pocięte kawałki papieru

A po co nam te procedury?

Niech pierwszy rzuci kamieniem ten kto choć raz w życiu nie pomyślał – po co nam te procedury? Bez względu na to czy okupujemy fotel prezesa, jesteśmy trybikiem w korporacyjnej maszynie a może klientem po drugiej stronie lady. Niestety u większości z nas samo to słowo wywołuje odruch obronny. Procedury kojarzone są zwykle z czymś mało przyjaznym, ograniczającym i uciążliwym. Nie chcemy ich planować, wdrażać a tym bardziej przestrzegać a i tak wiele razy powodują, że odbijamy się przez nie od ściany stojąc w przysłowiowych okienkach. Tymczasem zaglądając do słownika języka polskiego możemy się przyjemnie rozczarować. Z palety synonimów słowa „procedura” ciężko znaleźć określenie, które byłoby nacechowane szczególnie pejoratywnie. Za to można wyłowić przynajmniej trzy, które oddają jego prawdziwą istotę, nie tylko w kontekście tego wpisu: lekarstwo, strategia, porządek. Jak to mówią, nie taki diabeł straszny jak mu dasz w łapę, ale myślę, że znajdziemy kilka bardziej przekonujących argumentów.

Spełnienie wymogów prawnych

W zależności sektora lub typu działalności jesteśmy zobowiązani posiadać określone procedury. Postaram się wymienić te istotne z punktu widzenia bezpieczeństwa informacji. W znaczącej większości regulacje te dotyczą podmiotów publicznych. Ot choćby najbardziej ogólny przepis mówiący o realizowaniu zadań drogą elektroniczną (Ustawa o informatyzacji podmiotów realizujących zadania publiczne, art. 3 pkt 1 ust. 6). Zapewnienie poufności, integralności i dostępności systemów rozumiane jako środki organizacyjno – techniczne (RODO, art. 32 pkt 1b). Zarządzanie usługami (Rozporządzenie KRI, art. 15 pkt 2) oraz opis prowadzenia ksiąg rachunkowych w systemach informatycznych (Ustawa o rachunkowości, art. 10 pkt 1 ust. 3c). Procedury bezpiecznej eksploatacji (Ustawa o ochronie informacji niejawnych, art. 49 pkt 3), awaryjne (Ustawa o obrocie instrumentami finansowymi, art. 78 pkt 1 ust. 3) oraz postępowania z incydentami (Ustawa o krajowym systemie cyberbezpieczeństwa, art. 26 pkt 4). Przeglądając wszystkie krytyczne dla naszej branży przepisy możemy, przy okazji spełnienia wymogów prawnych, zapewnić sobie tak popularny ostatnio compliance.

Podniesienie świadomości

Zarząd odpowiada za zarządzanie przedsiębiorstwem w jego wszystkich aspektach. Poziom świadomości u tych osób ma kluczowe znaczenie i wpływa bezpośrednio na wszystkie niższe szczeble. Czy to wymaga od władzy wszechwiedzy? Nie, gdy na szczeblu kierowniczym znajdują się kompetentni pracownicy z inwencją, zaangażowaniem i odwagą aby eskalować kwestie istotne dla interesów organizacji. Co zrobić gdy takich osobistości brakuje? Rozwiązania mam dwa, system zarządzania wiedzą i IT Governance. Oba przewidują inwentaryzację zasobów i formułują konieczność zapisania wiedzy, aczkolwiek na różnych poziomach zarządzania. Co więcej wspólnie się przenikają, stanowiąc wartość dodaną dla organizacji, zarówno dla udziałowców jak i szeregowych pracowników. Choć gdyby zaprzyjaźnić się bardziej z AI moglibyśmy usunąć cały szczebel operacyjny a zamiast procedur papierowych pisać procedury komputerowe. Tylko czy chcielibyśmy wszystkie decyzje pozostawić w rękach maszyn? Ryzykowne. W końcu firmy to ludzie a wiedza to przewaga więc lepiej zainwestować w jedno i drugie a technologie wzbogać o to co już wiemy.

Wspomaganie pracowników

Często podczas naszych pierwszych spotkań, klienci zadają pytanie „A po co nam te procedury?” – mówi Agnieszka Rybicka, Project Manager w firmie HUB HR. Przede wszystkim to sposób na usystematyzowanie wiedzy o organizacji. W naszym przypadku, nowi pracownicy otrzymują dokumentację on-boarding’ową aby móc lepiej zapoznać się z warunkami pracy, obowiązującymi procedurami a także strukturą organizacyjną i kluczowymi pracownikami. Niezależnie od posiadanej wiedzy nie zawsze od razu potrafią wpasować się w ramy organizacyjne. Dlatego ważne jest aby ułatwić im adaptację wskazując gdzie szukać odpowiednich dokumentów, jakie systemy i sposoby są preferowane w komunikacji ze współpracownikami. Ze swojej strony mogę dodać, że to dobra okazja do przypomnienia zasad ochrony danych osobowych lub patrząc szerzej bezpieczeństwa informacji. Dobrze gdyby pracownicy mieli dostęp do regulaminu użytkownika systemu informatycznego lub dokumentu wskazującego akceptowalne użycie przekazanych im aktywów. Choć procedury rozwiązują tylko 10% problemów to zawsze te +10% do wiedzy użytkownika może okazać się kluczowe.

