Who Are Security Policies For? (A Primer On Writing Policy For People)
Sie können Ihre Sicherheitsrichtlinien lesen, aber verstehen Sie sie? Lassen Sie unseren Risk- und Compliance-Manager Ihnen zeigen, wie man wirkungsvolle und hilfreiche Richtlinien schreibt.
Als Risk- und Compliance-Manager bei Guru verbringe ich viel Zeit mit der Nutzung der Guru-App, um die Richtlinien, die unsere Sicherheitspraktiken regeln, zu erstellen und zu organisieren. Sie wissen schon... Punkte über dem i... Querstriche über dem t... Wörter und so weiter aktualisieren. In der Sicherheitswelt ist das der richtige Weg, oder? Richtlinien sind ein wesentlicher Bestandteil fast jedes Compliance-Programms. Ohne Regeln sind wir alle nur eine Gruppe von Kindern, die ungestüm um den sprichwörtlichen Pool rennen.
In letzter Zeit musste ich meine gut geordnete Routine als Compliance-Manager überdenken und das große Ganze betrachten. Ein Kollege von mir vermutete, dass er möglicherweise eine bestimmte Sicherheitspraktik nicht vollständig befolgte, also wandte er sich an mich und sagte, dass er die Richtlinie zum Lieferantenmanagement nicht finden könne.
Ich war etwas überrascht, da ich große Anstrengungen unternommen hatte, um eine perfekt brauchbare Richtlinie zu „Lieferantenbeziehungen“ zu schreiben und sie in Guru zur Verfügung zu stellen, damit alle sie lesen können. Ich meine, komm schon, was ist daran nicht zu verstehen, oder? Lieferant? Anbieter? Beziehungen? Und nun, äh...
Okay, Punkt verstanden. Tatsächlich war seine Frage eine Art Weckruf für den Compliance-Typen aus dem Elfenbeinturm, der denkt, dass wir klare und überzeugende Richtlinien haben, die alle lesen können. In diesem existenziellen Moment reflektierte ich darüber, dass meine Online-Bibliothek voll von jargonbelasteter Sprache ist.
Wenn die Leute sich nicht mit den Worten identifizieren können, wie können sie dann von ihnen geleitet werden?
Das brachte mich auf die Idee, bessere Wege zur Organisation der Richtlinien innerhalb von Guru zu finden. Wir brauchen ein Compliance-Programm, das nicht nur die Formalitäten erfüllt, die von Prüfern, Kunden und Partnern gefordert werden, sondern tatsächlich den Menschen dient, für die es gilt. Es hat mich dazu angeregt, eine langsame Kampagne zu starten, um den Richtlinien Relevanz hinzuzufügen, ein Unterfangen, das auf drei Verbesserungen basiert: Tagging, Verlinkung und Vereinfachung der Richtlinien mit einfacher Sprache.
Die verlorene Kunst des Taggings
Der Prozess zur Erstellung einer Guru-Karte ist recht einfach, aber es gibt einen kleinen analytischen Aspekt, der in die Organisation dieser Karte und die Vorbereitung auf die Entdeckung einfließt – welche Sammlung, welches Board usw. Als Richtlinienautor habe ich einen gewissen Vorteil, da meine Karten hierarchisch sind und in einer selbsterklärenden Weise organisiert sind. Aber das ist auch ein Rezept für Isolation, eine Art Stovepipe, die nur ihrer selbst wegen existiert und nicht zur Verbreitung unter den Lesern dient.
Ich habe mich in die Lage eines jeden versetzt, der möglicherweise neugierig auf seine Sicherheitsverantwortlichkeiten ist, und angenommen, dass seine Guru-Suche wahrscheinlich „Sicherheitsrichtlinie“ umfassen würde. Als ich zufällig eine meiner Richtlinien ansah, stellte ich schnell fest, dass ich diesen einfachen Ausdruck nicht einmal als Tag hinzugefügt hatte; daher würde eine Suche alles zurückgeben, von „Urlaubsrichtlinie“ bis zur „Inhaltsrichtlinie“ der Ingenieure. Ich fügte die Wörter als Tag hinzu, und wie durch Zauberei stiegen meine Richtlinien an die Spitze der Suchergebnisse. Danke, Tags!
Verlinkung
Guru ist voll von allem, was eine Person braucht, um ihren Job zu machen. Manchmal finde ich mich in anderen Sammlungen umherstreifen und stolpere über Karten, die wie Sicherheitsrichtlinien aussehen und riechen, und mein engstirniges inneres Ich macht sich Gedanken darüber, dass sie nicht in meiner Sicherheitskollektion organisiert sind.
Ich habe erkannt, dass im Compliance-Bereich Regeln eine großartige Sache sind, egal wo sie leben. Die Verantwortung liegt bei mir, sie relevant für die Richtlinien zu machen und sie mit Schlüsselwörtern in meinen Karten zu verknüpfen.
