Slik får du til en felles IT-policy

Hovedformålet med en IT-policy er å lage et konkret regelverk de ansatte kan rette seg etter, og forenkle administrasjonen av nett som vokser seg større og mer kompliserte i takt med virksomhetens vekst.

Noen eksempler på hva som kan trengs å reguleres er hvordan ansatte får lov å benytte Internett til privat bruk, hvilke sikkerhetsregler som gjelder for fjernarbeid, installasjon og administrasjon av beskyttelse som brannmurer og antivirus, samt hva som skal inngå i sikkerhetskopier og hvor ofte de skal tas.

Det finnes flere fremgangsmåter for å gjennomføre en god policy. Du kan bestemme deg for å håndtere alt internt og skreddersy den for bedriften. Som regel benytter du deg da av de medarbeiderne og den kompetansen som er for hånden. Ulempen er at det er svært krevende for både IT-ansatte og sjefer så vel under beslutningsfasen som i gjennomføringen.

Bruk en seriøs konsulent

En annen fremgangsmåte er å outsource hele eller deler av driften og dra nytte av outsourcingsleverandørens kunnskaper og erfaring. En mulighet er å la leverandøren håndtere policy etter eget hode, eller ha en policy som dere selv har utarbeidet eller i samråd med leverandøren. Det er alltid en god ide å ta kontakt med en velrenommert konsulent allerede på planleggingsstadiet og lufte viktige spørsmål og løsningsforslag før det tas endelige beslutninger. En altfor vanlig feil å glemme fagfolkene på IT-avdelingen i beslutningsprosessen.

Ikke sjelden blir det tatt beslutninger langt over hodet på dem som til sist skal gjennomføre det praktiske. Har du kontrollert at policyen faktisk fungerer i virkeligheten? Finnes det nok ressurser til å gjennomføre den? Kolliderer deler av vedtatt policy med eksisterende systemer eller regler? Bruk den kunnskapsbasen du har i bedriften. Et eksempel på hva du kan få svar på er hva som hender med nettet om du bestemmer deg for å kontrollere alle adresser som de ansatte besøker på Web. Tynger det ned til et nivå hvor det ikke lenger er særlig brukbart? Hvem er ansvarlig for at listene med forbudte adresser holdes à jour?

Motsetninger mellom bedrifter

Ha alltid i bakhodet at dersom du velger å outsource håndteringen av policy, så slipper du kanskje problemer med den ofte svært kompliserte driften av en IT-avdeling, men du kan i stedet få problemer med å få gjennomført ønsker som er nødvendige for bedriften.

Et typisk problem av denne typen er når dine ønsker om hvordan en policy skal være er i motstrid til eksisterende policy hos outsourcingsleverandøren. Her er det på sin plass å bestemme hvilke regler som skal gjelde ved policymotsetninger allerede før du bestemmer deg for å outsource. Sørg for å ha kontrollen selv. En annen risiko er at du blir hengende i en langvarig avtale og det etter hvert viser seg at du tross alt har behov for å forestå driften selv, og dermed håndtere policyen lokalt. For å ta et enkelt eksempel: Tenk en situasjon hvor driften er overlatt en leverandør som kjører all trafikk gjennom en egen ruter med visse restriksjoner som ikke passer dine krav til funksjonalitet. Hva har forrang? Dine krav til funksjonalitet, eller din leverandørs krav til sikkerhet i eget nett?

En viktig ting å ta med i beregningen når du endrer i policy er hvordan de ansatte reagerer. Det finnes historier her og der om sjefer som mer enn gjerne har pløyd seg gjennom ansattes e-post for å sikre at det ikke røpes hemmeligheter eller det har vært andre motiver. Selv om du har informert dem, er dette en ganske stor inngripen i den personlige integriteten til brukerne og kan gi alvorlige virkninger på arbeidsmoralen. Det gjelder å veie nøye for og i mot, og ikke trekke for hardere i strupehalsbåndet enn nødvendig. Når det gjelder ansattes bruk av Web vil nok de fleste være enige i at det er greit å lese nyhetene eller skrive til barna eller familien, men at det ikke er noe inngrep i de ansattes frihet å nekte surfing etter porno og onlinespill.

Hvilke regler skal gjelde?

Ta deg tid til å dele opp spørsmålene i segmenter og ta de største først, som bruker-, sikkerhets- og backuppolicy. Del så opp disse i mindre, og løs en ting av gangen.

