11 + 1, bra saker att tänka på
Vi ger några kortfattade tips på hur arbetet med en IT-policy kan göras för att få en smidig implementering.
#1 Se till att ledningen är med
Om en IT-policy skall landa I organisationen på bästa sätt måste ledningen stå bakom policyn till hundra procent. I möjligaste mån bör personer ur ledningsgruppen (eller företagsledningen) aktivt bidra med arbete för att bygga upp policyn.
Att få med ledningen är oerhört viktigt för att policyn skall kunna implementeras på bästa sätt, om personalen vet att policyn inte är uppbackad av ledningen kommer policyns värde vara i princip noll och ingenting hur bra den än är på pappret. Detta är också ett utmärkt sätt att stärka ägarens roll gentemot anställda som ifrågasätter policyns nytta.
#2 Inkludera alla berörda parter i uppbyggnadsprocessen
Se till att bjuda in personer från de delar av företaget som berörs vid uppbyggnaden av policyn. Detta ger en ökad förståelse för policyn och de fördelar den kommer att ge. Detta förfarande tar också bort hinder initialt som kan framkomma i ett senare skede på grund av olika synsätt från olika delar inom företaget. Ett bredare initialt stöd kommer att underlätta den senare implementeringen.
#3 Utbilda och bygg upp förväntningar
Att bygga upp och implementera en IT-policy gör man inte i en handvändning och för att resultatet skall bli det bästa tänkbara bör all personal informeras och utbildas i den kommande IT-policyn. Lägg upp täta informationsträffar med lagom många deltagare vid varje tillfälle så att informationen kan tillhandahållas på bästa sätt.
Förklara varför företaget bygger upp en IT-policy och vilken nytta de anställda kommer att ha av den. Delge exempel, detta kan vara e-posthantering, nedladdning av filer och program, hantering av kritisk information, behörighetsstrategier samt mycket mer.
Se också till att hålla enskilda möten med mellanchefer och avdelningschefer. Informera om hur policyn kommer att påverka dem och deras vardag. Se till att få dessa individer med på noterna eftersom de är de bäst skickade att marknadsföra policyn ute i organisationen.
#4 Förklara anledningen
Det kan bli ifrågasättande av en IT-policy i det första stadiet av dess livscykel. Det är inget konstigt med det i och med att en policy inverkar på den anställdes vardag på olika sätt. Det som har gjorts på ett visst sätt tidigare kanske måste göras på ett helt annat sätt efter en policyimplementering vilket den anställde ofta initialt ser som ”hämnande” på det dagliga arbetet.
Det är när dessa frågor uppkommer det är viktigt att ägaren till policyn förklarar för den anställde varför gången skall vara på ett visst sätt och vad effekten blir om vi inte efterlever det policyn komunicerar. Om den anställde förstår varför exempelvis en viss typ av information måste hanteras på ett visst sätt eller varför viss data plötsligt är behörighetsklassificerad kommer det oftast att kännas som en lättnad eftersom denne nu vet att hanteringen är korrekt enligt företagets riktlinjer. Ansvaret har lämnat individnivå och finns nu på företags- (lednings) nivå.
Det sämsta man som ägare kan göra när olika ifrågasättanden kommer (och det gör de i regel alltid) är att strunta i fördjupad information och påpeka att ”Det är bara att tiga och göra som man blir tillsagd”. Ett sådant förfarande leder bara till än mer ifrågasättande samt både reducerad förståelse och respekt för policyn.
#5 Förklara så man förstår
En god IT-policy avhandlar specifika frågor på ett korrekt och kortfattat sätt. Det finns ingen anledning att skriva en IT-policy som omfattar 20 sidor med lull lull. En väl uppbyggd IT-policy talar på ett enkelt och begripligt sätt om för de anställda hur de förväntas agera i olika situationer.
Det går alltid att göra tillägg till policyn vid senare tillfälle om så behövs. Det går också att göra subpolicys eller delpolicys som riktar in sig mer i detalj på vissa specifika områden. En IT-policy SKALL förändras under sin livscykel, IT är ett föränderligt område och det innebär att en IT-policy måste vara formbar för att nya tekniker och situationer lätt skall kunna inkluderas.
Ett tips är att hoppa över allt för mycket tekniska termer i huvudpolicyn och spara dessa till del- eller subpolicys som riktar in sig mer i detalj på specifika områden.
#6 Hur påverkar policyn medarbetarna?
Som vi har nämnt tidigare är det viktigt att förklara varför företaget bygger upp en IT-policy och sedermera förklara vad de olika delarna i policyn betyder. Det är också viktigt att de anställda är väl införlivade i företagets kärnverksamhet. Med detta menar vi att de anställda bör ha rimlig förståelse för de olika processerna inom företaget. Detta för att de anställda skall kunna förstå varför vissa delar av dessa processer är utsatta för större risker än andra.
Utan att generalisera kan vi anta att ett litet snickeri får en kortare och mer ”rak” IT-policy än en bank eller ett försäkringsbolag. Men detta skall inte misstolkas! Vikten av att skydda den information företaget besitter är lika viktig oavsett bransch. Men för att kunna göra detta måste alla inblandade ha en grundläggande förståelse för de olika delprocesserna i ett företag.