Rozliczanie podmiotów zewnętrznych

Tak samo jak pracownicy zapoznawani są z regułami panującymi w organizacji tak samo powinno to dotyczyć podmiotów zewnętrznych dostarczających swoje usługi. Zarówno normatywy jak i dobre praktyki zalecają udokumentowanie relacji z dostawcami. Jest to jedno z zabezpieczeń uwzględniających istnienie procesów i procedur, których organizacja powinna wymagać od dostawcy. Coraz częściej zdarza się że, przy organizowaniu przetargu lub podpisywaniu umowy, jedna ze stron wymaga potwierdzenia jakości naszych usług. Nieważne czy będzie to znak certyfikacyjny, zatwierdzony kodeks postępowania a może reguły korporacyjne. Ze względu na coraz większe możliwości prawne, organizacje posiadają instrumenty pozwalające na prześwietlenie potencjalnego oferenta. Oczywiście możemy nie mieć, żadnych procedur, a jak nie ma żadnych procedur to sprawdzać jest ciężko. Jednak w takim przypadku zasada „nie mamy Pańskiego płaszcza i co Pan nam zrobi” może mieć opłakane skutki. A że raz występujemy w roli odbiorcy a innym razem dostawcy warto poważnie przemyśleć przelanie na papier swojego know how.

Ochrona przed konsekwencjami

Może błahy ale niezbędny argument, który w skrócie mogę nazwać „dupokrytką”. Najbardziej rozpowszechniona w budżetówce, ale swoim zasięgiem dotykająca również sektor prywatny. Jak sama nazwa wskazuje, główną jej funkcją jest chronienie naszych własnych interesów. Im mniejszy poziom świadomości pracowników i odwrotnie proporcjonalny wysoki stopień skomplikowania procesów tym większe prawdopodobieństwo na „fuck up”. Nie zawsze pracodawcy chcą i mają możliwość kontrolować pracę swoich podwładnych. Często jest to przez nich wykorzystywane do realizacji prywatnych interesów i może wyjść podobnie jak w przypadku SGGW. Co prawda papier przyjmie wszystko toteż opieranie jakiegokolwiek systemu bezpieczeństwa tylko na procedurach prędzej czy później doprowadzi do katastrofy. Nie taka jest ich funkcja, zabezpieczenia techniczne i formalne powinny wspierać się nawzajem. Jeżeli zapiszemy, że nie można podłączać zewnętrznych nośników to każda wykryta próba powinna być w jakiś sposób penalizowana. Procedury to kolejny z argumentów aby pracodawca mógł powiedzieć „a nie mówiłem?” i to udowodnić.

Porównanie stanu faktycznego z planowanym

Istnieją trzy typy procedur: planowane, życzeniowe i post factum. Wariant planowany to podejście oparte na ryzyku, z szacunkowym budżetem i zasobami aby przeprowadzić działania zgodnie z założeniami. Procedury życzeniowe to podejście oparte na wyobrażeniach. Nie mamy środków na zabezpieczenia to napiszmy procedurę tak, żeby czytający odniósł wrażenie, że wszystko jest na tip top. Z kolei ostatni typ to wizja postapokaliptyczna. Mamy kontrolę i audytor akurat zażądał tej procedury, o której myśleliśmy całe życie ale jakoś się nie złożyło, żeby napisać. Czy z punktu widzenia audytora trzeba mieć spisane procedury? Nie zawsze, ale wtedy każdy wzięty pod lupę pracownik powinien przedstawić jednakową wersję czynności przeprowadzanych podczas realizacji procesu. A to już jest ryzykowne. Dzięki spisanym informacjom mamy punkt odniesienia do konkretnych podejmowanych działań, odpowiedzialności za ich przeprowadzenie, celów do zrealizowania i poziomu osiągniętych wyników. A tym samym możemy je rozliczyć.

Spodobał Ci się ten wpis? Zajrzyj i polub nasz profil na Facebook’u, Twitterze lub LinkedIn aby otrzymywać najświeższe informacje. A jeśli potrzebujesz wsparcia w zakresie bezpieczeństwa informacji, skontaktuj się z nami. Przygotujemy ofertę dostosowaną do potrzeb Twojej organizacji. Auditownia świadczy usługi w zakresie przeprowadzania audytów, analizy ryzyka, przygotowania polityk, doradztwa i wsparcia w obszarze bezpieczeństwa informacji.