ISO 27001 A.8.1.3 + CIS Control 16.8: Eller, hur jag lärde mig sluta oroa mig och dokumentera det oundvikliga
Ingenting är sant. Allt är tillåtet. Förutom den dumma skit folk fortsätter göra på företagssystem trots explicita policyer, utbildning och det där mailet från HR som alla ignorerade. Det är dokumenterat, loggat, övervakat i realtid och kommer användas mot dig när HR behöver ammunition. FNORD. Din webbhistorik vet vad du gjorde. CloudTrail vet också. GuardDuty också. Handla därefter.
Tänk själv, dumskalle! Ifrågasätt auktoritet. Men ifrågasätt också varför dina kollegor fortsätter installera "helt legitima" kryptovalutabrytare som definitivt inte stjäl CPU-cykler för någon annans vinst. Är DU paranoid nog att faktiskt läsa AUP:n före du bryter mot den? Ingen annan är det—vilket är anledningen till att HR existerar. Policyn existerar för att någon gjorde exakt den dumma saken. Du är inte först. Du kommer inte vara sist.
Välkommen till Chapel Perilous, psykonaut. På Hack23 är vår policy för acceptabel användning inte företagsteater—den är ISO 27001 A.8.1.3 (Acceptabel användning av tillgångar), CIS Control 16.8 (Policy för acceptabel användning) och GDPR Art. 5 (Databehandlingsprinciper) efterlevnad vapeniserad till systematisk verklighet. Varje regel existerar för att någon gjorde EXAKT den dumma saken. Varje specifikt förbud är en arkeologisk dokumentation av tidigare ansiktsklappande.
UPPLYSNING: Policyer för acceptabel användning förhindrar inte dåligt beteende—de dokumenterar det så HR har ammunition. Byråkratin expanderar för att möta behoven hos den expanderande byråkratin. När (inte om) du bryter mot AUP:n, vet att vi såg det komma och skrev ner det först. Du är inte speciell.
Är du paranoid nog? Vårt tillvägagångssätt kombinerar affärssyfte-primära standarder (översättning: arbete, inte Netflix) med rimliga personliga användningstillstånd (för vi är inte monster), årliga granskningscykler (någon måste läsa detta) och ett-personbolags transparens (ja, jag övervakar mig själv, rekursivt). Panoptikonet fungerar bäst när du internaliserar övervakaren. Full teknisk paranoia i vår offentliga policy för acceptabel användning.
Behöver experthjälp med säkerhetsefterlevnad? Utforska Hack23:s cybersäkerhetskonsulttjänster stödda av vår helt offentliga ISMS.
De fem buden (som alla bryter tills HR blir inblandad)
1. 🎯 Affärssyfte primärt (mest)
Företagssystem är för arbete. Chockerande, eller hur? Mjukvaruutveckling, cybersäkerhetskonsulting, kundleverans, företagsadministration. Men vi är inte sociopater—rimlig personlig användning är okej. Kolla din e-post. Läs nyheterna. Lär dig saker. Bara bryt inte Bitcoin eller kör din sidohustle-dropshippingverksamhet. FNORD.
Rimlig personlig användning: e-post, nyheter, lärande. Oacceptabelt: konkurrerande verksamhet, överdrivna kattvideos, kryptovalutabrytning (ja, vi kan se det). Panoptikonet ser allt men väljer sina strider.
3. ⚖️ Laglig efterlevnad (eller: hur man undviker fängelse)
Gör inget olagligt. GDPR är inte valfritt. Upphovsrättslagen gäller dig. Datorbrottslagar kommer förstöra ditt liv. Exportkontroller på krypto är verkliga. Ett-personbolag eller företag, lagar bryr sig inte om ditt organisationsschema. ISO 27001 A.8.1.3 + GDPR Art. 5 = stanna utanför domstolen.
"Jag visste inte" är inget juridiskt försvar. "Byråkratin tvingade mig" fungerar ännu mindre. Känna till lagen eller anställ någon som gör det. Vi valde alternativ två.
