Ti sei mai trovato in una situazione in cui ti è stato affidato il compito di scrivere una politica di sicurezza o una procedura? Ma non vuoi che il tuo documento finisca come tanti altri, raccogliendo polvere in qualche cassetto dimenticato? Ecco alcuni pensieri che potrebbero aiutarti…
I passaggi che sto per presentarti sono progettati in base alla mia esperienza con vari tipi di clienti, grandi e piccoli, governativi o privati, a scopo di lucro o senza scopo di lucro: trovo che questi passaggi siano applicabili a tutti loro. In realtà, questi passaggi per l’attuazione di politiche e procedure sono applicabili a qualsiasi tipo di politica e procedura, non solo a quelle relative alla ISO 27001 o alla ISO 22301.
1. Studia i requisiti
Per prima cosa devi studiare molto attentamente vari requisiti: esiste una legislazione che richiede qualcosa da mettere per iscritto? O forse un contratto con il tuo cliente? O qualche altra politica di alto livello che esiste già nella tua organizzazione (forse uno standard aziendale)? E, naturalmente, i requisiti di ISO 27001 o BS 25999-2 se si desidera conformarsi a tali standard.
2. Prendi in considerazione i risultati della tua valutazione del rischio
La tua valutazione del rischio determinerà quali problemi devi affrontare nel tuo documento, ma anche in quale misura – ad esempio, potresti dover decidere se classificherai le tue informazioni in base alla loro riservatezza e, in tal caso, se ne occorrono due, tre o quattro livelli di riservatezza.
Questo passaggio potrebbe non essere rilevante in questo modulo se la tua politica o procedura non è correlata alla sicurezza delle informazioni o alla continuità aziendale. Tuttavia, i principi di gestione del rischio sono applicabili anche ad altre aree: gestione della qualità ( ISO 9001 ), gestione ambientale ( ISO 14001 ), ecc. Ad esempio, nella ISO 9001 è necessario determinare fino a che punto un processo è cruciale per la gestione della qualità e di conseguenza decidere se documentarlo o meno.
3. Ottimizza e allinea i tuoi documenti
Una cosa importante da considerare è il numero totale di documenti: scriverai dieci documenti di 1 pagina o un documento di 10 pagine? È molto più semplice gestire un documento, soprattutto se il gruppo target di lettori è lo stesso. (Semplicemente non creare un singolo documento di 100 pagine.)
Inoltre, devi stare attento ad allineare il tuo documento con altri documenti: i problemi che stai definendo potrebbero essere già parzialmente definiti in un altro documento. In tal caso, potrebbe non essere necessario scrivere un nuovo documento, magari solo ampliare quello esistente.
Se stai scrivendo un nuovo documento su un problema che è già menzionato in un altro documento, assicurati di evitare la ridondanza, per descrivere lo stesso problema in entrambi i documenti. In seguito sarebbe diventato un incubo mantenere quei documenti; è molto meglio che un documento faccia riferimento a un altro, senza ripetere le stesse cose.
4. Struttura il tuo documento
Devi anche fare attenzione a rispettare le regole aziendali per la formattazione del documento: potresti già avere un modello con caratteri, intestazioni, piè di pagina predefiniti, ecc.
Se hai già implementato ISO 27001 o BS 25999-2 (o qualsiasi altro standard di gestione), dovrai osservare una procedura per il controllo dei documenti : tale procedura definisce non solo il formato del documento, ma anche le regole per la sua approvazione , distribuzione ecc.
5. Scrivi il tuo documento
La regola pratica è: più piccola è l’organizzazione e minori sono i rischi, meno complesso sarà il tuo documento. Non c’è niente di più inutile che decidere di scrivere un lungo documento che nessuno leggerà: devi capire che leggere il documento richiede tempo e il livello della propria attenzione è inversamente proporzionale al numero di righe del documento.
Una buona tecnica per superare la resistenza degli altri dipendenti a questo documento (a nessuno piace il cambiamento, soprattutto se ciò significa qualcosa come l’obbligo di cambiare le password su base regolare) è coinvolgerli per iscritto o commentando questo documento: in questo modo lo faranno capire perché è necessario.
6. Ottieni l’approvazione del tuo documento
Questo passaggio è piuttosto ovvio, ma la sua importanza di fondo è questa: se non sei un manager di alto rango nella tua azienda, non avrai il potere di far rispettare questo documento.
Questo è il motivo per cui qualcuno con una tale posizione deve capirlo, approvarlo e richiederne attivamente l’attuazione. Sembra facile, ma credetemi, non lo è. Questo passaggio (e quello successivo) sono quelli in cui l’implementazione più spesso fallisce.
7. Formazione e sensibilizzazione dei tuoi dipendenti
Questo passaggio è probabilmente il più importante, ma purtroppo è molto spesso dimenticato. Come accennato in precedenza, i dipendenti sono stanchi dei continui cambiamenti e sicuramente non ne accoglieranno un altro soprattutto se questo significa più lavoro per loro.
Pertanto, è molto importante spiegare ai dipendenti perché una tale politica o procedura è necessaria, perché è un bene non solo per l’azienda, ma anche per se stessi.
A volte sarà necessaria la formazione: sarebbe sbagliato presumere che tutti possiedano le capacità per implementare nuove attività. Per te, che hai scritto questo documento, può sembrare facile e scontato, ma per loro può sembrare un intervento chirurgico al cervello.
8. Archivia
Una volta terminati i primi 7 punti archivia la procedura e rendila disponibile ai nuovi dipendenti durante la formazione
Fine della storia?
Se pensavi di aver raggiunto la fine della tua storia di implementazione dei documenti, ti sbagli: il viaggio è appena iniziato. Non è sufficiente avere una politica o una procedura perfetta che tutti amano, è anche necessario mantenerla.
Qualcuno deve fare in modo che questo documento sia aggiornato e migliorato, altrimenti nessuno lo osserverà più – e che qualcuno di solito è la stessa persona che lo ha scritto. Non solo, qualcuno deve misurare se un tale documento ha raggiunto il suo scopo – ancora una volta, potresti essere tu.
Come avrai notato leggendo questo articolo, non è sufficiente avere un bel modello per una politica o una procedura di successo: ciò che serve è un approccio sistematico alla sua attuazione. E così facendo non dimenticare il fatto più importante: il documento non è fine a se stesso, è solo uno strumento per consentire alle attività e ai processi di funzionare senza intoppi. Non lasciare che accada il contrario: un documento del genere fa sì che queste attività e processi vengano eseguiti con maggiore difficoltà.