Wenn es zum Beispiel Empfehlungen vom IT-Manager dazu gibt, wie man sein Betriebssystem auf seinem von Guru ausgegebenen Laptop aktualisiert, sollte ich es mit meiner „Arbeitsstationsrichtlinie“ über einen einfachen Hyperlink verknüpfen. Dieser Schritt bringt die Beiträge aller in Einklang und macht die Richtlinie inklusiver, als ob man die Planeten ausrichtet, um ein gemeinsames Sicherheitssonnensystem zu enthüllen.
Einfache Sprache
Sie haben das nicht von mir gehört, aber Richtlinienverfasser neigen dazu, die Sprache zu komplizieren, wenn sie können. Nehmen Sie diesen kleinen Auszug aus einer branchenbezogenen Compliance-Anforderung, die anonym bleiben soll: „Das Informationssicherheitsprogramm im Hinblick auf den Schutz persönlicher Informationen sollte das Kommunikationsmanagement und das Betriebsmanagement umfassen.“
Uff. Das mag für den Autor und einige wenige Sicherheits-Puristen, die damit betraut sind, es durchzusetzen, von Bedeutung sein, aber der Laie könnte sich nur am Kopf kratzen. Kommunikationsmanagement?Betriebsmanagement? Könnte es sein, dass vielleicht, nur vielleicht, dasselbe Mandat in etwas Einfacheres, wie „Wir sichern persönliche Daten durch die Implementierung von Verfahren, denen wir alle folgen müssen?“
Da. Wir haben die Rhetorik gesenkt, ohne dabei etwas im Prozess zu verlieren. Glauben Sie es oder nicht, weniger kann in einem Compliance-Programm tatsächlich mehr bedeuten, wo die Menschen nur wissen wollen, was sie tun sollen. Compliance-Typen wie ich sollten der Versuchung widerstehen, Regelungen nachzuplappern und sie in Karten zu verpacken. Wenn wir es nicht selbst verstehen, wie können wir dann erwarten, dass andere es umsetzen?
Die Arbeit hört nie auf
Tagging, Verlinkung und die Vereinfachung von Sicherheitsrichtlinien sind keine Dinge, die man einmal erledigt und dann vergisst. Dies ist eine Reise, eine kontinuierliche Investition von Zeit und Gedanken für den Compliance-Manager. Mit etwas kritischem Denken können Richtlinienautoren Guru nutzen, um durchsetzbare Richtlinien zu erstellen, die nicht nur die Anforderungen von Regulierungsbehörden und Kunden erfüllen, sondern auch den Menschen zugutekommen, die am wichtigsten sind: jenen, die sie umsetzen müssen.
Als Risk- und Compliance-Manager bei Guru verbringe ich viel Zeit mit der Nutzung der Guru-App, um die Richtlinien, die unsere Sicherheitspraktiken regeln, zu erstellen und zu organisieren. Sie wissen schon... Punkte über dem i... Querstriche über dem t... Wörter und so weiter aktualisieren. In der Sicherheitswelt ist das der richtige Weg, oder? Richtlinien sind ein wesentlicher Bestandteil fast jedes Compliance-Programms. Ohne Regeln sind wir alle nur eine Gruppe von Kindern, die ungestüm um den sprichwörtlichen Pool rennen.
In letzter Zeit musste ich meine gut geordnete Routine als Compliance-Manager überdenken und das große Ganze betrachten. Ein Kollege von mir vermutete, dass er möglicherweise eine bestimmte Sicherheitspraktik nicht vollständig befolgte, also wandte er sich an mich und sagte, dass er die Richtlinie zum Lieferantenmanagement nicht finden könne.
Ich war etwas überrascht, da ich große Anstrengungen unternommen hatte, um eine perfekt brauchbare Richtlinie zu „Lieferantenbeziehungen“ zu schreiben und sie in Guru zur Verfügung zu stellen, damit alle sie lesen können. Ich meine, komm schon, was ist daran nicht zu verstehen, oder? Lieferant? Anbieter? Beziehungen? Und nun, äh...
Okay, Punkt verstanden. Tatsächlich war seine Frage eine Art Weckruf für den Compliance-Typen aus dem Elfenbeinturm, der denkt, dass wir klare und überzeugende Richtlinien haben, die alle lesen können. In diesem existenziellen Moment reflektierte ich darüber, dass meine Online-Bibliothek voll von jargonbelasteter Sprache ist.
Wenn die Leute sich nicht mit den Worten identifizieren können, wie können sie dann von ihnen geleitet werden?
Das brachte mich auf die Idee, bessere Wege zur Organisation der Richtlinien innerhalb von Guru zu finden. Wir brauchen ein Compliance-Programm, das nicht nur die Formalitäten erfüllt, die von Prüfern, Kunden und Partnern gefordert werden, sondern tatsächlich den Menschen dient, für die es gilt. Es hat mich dazu angeregt, eine langsame Kampagne zu starten, um den Richtlinien Relevanz hinzuzufügen, ein Unterfangen, das auf drei Verbesserungen basiert: Tagging, Verlinkung und Vereinfachung der Richtlinien mit einfacher Sprache.