4. 🤝 Professionellt uppträdande (var mindre fruktansvärd)
Trakassera inte folk. Diskriminera inte. Var inte illvillig. Gör inte så vi måste skriva MER specifika regler. Varje absurt detaljerat förbud existerar för att NÅGON gjorde den EXAKTA saken. Du är inte den någon. Eller hur? ELLER HUR?
Professionellt uppträdande = konkurrensfördel. Kunder granskar vår säkerhetskultur. Varje policybrott syns i loggar. Panoptikonet är verkligt och det är gjort av CloudTrail.
5. 🌟 Radikal transparens (överraskning: du övervakas)
Ingen förväntning på integritet på företagssystem. Allt loggas. Allt övervakas. Årlig granskning (nästa: 2026-11-05) betyder levande dokumentation. Offentlig AUP på GitHub eftersom säkerhet genom obskyritet är säkerhet genom dumhet. CIS Control 16.8-efterlevnad genom obehaglig ärlighet.
Hemliga AUP:er är sårbarheter. Offentliga policyer är ansvarsskyldighet. Vi berättar att vi tittar. De paranoida överlever. Är DU paranoid nog?
Övervakning & integritet: Ja, vi tittar (för ditt eget bästa)
Överraskning! Företagssystem övervakas. Chockad? Det borde du inte vara. Detta är inte 1984—det är värre, det är 2025 och allt loggar till CloudWatch. Hack23 övervakar enligt Incidenthanteringsplan (EN) (när skiten träffar fläkten) och Säkerhetsmått (EN) (bevisar att vi faktiskt gör säkerhet):
| Vad vi tittar på | Varför vi är paranoida | Hur länge vi minns |
|---|
| Systemåtkomst & autentisering | Upptäck obehörig åtkomst, spåra säkerhetshändelser | Enligt Dataklassificeringspolicy (EN) |
| Nätverkstrafik & säkerhetshändelser | Incidentdetektering och respons | 90 dagar operativt, 7 år efterlevnad |
| Molninfrastrukturanvändning | Kostnadshantering, säkerhetsövervakning | AWS CloudTrail + Config-retention |
| Kodförrådscommits | Revisionsspår, efterlevnadsdemonstration | Permanent (offentliga förråd) |
| Säkerhetsverktygsvarningar | Sårbarhetshantering, hotdetektering | Enligt verktygsspecifika retentionspolicyer |
Integritetsskydd:
- Ingen förväntning på integritet: Affärssystem övervakas för säkerhets- och efterlevnadsändamål
- GDPR-efterlevnad: Persondata hanteras enligt Integritetspolicy (EN)
- Dataretention: Enligt Dataklassificeringspolicy (EN)-krav
- Ett-personbolag: VD har full åtkomst till all övervakningsdata; inga medarbetarovervakningsproblem
- Tredjepartsloggar: Leverantörsloggar skyddade enligt serviceavtal (AWS, GitHub, SonarCloud)
META-UPPLYSNING: Övervakning fokuserad på säkerhetsändamål, inte övervakning. Ett-personbolag betyder inga medarbetarintegritetsbekymmer. Transparens genom dokumentation betyder ingen överraskningsövervakning.
