. Légy nyitott mindig a dolgozók javaslataira, meglátásaira. Bármely beosztott tapasztalhat olyan fontos információbiztonsági szempontból sebezhető területeket, melyekkel a vezetőség nem feltétlenül szembesül. Adjuk meg a lehetőséget arra, hogy ezeknek a problémás területeknek hangot adjanak kollégáink és tanácsaik alapján ne féljünk átalakítani, módosítani a bevezetett rendszert.
 
 
Külső audit!
Habár a külső auditokat többnyire senki sem várja, amennyiben az a megfelelő módon zajlik le, rendkívül hasznos lehet a cég számára. Sok dolgozót egy ilyen esemény képes csak igazán motiválni arra, hogy elvégezzenek számukra kevésbé fontosnak tűnő, ám valójában elengedhetetlen adminisztrációs, dokumentációs tevékenységeket. Az auditok könnyedén rávilágíthatnak a párhuzamos munkavégzésre, a nem hatékony munkafolyamatokra, ezáltal segíti a dolgozók időgazdálkodását és az elvégzett munka minőségét.
 



Vezetői jelentés
Meghatározott időközönként (például negyedévente) vezetői jelentésekkel kell ellenőrizni az információbiztonsági rendszerek működését. A vezetői értekezleteken is érdemes időről időre helyet adni a témának. Az információbiztonságért felelős vezetőnek ezeken a megbeszéléseken prezentálnia kell a mérési eredményeket, külső és belső audit eredményeket, hibaesetek és fenyegetettségek listáját, szükséges vizsgálatokra, illetve változtatásokra tett javaslatokat. A vezetők rendszeres értesítése nélkül a változtatásokhoz szükséges támogatást éppúgy hiába várjuk, mint a kiemelkedő teljesítményért járó elismerést.
 

Minősítő auditok
A minősítő auditok egyszerre szolgálhatják cégünk marketing és minőségügyi érdekeit. Egy-egy ilyen nagy volumenű ellenőrzés óriási motivációt jelenthet minden kollégának, arra vonatkozóan, hogy mindent megtegyenek a folyamatszerű és jól dokumentált működés érdekében. Mindez szinte elenyésző része azonban annak a haszonnak, amit maga az audit hoz magával a problémás területek feltárásával és a megoldási javaslatokkal.
 


Helyesbítő megelőző tevékenységek
A bevezetést követően sem zárhatjuk tehát teljes mértékben le információbiztonsági projektünket. A megfelelő működést folyamatosan ellenőrizni kell, a helyesbítő és megelőző tevékenységek nyomán pedig újabb és újabb változtatásokat kell eszközölni a továbbra is problémás területeken. A projekt akkor sikeres, ha soha sincs igazán vége.

Képek forrása:

http://turtlellc.com

https://s3.amazonaws.com

http://www.k-3teacherresources.com

http://www.rymatechnologies.com/images

http://www.immunize-utah.org

http://www.certifiedtaxcoach.org

http://www.guangdonginspection.com