Who Are Security Policies For? (A Primer On Writing Policy For People)
Puedes leer tus políticas de seguridad, pero ¿las entiendes? Deja que nuestro Gerente de Riesgos y Cumplimiento te muestre cómo redactar políticas impactantes y útiles.
Como Gerente de Riesgos y Cumplimiento para Guru, paso una buena parte de mi tiempo utilizando la aplicación Guru para crear y organizar las políticas que rigen las prácticas de seguridad de nuestra empresa. Sabes... puntuando las íes... cruzando las te... actualizando palabras y cosas así. En el mundo de la seguridad, es lo que se debe hacer, ¿verdad? La política es una parte esencial de casi cualquier programa de cumplimiento. Sin reglas, solo somos un montón de niños corriendo imprudentemente alrededor de la piscina proverbial.
Recientemente, tuve que repensar mi rutina ordenada como gerente de cumplimiento y considerar el panorama general. Un compañero de trabajo sospechaba que tal vez no estaba siguiendo completamente una práctica de seguridad en particular, así que se comunicó para decir que no podía encontrar la política sobre la gestión de proveedores.
Me sorprendió un poco, ya que me había esforzado mucho por redactar una política perfectamente aceptable sobre "relaciones con proveedores" y publicarla en Guru para que todos la leyeran. Es decir, vamos, ¿qué no se entiende, verdad? ¿Proveedor? ¿Suministrador? ¿Relaciones? Y, bueno, uh...
Está bien, entendido. De hecho, su pregunta fue algo así como un llamado de atención para el tipo de cumplimiento en la torre de marfil que siente que tenemos políticas claras y convincentes para que todos las lean. En este momento existencial, reflexioné sobre el hecho de que mi biblioteca en línea está llena de un lenguaje salpicado de jerga.
Si las personas no pueden relacionarse con las palabras, ¿cómo pueden ser guiadas por ellas?
Esto me hizo pensar en mejores formas de organizar las políticas dentro de Guru. Necesitamos un programa de cumplimiento que no solo cumpla con la formalidad requerida por auditores, clientes y socios, sino que realmente sirva a las personas a las que se aplica. Me llevó a iniciar una lenta campaña para agregar relevancia a la política, una tarea que se basa en tres mejoras: etiquetar, vincular y simplificar la política con un lenguaje claro.
El arte perdido de etiquetar
El proceso de crear una tarjeta de Guru es bastante simple, pero hay una pequeña consideración lógica que se debe tener en cuenta al organizar esa tarjeta y configurarla para el descubrimiento: qué colección, qué tablero, etc. Como creador de la política, tengo cierta ventaja en que mis tarjetas son jerárquicas y están organizadas de manera autocomprensible. Pero eso también es una receta para el aislamiento, un tubo vertical si se quiere, que existe por sí mismo y no para su difusión entre los lectores.
Me pongo en la piel cibernética de cualquier persona que pudiera tener curiosidad sobre sus responsabilidades de seguridad, asumiendo que su búsqueda en Guru incluiría "política de seguridad". Al observar una de mis políticas al azar, rápidamente descubrí que ni siquiera había agregado esta simple frase como etiqueta; por lo tanto, una búsqueda devolvería cualquier cosa, desde "política de vacaciones" hasta "política de seguridad de contenido" del grupo de ingeniería. Agregué las palabras como etiqueta y, como por arte de magia, mis políticas subieron a la parte superior de los resultados de búsqueda. ¡Gracias, etiquetas!
Vinculación
Guru está lleno de todo y más que una persona necesita para hacer su trabajo. A veces me encuentro navegando por otras colecciones solo para tropezar con tarjetas que se ven y huelen a política de seguridad, y mi yo interior parroquial se preocupa por el hecho de que no está organizada en mi colección de seguridad.
He llegado a darme cuenta de que en el mundo del cumplimiento, las reglas son algo grandioso sin importar dónde vivan. La responsabilidad recae en mí hacerlas relevantes para la política y vincularlas a palabras clave en "mis" tarjetas.
