En lyckad IT-policy är viktigt
Vad händer om någon stoppar in ett infekterat USB-minne i en dator på arbetsplatsen, eller om någon jailbreakar sin jobb-telefon? Frågan är inte om det kommer hända utan när det händer. En IT-policy är riktlinjer för de anställda och beskriver hur företaget vill att de ska agera i olika sammanhang. Exempelvis: vad kan anses utgöra företagshemligheter, vad förväntar sig företaget av den anställde, hur får den anställde agera i sin yrkesroll när den surfar på nätet, vad har arbetsgivaren för möjlighet att gå in och kontrollera, etc. En genomtänkt IT-policy bör spegla din företagskultur och ska vara i harmoni med din verksamhet. Ramarna man sätter upp för de anställda förebygger nämligen många framtida problem.
1. Ha ett tydligt syfte
Först och främst ska du fundera på vad syftet med IT-policyn är, så att du inte bara skapar ett dokument för sakens skull. Du ska tillsammans med andra ledare lyfta fram de frågor som är viktiga för organisationen, förklara dem kort och ta fram konkreta åtgärder, så att det blir lättillgängligt och begripligt. Om du inte kan förklara varför policyn finns, kan du inte heller förvänta dig att dina anställda kommer följa den. Var tydlig och konkret så uppstår ingen osäkerhet över de åtgärder ni beslutat ska ingå i er policy.
2. Bestäm vem som äger IT-policyn
Oftast är det CIO:n som ansvarar för IT-policyn, men det beror givetvis på hur organisationen är formad. En viktig sak att komma ihåg är att man inte ska skriva IT-policyn själv, utan förankra den tillsammans med några ur ledningen. Där ska man främst bestämma vad för slags saker som behöver regleras samt för att förebygga problem försöka förutspå framtida utmaningar. Utveckla därför inte IT-policyn i ett vakuum. Eftersom riktlinjerna kommer att gälla alla avdelningar i företaget, är det en bra idé att även ta med anställda från andra avdelningar i dess framtagning.
3. Keep it simple
De flesta företag är inte stora som Google, därför behöver inte IT-policyn vara ett långt och svårnavigerat dokument, bygg den med målet att hjälpa verksamheten. Den ska helt enkelt ses som en vägledning för de anställda, så att de vet hur de ska agera. Försök därför hålla dig ifrån en tjock regelbok. Undvik också tung jargong och håll det kort och koncist. Det räcker att den består av stolpar med kommentarer. Använd heller inte en synonymordbok för att ändra slumpmässiga ord i ett försök att låta smart.
4. Människor är inte perfekta
Acceptera att du inte kommer att ha en policy för varje situation som skulle kunna uppstå. Fokusera därför hårdast på att öka användarmedvetenheten. Börja enkelt med regler som ”ge inte ut ditt lösenord över telefon” och ”diskutera inte klient A med kund B”, punkter som brukar vara en bra start.,
5. Omfatta alla IT-system
IT-policyn bör i stort sett omfatta alla IT-system, datarörelser och lagring inom företaget för alla anställda. Det hjälper därför att bryta ner dokumentet i enkla sektioner. E-post, Internet och datalagring. Du kan också vilja inkludera immateriell egendom, tillgänglighet på IT-prylar, chatprogram, användning av hårdvara (bärbara datorer och mobiltelefoner), bredbandet i hemmet som betalas av företaget etc. Ni väljer hur omfattande ni vill att det ska vara.
6. Håll IT-policyn central
De flesta företag kämpar med policyhantering eftersom de har otaliga versioner som flyter runt i organisationen. Det är bäst att ha en central lagringsplats för alla policyer (HR, Juridik, IT) eftersom det ger en helhetssyn och lätt åtkomst. Beroende på hur många riktlinjer ni har, skulle det vara klokt att använda ett kalkylblad som beskriver policys namn, ägare, giltighetsdatum (senast), status (utkast eller levande), och nästa datum för när översyn bör ske.
7. Kommunicera rätt
Att uppdatera er policy utan att korrekt kommunicera ut detta till berörda anställda är som att tala till döva. Annonsera den på företagets intranät, tala med chefer, berätta den för folk du träffar på fikarasterna, etc. Det räcker inte att bara skicka ett mail ut i organisationen.
8. Ge alternativ
Riktlinjer kan inte existera i isolering från verksamheten. Till exempel kan du inte förbjuda användningen av Dropbox i din organisation utan att ge dina anställda ett rimligt alternativ, speciellt om ditt företag behöver liknande verktyg. Därför måste du försöka förenkla människors vardag. Om du inte gör det kommer de oftast gå runt policyn ändå för att få jobbet gjort. Bland undersökningar som har gjorts av individer som erkänt att de har brutit mot bolagets IT-policyer, sade 41 procent att de gjorde det för att bli mer produktiva och få sina jobb gjorda. Ytterligare 20 procent av respondenterna nämnde att de inte tror att deras IT-avdelning skulle genomdriva policyn.
9. IT-policyn är inget avtal, men..
Trots att det inte är ett avtal kan följderna av att inte följa en tydligt uppställd IT-policy få juridiska konsekvenser. IT-policyn ger dig samtidigt stöd om du måste hantera juridiska frågor.
10. Din brandvägg kan guida dig
Börja med att granska dina brandväggsregler som utgångspunkt.
De saker som du släpper igenom din brandvägg eller inte kan definiera vad din säkerhetshållning egentligen är.
11. Det är ett levande dokument
Granska er IT-policy årligen och/eller när organisationen behöver förändring.
Att ha en policy som sitter i ett dokumentskåp och samlar damm är värdelöst. Med tanke på den föränderliga värld vi lever i så bör IT-policyn aktivt upprätthållas, men med restriktioner som vi kommer till nedan.
12. Undvik ständiga uppdateringar
Uppdatera inte er policy för ofta. Sträva efter att skapa breda policyer som lever länge. Om dina policyer kräver frekventa uppdateringar så är de förmodligen för restriktiva eller för specifika. Till exempel, om du har en regel som säger att ”Alla stationära datorer ska använda ett Windows 8 operativsystem ” så måste du uppdatera regeln så fort nyare operativsystem släpps och äldre blir otillgängliga. Istället borde du skriva något i stil med ”Alla datorer kommer att användas med ett säkert, modernt operativsystem ”, vilket tillåter mer flexibilitet.
