7 tips när du skriver ditt företags IT-Policy

I nästan alla företag och organisationer är framgångarna beroende av en välfungerande och tillförlitlig IT som stöd i den dagliga verksamheten. Men inte alla har sett nyttan med att implementera en IT-policy, vilket dessvärre kan ha en negativ effekt på både produktivitet och säkerhet. Vi vill peka på varför det kan vara så, samt ge några råd på vägen för dig som tänker skrida till verket.

En IT-policy kan ha många syften. Dels kan den, som vi nämner ovan, säkerställa och öka produktiviteten, vilket vi återkommer till, men också hjälpa till att minimera de risker som kommer med IT-användandet. Sammanfattningsvis kan man säga att en IT-policy är en vägledning till, eller krav på, hur organisationens medarbetare skall arbeta och förhålla sig till företagets IT-säkerhet och dess IT-resurser.

Tänk igenom och ha lagom nivå

En it-policy är inte något man upprättar i en handvändning. Den ska ha ett tydligt syfte och vara ett genomarbetat och väl uttänkt dokument. En IT-policy också måste vara kort och koncist, för slutar det i en ”roman” är det ingen som varken läser eller följer den. Därmed inte sagt den bara ska innehålla korta obegripliga floskler. Vårt tips är att istället ta med de viktigaste punkterna och utelämna resten. Sannolikt är detaljer kring samarbetsrutiner samt IT-säkerhet bra att ha med. Tänk på att detta skall vara en hjälp för organisationen. En vägledning (eller i vissa fall krav) för de anställda att agera rätt i givna situationer.

Arbetssätt och rutiner

Goda rutiner och produktivitet brukar vara synonymt i de flesta organisationer, undantaget möjligen branscher som ställer långtgående kreativa krav på sitt manskap. Rutiner och vägledning blir här därför översatt i termer av IT-användning. Hur kan ni som organisation optimera era IT-resurser, är en lämplig fråga att ställa sig? Det kan exempelvis handla om rekommenderad mjukvara och konformitet, regler för intern och extern digital kommunikation samt rutiner vid hanterandet av konfidentiellt eller känsligt material (mer om det nedan). Men det kan även ibland, och med fördel, sträcka sig så lång som till exempel telefon- och Skype-förbud (arbetsförbud) under fredade kvällstimmar, om man anser att det kan ha positiva effekter på medarbetarnas hälsa.

 IT-resurser och gränser för privat användning

Vissa företag väljer att begränsa medarbetarnas förmåner och möjligheter att kunna nyttja organisationens IT-resurser för privat bruk. Främsta argumenten handlar givetvis om säkerhet, men kan i vissa fall även gälla resursutnyttjande om man anser att det är en viktig faktor. Men man går långt om man exempelvis förbjuder privatsurfing på företagets datorer på raster och utanför arbetstid. Den som söker vägledning för var gränsen går, hänvisas till punkt ett ovan, det vill säga: ”Ha en lagomnivå!” Men naturligtvis hör även nyttjande av sociala medier, chattfunktioner, bandbredd, nyttjande av exempelvis tjänster som Spotify, samt nedladdning av filmer mm, hit till denna punkt. Utöver detta ska det naturligtvis under alla omständigheter vara totalt bannlyst att på företagets utrustning titta på eller ladda ner material som är oetiskt, olagligt eller oförenligt med företagets övriga värdegrund eller policy.

Hantering av känsliga data som persondata och företagshemligheter

Det här är verkligen en springande punkt och som bör finnas med i varje IT-policy. Exempel på frågor ni bör ställa er är: Vad ska ni ha för rutiner gällande egna datorer eller telefoner som de anställda kanske använder i tjänsten? Ska man få ansluta USB-minnen från okända källor? Vad händer efter att en anställd ha slutat, eller om en dator innehållande känslig information blir stulen? Vad kan man göra för att minimera riskerna? Tänk på att sådana här frågor också ska utformas så att den inte bara skyddar din organisations verksamhet utan även skyddar dina kunder, dina partners samt dina medarbetare. En annan viktig detalj just nu är EU´s nya dataskyddsregler, GDPR, som träder i kraft nästa år och som kommer att ersätta nuvarande PUL. GDPR kommer att beröra alla organisationer som hanterar personuppgifter.

Rutiner för säkerhet, lagring och back-up

Rätt utformad skyddar IT-policyn bland annat mot intrång, dataförlust (backup), virusangrepp, olämpligt agerande i sociala medier, samt privat överutnyttjande av företagets IT-resurser. Angående den sista punkten och privat (över)utnyttjande – tänk på att de flesta företag inte upplever något problem gällande den sista punkten, samtidigt som en begränsning kan upplevas negativt av de som blir föremål för den. Kanske är det inte ett problem om de anställda ibland ”lånar” IT-resurser av organisationen, eller så kanske det är det. En viktigare fråga tycker vi, är då att man ser till att skriva IT-policyn på ett sådant sätt att det så långt det går minimerar risker för dataförluster. 

Det finns som alla känner till en mängd olika sätt att spara information på, och utan rutiner kan det innebära svårigheter för en organisation som vill ha kontroll på alla företagsdokument. Vad händer exempelvis när en medarbetare slutar? Fråga er hur informationen bör säkerställas så att den både är säker samt stannar inom företaget. Upprätta riktlinjer för hur medarbetare får hantera information, både internt och externt.
Sammanfattningsvis: Se regelbundet över era backup-lösningar och ha tydliga rutiner för hur de anställda hanterar och lagrar data.

Konsekvenser, ansvar och acceptans

En bra IT-policy bör även beskriva konsekvenserna av att bryta mot reglerna, speciellt om syftet är mer än bara vägledning och rekommendationer. Korrekt formulerad ska den även kunna användas som underlag vid en eventuell tvist. Kommer man så här långt har ni naturligtvis även en ansvarsfördelning om vem som ser till att policyn efterlevs i olika sammanhang, samt vem som är ansvarig när den inte gör det. Se därför till att utse en driftansvarig för ändamålet.
Något som är minst lika viktigt som allting annat när man skriver en IT-policy, är hur man planerar att informera slutanvändarna. Gör en plan som säkerställer att samtliga tar del av den och förstår den. Det kanske inte ens är säkert att de verkligen accepterar organisationens nya IT-policy. 

Rutiner som kan få extra mycket motstånd är exempelvis om man ämnar spara de anställdas internetkommunikation. En sådan punkt bör i så fall noggrant framkomma samt även motiveras så att alla förstår varför den finns. Det bör helt enkelt inte finnas någon som helst tvekan om att samtliga berörda parter känner till alla detaljer i en IT-policy och varför de finns där. Det är också värt att repetera att övervakning, diverse förbud med reprimander inte har något självändamål, utan endast bör finnas där när det finns en tydlig anledning.

Signering

En bra IT-policy bör även beskriva konsekvenserna av att bryta mot reglerna, speciellt om syftet är mer än bara vägledning och rekommendationer. Korrekt formulerad ska den även kunna användas som underlag vid en eventuell tvist. Kommer man så här långt har ni naturligtvis även en ansvarsfördelning om vem som ser till att policyn efterlevs i olika sammanhang, samt vem som är ansvarig när den inte gör det. Se därför till att utse en driftansvarig för ändamålet.
Något som är minst lika viktigt som allting annat när man skriver en IT-policy, är hur man planerar att informera slutanvändarna. Gör en plan som säkerställer att samtliga tar del av den och förstår den. Det kanske inte ens är säkert att de verkligen accepterar organisationens nya IT-policy.