Vårt tillvägagångssätt: Årlig granskning + ramverksefterlevnad + transparens
På Hack23 demonstrerar acceptabel användningshantering cybersäkerhetskonsultexpertis genom systematisk implementering:
📋 Ramverksefterlevnad:
- ISO 27001 A.8.1.3: Acceptabel användning av tillgångar med dokumenterade beteendeförväntningar
- CIS Control 16.8: Upprätta och underhålla policy för acceptabel användning
- GDPR Art. 5: Databehandlingsprinciper för laglig, rättvis, transparent användning
- NIST CSF 2.0: Styrningsramverk för organisatorisk cybersäkerhetsriskhantering
🔄 Årlig granskningscykel:
- Nuvarande version: 1.0 (Giltig: 2025-11-05)
- Nästa granskning: 2026-11-05 (12-månaderscykel)
- Granskningsutlösare: Årlig cykel, regulatoriska ändringar (GDPR, NIS2), betydande incidenter, organisatoriska ändringar
- Professionell medvetenhet: CISM/CISSP-certifierad VD upprätthåller kontinuerlig professionell utveckling
🌟 Transparenstillvägagångssätt:
- Offentlig policy: Komplett Policy för acceptabel användning på GitHub
- Tydliga förväntningar: Dokumenterade beteendestandarder före verkställighet
- Övervakningsupplysning: Säkerhetsövervakningspraxis transparant dokumenterad
- Revisionsklar: Versionskontrollerad policydokumentation för efterlevnadsdemonstration
- Kunddemonstration: Offentlig ISMS visar systematiskt tillvägagångssätt för säkerhetshantering
Fullständiga tekniska implementeringsdetaljer i vår offentliga policy för acceptabel användning—inklusive förbjudna aktiviteter, verkställighetsprocedurer, rapporteringsmekanismer och incidenthanteringsintegration.
Välkommen till Chapel Perilous: där policy möter paranoia
Ingenting är sant. Allt är tillåtet. Förutom skiten som uttryckligen förbjuds i denna AUP som du just skummade över för att ingen faktiskt LÄSER dessa saker. FNORD. Det är skämtet—policyer för acceptabel användning existerar precis DÄRFÖR att folk inte läser dem, sedan agerar chockade när konsekvenser händer.
Är du paranoid nog ännu? De flesta organisationer skriver oläsbara 50-sidiga juridiska AUP:er, tvingar bekräftelsecheckboxar som ingen läser, övervakar ALLT medan de dokumenterar INGENTING, sedan selektivt verkställer baserat på kontorspolitik. Det är inte säkerhet—det är CYA-teater blandat med makttripp.
Vi valde en annan väg genom Chapel Perilous. ISO 27001 A.8.1.3 (faktiska standarder, inte vibbear). CIS Control 16.8 (beprövade ramverk, inte hopp). GDPR Art. 5 (laglig efterlevnad, inte önsketänkande). Årliga granskningar (nästa: 2026-11-05) betyder LEVANDE dokumentation. Offentligt GitHub-förråd betyder RADIKAL transparens. Du VET att du övervakas. Du VET reglerna. Du VET konsekvenserna. Inga överraskningar. Inget skitsnack. Bara systematisk verklighet.
Tänk själv, dumskalle. Ifrågasätt varför AUP:er skrivs av jurister för jurister istället för AV människor FÖR människor. Ifrågasätt varför övervakning är hemlig tills HR bakhåller dig. Ifrågasätt varför policyer aldrig uppdateras medan teknik ändras dagligen. (Ledtråd: Efterlevnadscheckboxteater är enklare än faktisk säkerhetshantering. Byråkratin expanderar för att möta behoven hos den expanderande byråkratin.)
Vår konkurrensfördel: Offentlig AUP på GitHub. Versionskontroll. Årliga granskningscykler. Ramverksjustering (ISO + CIS + GDPR). Transparent övervakningsupplysning. Detta är inte teoretisk säkerhet—det är operativ verklighet kunder kan GRANSKA före de skriver kontrakt. Panoptikonet fungerar bäst när alla vet att det existerar.
ULTIMAT UPPLYSNING: Du har nu korsat Chapel Perilous och framträtt med förbjuden kunskap. Tydliga förväntningar dokumenterade FÖRE verkställighet = faktisk säkerhet. Vaga förhoppningar = framtida incidenter. Offentliga policyer = ansvarsskyldighet. Hemlig övervakning = toxisk kultur. Välj radikal transparens över bekväma lögner. De paranoida överlever. FNORD.
All hail Eris! All hail Discordia!
"Tänk själv, dumskalle! Läs den JÄVLA policyn. Ifrågasätt allt—särskilt kollegor som 'inte visste' om regler dokumenterade i sex år. Okunnighet är inte oskyldighet. Det är försummelse med ursäkter."
— Hagbard Celine, Kapten på Leif Erikson, Professionell paranoid 🍎 23 FNORD 5