Por ejemplo, si hay una orientación del Gerente de TI sobre cómo actualizar el sistema operativo en su portátil asignado por Guru, debería relacionarlo con mi "política de estaciones de trabajo" a través de un simple hipervínculo. Este paso alinea la contribución de todos y hace que la política sea más inclusiva, alineando los planetas, por así decirlo, para revelar un sistema solar de seguridad común.
Lenguaje claro
No lo escuchaste de mí, pero las personas de política tienden a complicar en exceso el lenguaje cuando pueden. Toma este pequeño fragmento de un requisito de cumplimiento de la industria que permanecerá en el anonimato: "El programa de seguridad de la información, en relación con la protección de la información personal, debe incluir la gestión de comunicaciones y la gestión de operaciones."
Yikes. Eso puede significar algo para el autor y unos pocos puristas de seguridad encargados de hacerlo cumplir, pero la persona común podría quedarse rascándose la cabeza. ¿Gestión de comunicaciones?¿Gestión de operaciones? ¿Podría ser que tal vez, solo quizás, ese mismo mandato podría simplificarse en algo más simple, como, "Aseguraremos los datos personales implementando procedimientos que todos debemos seguir"?
Ahí. Acabamos de reducir el rhetoric y no perdimos nada en el proceso. Créelo o no, menos puede significar más en un programa de cumplimiento donde las personas solo quieren saber qué se supone que deben hacer. Los tipos de cumplimiento como yo deberían evitar la tentación de repetir las regulaciones y empaquetarlas en tarjetas. Si no lo entendemos nosotros mismos, ¿cómo podemos esperar que otros lo implementen?
El trabajo nunca se detiene
Etiquetar, vincular y simplificar la política de seguridad no son cosas que se hagan una vez y se olviden. Este es un viaje, una inversión continua de tiempo y reflexión para el gerente de cumplimiento. Con un poco de pensamiento crítico, los autores de políticas pueden aprovechar Guru para albergar políticas exigibles que no solo satisfacen a los reguladores y clientes, sino que hablan a las personas que importan más: a quienes deben ejecutarlas.
Como Gerente de Riesgos y Cumplimiento para Guru, paso una buena parte de mi tiempo utilizando la aplicación Guru para crear y organizar las políticas que rigen las prácticas de seguridad de nuestra empresa. Sabes... puntuando las íes... cruzando las te... actualizando palabras y cosas así. En el mundo de la seguridad, es lo que se debe hacer, ¿verdad? La política es una parte esencial de casi cualquier programa de cumplimiento. Sin reglas, solo somos un montón de niños corriendo imprudentemente alrededor de la piscina proverbial.
Recientemente, tuve que repensar mi rutina ordenada como gerente de cumplimiento y considerar el panorama general. Un compañero de trabajo sospechaba que tal vez no estaba siguiendo completamente una práctica de seguridad en particular, así que se comunicó para decir que no podía encontrar la política sobre la gestión de proveedores.
Me sorprendió un poco, ya que me había esforzado mucho por redactar una política perfectamente aceptable sobre "relaciones con proveedores" y publicarla en Guru para que todos la leyeran. Es decir, vamos, ¿qué no se entiende, verdad? ¿Proveedor? ¿Suministrador? ¿Relaciones? Y, bueno, uh...
Está bien, entendido. De hecho, su pregunta fue algo así como un llamado de atención para el tipo de cumplimiento en la torre de marfil que siente que tenemos políticas claras y convincentes para que todos las lean. En este momento existencial, reflexioné sobre el hecho de que mi biblioteca en línea está llena de un lenguaje salpicado de jerga.
Si las personas no pueden relacionarse con las palabras, ¿cómo pueden ser guiadas por ellas?
Esto me hizo pensar en mejores formas de organizar las políticas dentro de Guru. Necesitamos un programa de cumplimiento que no solo cumpla con la formalidad requerida por auditores, clientes y socios, sino que realmente sirva a las personas a las que se aplica. Me llevó a iniciar una lenta campaña para agregar relevancia a la política, una tarea que se basa en tres mejoras: etiquetar, vincular y simplificar la política con un lenguaje claro.