Die verlorene Kunst des Taggings
Der Prozess zur Erstellung einer Guru-Karte ist recht einfach, aber es gibt einen kleinen analytischen Aspekt, der in die Organisation dieser Karte und die Vorbereitung auf die Entdeckung einfließt – welche Sammlung, welches Board usw. Als Richtlinienautor habe ich einen gewissen Vorteil, da meine Karten hierarchisch sind und in einer selbsterklärenden Weise organisiert sind. Aber das ist auch ein Rezept für Isolation, eine Art Stovepipe, die nur ihrer selbst wegen existiert und nicht zur Verbreitung unter den Lesern dient.
Ich habe mich in die Lage eines jeden versetzt, der möglicherweise neugierig auf seine Sicherheitsverantwortlichkeiten ist, und angenommen, dass seine Guru-Suche wahrscheinlich „Sicherheitsrichtlinie“ umfassen würde. Als ich zufällig eine meiner Richtlinien ansah, stellte ich schnell fest, dass ich diesen einfachen Ausdruck nicht einmal als Tag hinzugefügt hatte; daher würde eine Suche alles zurückgeben, von „Urlaubsrichtlinie“ bis zur „Inhaltsrichtlinie“ der Ingenieure. Ich fügte die Wörter als Tag hinzu, und wie durch Zauberei stiegen meine Richtlinien an die Spitze der Suchergebnisse. Danke, Tags!
Verlinkung
Guru ist voll von allem, was eine Person braucht, um ihren Job zu machen. Manchmal finde ich mich in anderen Sammlungen umherstreifen und stolpere über Karten, die wie Sicherheitsrichtlinien aussehen und riechen, und mein engstirniges inneres Ich macht sich Gedanken darüber, dass sie nicht in meiner Sicherheitskollektion organisiert sind.
Ich habe erkannt, dass im Compliance-Bereich Regeln eine großartige Sache sind, egal wo sie leben. Die Verantwortung liegt bei mir, sie relevant für die Richtlinien zu machen und sie mit Schlüsselwörtern in meinen Karten zu verknüpfen.
Wenn es zum Beispiel Empfehlungen vom IT-Manager dazu gibt, wie man sein Betriebssystem auf seinem von Guru ausgegebenen Laptop aktualisiert, sollte ich es mit meiner „Arbeitsstationsrichtlinie“ über einen einfachen Hyperlink verknüpfen. Dieser Schritt bringt die Beiträge aller in Einklang und macht die Richtlinie inklusiver, als ob man die Planeten ausrichtet, um ein gemeinsames Sicherheitssonnensystem zu enthüllen.
Einfache Sprache
Sie haben das nicht von mir gehört, aber Richtlinienverfasser neigen dazu, die Sprache zu komplizieren, wenn sie können. Nehmen Sie diesen kleinen Auszug aus einer branchenbezogenen Compliance-Anforderung, die anonym bleiben soll: „Das Informationssicherheitsprogramm im Hinblick auf den Schutz persönlicher Informationen sollte das Kommunikationsmanagement und das Betriebsmanagement umfassen.“
Uff. Das mag für den Autor und einige wenige Sicherheits-Puristen, die damit betraut sind, es durchzusetzen, von Bedeutung sein, aber der Laie könnte sich nur am Kopf kratzen. Kommunikationsmanagement?Betriebsmanagement? Könnte es sein, dass vielleicht, nur vielleicht, dasselbe Mandat in etwas Einfacheres, wie „Wir sichern persönliche Daten durch die Implementierung von Verfahren, denen wir alle folgen müssen?“
Da. Wir haben die Rhetorik gesenkt, ohne dabei etwas im Prozess zu verlieren. Glauben Sie es oder nicht, weniger kann in einem Compliance-Programm tatsächlich mehr bedeuten, wo die Menschen nur wissen wollen, was sie tun sollen. Compliance-Typen wie ich sollten der Versuchung widerstehen, Regelungen nachzuplappern und sie in Karten zu verpacken. Wenn wir es nicht selbst verstehen, wie können wir dann erwarten, dass andere es umsetzen?
Die Arbeit hört nie auf
Tagging, Verlinkung und die Vereinfachung von Sicherheitsrichtlinien sind keine Dinge, die man einmal erledigt und dann vergisst. Dies ist eine Reise, eine kontinuierliche Investition von Zeit und Gedanken für den Compliance-Manager. Mit etwas kritischem Denken können Richtlinienautoren Guru nutzen, um durchsetzbare Richtlinien zu erstellen, die nicht nur die Anforderungen von Regulierungsbehörden und Kunden erfüllen, sondern auch den Menschen zugutekommen, die am wichtigsten sind: jenen, die sie umsetzen müssen.
Erleben Sie die Leistungsfähigkeit der Guru-Plattform aus erster Hand – machen Sie unsere interaktive Produkttour