IT-policyn kommer således att påverka handhavandet av dessa processer och därmed också den anställdes vardag vilket är viktigt för företagsledning och ägare (skapare) att komma ihåg och respektera . Målsättningen skall vara att göra handhavandet så effektivt som möjligt men ändå upprätthålla god kvalitet och säkerhet i de olika processerna. Lättare sagt än gjort och skall något av dessa två faktorer stryka på fot så är det enkla handhavandet före bristande säkerhet och kvalitet.
#7 Se till att få smockorna före och inte efter (i alla fall de flesta)
Se till att få så mycket feedback i ett så tidigt skede som möjligt på den IT-policy du och ditt företag bygger upp. Involvera kompetenta (och i sättet raka) individer som törs ifrågasätta och komma med synpunkter. Företaget vill inte sjösätta en policy som ur olika aspekter kan ifrågasättas rent innehållsmässigt (exempelvis teknisk fakta).
Att policyn kommer att ifrågasättas eftersom den påverkar den anställdes vardag är en sak men den skall aldrig kunna ifrågasättas vad gäller äkthet och relevans. Det är också viktigt att samla feedback från representanter från olika delar av företaget eftersom dessa har bäst kännedom om specifika processer och vilken påverkan policyn får på dessa. Ofta kan man komma fram till bättre lösningar om fler individer med rätt kompetens bidrar med kunskap.
Ett scenario som inte är bra är om policyn måste omarbetas många gånger på grund av felaktig fakta eller felaktiga beslut. Detta skapar i regel mindre respekt för policyn och vad värre är mindre respekt för företagsledningen och ägaren till policyn.
#8 Sjösätt med flaggan i topp
När den nyskapade IT-policyn skall sjösättas görs detta med rak rygg och höjd blick. Självklart förutsätter vi att ledning, mellanchefer och avdelningschefer står bakom policyn till femhundra procent, vi förutsätter också att alla fakta är trippelkollad och att policyn är granskad av kritiska parter från olika instanser inom företaget (och kanske även externt om så tillåter).
Är detta gjort finns det INGEN anledning att sänka blicken och be om ursäkt för att en IT-policy skall implementeras. Ha förståelse för och respektera ifrågasättanden men backa ALDRIG med en lam ursäkt till varför denna policy skapades. En korrekt uppbyggd policy gagnar företaget och dess anställda oerhört mycket, det är en tillgång och resurs som saknar motstycke om den byggs upp, implementeras och efterlevs på ett riktigt sätt.
Kom också ihåg att policyn efter genomgång med de anställda SKALL signeras.
#9 Kontrollera att den efterlevs
Utför regelbundet kontroller inom organisationen med avsikt att fastställa hur policyn efterlevs. Följden av att inte kontrollera och att kontrollera är väldigt enkla att beskriva:
Att inte kontrollera
Företagets IT-policy, dess ägare och i viss mån ledningen kommer snart att vara tandlösa, och är man tandlös är det svårt att få respekt i ett hungrigt kollektiv som bara väntar på att få sätta tänderna i det man ifrågasätter meningen med.
Att kontrollera
Att kontrollera att policyn efterlevs är en ren självbevarelsedrift för alla inblandade. Genom att regelbundet kontrollera kan vi rätta till brister, skapa respekt för policyn, tala om att företaget tar seriöst på sin verksamhet, upptäcka olika typer av felhantering, vidta lämpliga åtgärder vid överträdelse samt mycket mer.
#10 Utför självkontroll
Ägaren till IT-policyn bör utföra egenkontroll och nedanstående punkter kan utgöra en del av denna kontroll.
- Är IT-policyn godkänd av företagsledningen?
- Är det fastställt vilka system och personer IT-policyn gäller?
- Är alla kritiska delar i företagets informationssystem inkluderade i IT-policyn?
- Fastställer IT-policyn på ett klart sätt vilket ansvar de olika personerna inom organisationen har?
- Är IT-policyn formbar, kan den enkelt uppdateras för att täcka in nya tekniker och hotbilder?
- Är IT-policyn upplagd på ett konkret och riktigt sätt?
- Är IT-policyn implementerad och införstådd hos samtliga medarbetare?
- Är IT-policyn signerad av samtliga medarbetare?
- Finns det en plan för intern utbildning av nya anställda samt inhyrd personal och extra personal?
- Levererar IT-policyn önskad effekt? #11 Var lyhörd
Som ägare måste du vara lyhörd kring allt som gäller IT-policyn. Ju förr du tar tag i eventuella problem, brister, överträdelser och frågor desto bättre. Var aktiv och se till att de anställda vet hur de skall kommunicera när det gäller olika saker som rör policyn.
Och en sak till…
En mycket viktig sak som vi inte har berört är konsekvens. För att en IT-policy skall vara ett kraftfullt instrument måste det finnas konsekvenser vid överträdelse. Dessa konsekvenser skall vara nogsamt beskrivna för alla inblandade parter så att det inte finns några frågetecken om vad som gäller i specifika situationer. Konsekvenserna kan vara olika för olika företag och det bör alltid ges ett utrymme för att misstag kan begås, framförallt i första delen av en policys livscykel.
Dock skall utstuderade överträdelser som innebar (eller kunde ha lett till) skada för företaget, dess egendom samt dess anställda alltid leda till någon form av konsekvens. Konsekvensens omfattning skall ställas mot överträdelsen i fråga men en rekommendation är att i policyn ange en skala som omfattar muntlig varning, skriftlig varning, avstängning från delar av en process(er) (system), avskedande samt i allvarliga fall polisanmälan. |