El arte perdido de etiquetar
El proceso de crear una tarjeta de Guru es bastante simple, pero hay una pequeña consideración lógica que se debe tener en cuenta al organizar esa tarjeta y configurarla para el descubrimiento: qué colección, qué tablero, etc. Como creador de la política, tengo cierta ventaja en que mis tarjetas son jerárquicas y están organizadas de manera autocomprensible. Pero eso también es una receta para el aislamiento, un tubo vertical si se quiere, que existe por sí mismo y no para su difusión entre los lectores.
Me pongo en la piel cibernética de cualquier persona que pudiera tener curiosidad sobre sus responsabilidades de seguridad, asumiendo que su búsqueda en Guru incluiría "política de seguridad". Al observar una de mis políticas al azar, rápidamente descubrí que ni siquiera había agregado esta simple frase como etiqueta; por lo tanto, una búsqueda devolvería cualquier cosa, desde "política de vacaciones" hasta "política de seguridad de contenido" del grupo de ingeniería. Agregué las palabras como etiqueta y, como por arte de magia, mis políticas subieron a la parte superior de los resultados de búsqueda. ¡Gracias, etiquetas!
Vinculación
Guru está lleno de todo y más que una persona necesita para hacer su trabajo. A veces me encuentro navegando por otras colecciones solo para tropezar con tarjetas que se ven y huelen a política de seguridad, y mi yo interior parroquial se preocupa por el hecho de que no está organizada en mi colección de seguridad.
He llegado a darme cuenta de que en el mundo del cumplimiento, las reglas son algo grandioso sin importar dónde vivan. La responsabilidad recae en mí hacerlas relevantes para la política y vincularlas a palabras clave en "mis" tarjetas.
Por ejemplo, si hay una orientación del Gerente de TI sobre cómo actualizar el sistema operativo en su portátil asignado por Guru, debería relacionarlo con mi "política de estaciones de trabajo" a través de un simple hipervínculo. Este paso alinea la contribución de todos y hace que la política sea más inclusiva, alineando los planetas, por así decirlo, para revelar un sistema solar de seguridad común.
Lenguaje claro
No lo escuchaste de mí, pero las personas de política tienden a complicar en exceso el lenguaje cuando pueden. Toma este pequeño fragmento de un requisito de cumplimiento de la industria que permanecerá en el anonimato: "El programa de seguridad de la información, en relación con la protección de la información personal, debe incluir la gestión de comunicaciones y la gestión de operaciones."
Yikes. Eso puede significar algo para el autor y unos pocos puristas de seguridad encargados de hacerlo cumplir, pero la persona común podría quedarse rascándose la cabeza. ¿Gestión de comunicaciones?¿Gestión de operaciones? ¿Podría ser que tal vez, solo quizás, ese mismo mandato podría simplificarse en algo más simple, como, "Aseguraremos los datos personales implementando procedimientos que todos debemos seguir"?
Ahí. Acabamos de reducir el rhetoric y no perdimos nada en el proceso. Créelo o no, menos puede significar más en un programa de cumplimiento donde las personas solo quieren saber qué se supone que deben hacer. Los tipos de cumplimiento como yo deberían evitar la tentación de repetir las regulaciones y empaquetarlas en tarjetas. Si no lo entendemos nosotros mismos, ¿cómo podemos esperar que otros lo implementen?
El trabajo nunca se detiene
Etiquetar, vincular y simplificar la política de seguridad no son cosas que se hagan una vez y se olviden. Este es un viaje, una inversión continua de tiempo y reflexión para el gerente de cumplimiento. Con un poco de pensamiento crítico, los autores de políticas pueden aprovechar Guru para albergar políticas exigibles que no solo satisfacen a los reguladores y clientes, sino que hablan a las personas que importan más: a quienes deben ejecutarlas.
Experimenta el poder de la plataforma Guru de primera mano: realiza nuestro recorrido interactivo por el producto