Dra nytte av riktig personale for hvert av spørsmålene. For brukerpolicy er det kanskje på sin plass å ta med både personalkontor som sikkerhetsansvarlig for å få balanse. Kanskje kan det være fornuftig å outsource deler av driften? Sikkerhetskopiering er et eksempel som med fordel kan overlates til en ekstern tjenesteleverandør, siden gode løsninger er både tidkrevende og komplekse. Sett opp en kravspesifikasjon og la et dyktig konsulentfirma bekymre seg for implementeringen.

De store spørsmålene du kan ta opp i policyprosessen er hva som skal tillates og ikke når det gjelder de ansattes PC-bruk, regler for fjernarbeid og hvordan sikkerheten rundt dette skal utformes.

Her kan det nevnes krav til antivirus på bærbare, og hvilke autentiseringsrutiner som skal gjelde. Dels ved arbeid hjemme og dels på kontoret. Brannmuradministrasjon er et viktig spørsmål som bør diskuteres i samråd med en ekspert. I samme omgang bør sikkerhetsspørsmål rund Web- og ikke minst e-postservere tas opp. Hvordan er det med beskyttelse mot virus og spam? Hvordan bør det utformes for å minimere skader ved angrep? Kontroller kantbeskyttelsen på kontoret! Det er et faktum at det er lett å konsentrere seg om virus og angrep utenfra, men det er minst like farlig med ulåste dører og servere som står med innloggingen aktiv.

Lag et regelverk som alle kan følge. Sørg for rutiner for hva som er tillatt og ikke, så alle vet hva som gjelder.

Hold orden på lisensene

Hvordan er det med håndteringen av lisensene? Her slurves det mye. Bortsett fra det åpenbare du ikke vil skal ramme deg – en revisjon hvor bøtene langt overstiger kostnadene for selve programvaren – er det alltid lurt å ha full kontroll over hvilke programmer som er i bruk og at det finnes lisenser til alle. Ikke minst for å unngå at lisenser forsvinner ut gjennom døren med en klåfingret person. Dessuten er det ikke mer enn rett og rimelig at du betaler for det du bruker – ikke sant?

Kompromiss for de store

For bedrifter som finnes på flere geografiske steder, kanskje til og med i forskjellige land, blir spørsmålet om en felles policy mer komplisert. Faktum er at det er nærmest umulig. Dels på grunn av kompleksiteten, og dels fordi lover kan være forskjellige fra land til land. Her er nok den eneste løsningen å være fleksibel og ikke stå for hardt på at det er hovedkontorets policy som skal være enerådende. En altfor rigid holdning fører ofte til minirevolusjoner på lokalkontorer og policyen mister effekt. Dessuten kan misnøyen forverre eventuelle problemer. Men du kan få til en laveste fellesnevner som kontorene kan legge til grunn for å bygge lokale variasjoner. I visse tilfeller kan til og med hovedkontoret fungere som organisasjonens «outsourcingsleverandør» og får bedre kontroll over funksjonalitet og etterfølgelse.

Felles for alle er at man må høre på de synspunktene som kommer opp og ikke alltid ta beslutninger over hodet på de innblandede. Kjøp inn kompetent konsulenthjelp og prøv forskjellige løsninger for å finne frem til fordeler og ulemper. Og fremfor alt: Etterlev policyen når den vel er på plass, ellers fungerer den jo ikke etter intensjonen.

Som med det meste fungerer det best om du tenker deg om på forhånd. En enkel og kraftig strategi er å foretrekke der det er mulig – om den blir for komplisert vil den ikke bli overholdt, siden ingen forstår hva den går ut på.

Balansegangen: Sikker, men fleksibel

Det er av største viktighet at en IT-policy er tydelig og etterfølges. Samtidig må den ikke bli så rigid at det blir vanskelig å tilpasse reglene til nye situasjoner. Det er viktig å finne en balanse mellom standardisering og sikkerhetskrav på den ene siden og på den andre fleksibiliteten som kreves for raskt å kunne reagere på endringer i miljøet.

Akkurat som sikkerhetsspørsmålene i en bedrift er en IT-policy et arbeid som aldri blir ferdig. Den må utvikles og forandres underveis. Nøkkelordene er dialog, fleksibilitet og samarbeid, for alltid å kunne ligge ett skritt foran. I en god IT-policy tar du også opp spørsmålet om hvordan du ser til at den blir fulgt, og hvordan du kan kontrollere dette.