Who Are Security Policies For? (A Primer On Writing Policy For People)
Vous pouvez lire vos politiques de sécurité, mais les comprenez-vous ? Laissez notre Responsable des Risques et de la Conformité vous montrer comment rédiger des politiques percutantes et utiles.
En tant que Responsable des Risques et de la Conformité pour Guru, je consacre une bonne partie de mon temps à utiliser l'application Guru pour créer et organiser les politiques qui régissent les pratiques de sécurité de notre entreprise. Vous savez...mettre des points sur les i...traverser les t...mettre à jour les mots et autres. Dans le monde de la sécurité, c’est ce qu’il faut faire, non ? La politique est une partie essentielle de presque tout programme de conformité. Sans règles, nous ne sommes qu'une bande d'enfants courant sans réfléchir autour de la piscine proverbial.
Récemment, j'ai dû repenser ma routine bien ordonnée en tant que responsable de la conformité et considérer la situation dans son ensemble. Un de mes collègues soupçonnait qu'il ne suivait peut-être pas complètement une pratique de sécurité particulière, alors il m'a contacté pour dire qu'il ne pouvait pas trouver la politique sur la gestion des fournisseurs.
J'ai été quelque peu surpris, car j'avais déployé de grands efforts pour rédiger une politique parfaitement serviceable sur les « relations avec les fournisseurs » et la poster dans Guru pour que tout le monde puisse la lire. Je veux dire, allez, qu'est-ce qu'il n'y a pas à comprendre, n'est-ce pas ? Fournisseur ? Relations ? Et, eh bien, euh...
D'accord, message reçu. En fait, sa question était quelque sort de signal d’alarme pour le responsable de la conformité qui croit que nous avons des politiques claires et convaincantes pour tous à lire. Dans ce moment existentiel, j'ai réfléchi au fait que ma bibliothèque en ligne est pleine de jargon.
Si les gens ne peuvent pas s'identifier aux mots, comment peuvent-ils être guidés par eux ?
Cela m'a fait réfléchir à de meilleures façons d'organiser la politique au sein de Guru. Nous avons besoin d'un programme de conformité qui non seulement satisfait à la formalité exigée par les auditeurs, clients et partenaires mais qui sert réellement les personnes auxquelles il s'applique. Cela m'a conduit à entreprendre une campagne lente d'ajout de pertinence à la politique, une entreprise qui repose sur trois améliorations : taguer, lier et simplifier la politique avec un langage clair.
L'art perdu de la taguage
Le processus de création d'une carte Guru est assez simple, mais il y a une petite considération qui entre en jeu lors de l'organisation de cette carte et de sa configuration pour la découverte—quelle collection, quel tableau, etc. En tant que créateur de politique, j'ai un certain avantage car mes cartes sont hiérarchiques et organisées de manière évidente. Mais c'est aussi une recette pour l'isolement, une sorte de cloisonnement si vous voulez, qui existe pour elle-même et non pour la diffusion parmi les lecteurs.
Je me suis mis dans la peau de quiconque pourrait être curieux au sujet de ses responsabilités en matière de sécurité, en supposant que sa recherche sur Guru inclurait probablement « politique de sécurité ». Jetant un coup d'œil à une de mes politiques au hasard, j'ai rapidement découvert que je n'avais même pas ajouté cette simple phrase comme tag ; d'où, une recherche renverrait tout, de la « politique de vacances » à la « politique de sécurité des contenus » du groupe d'ingénierie. J'ai ajouté les mots en tant que tag, et, comme par magie, mes politiques sont apparues en tête des résultats de recherche. Merci, tags !
Liaison
Guru regorge de tout ce dont une personne a besoin pour faire son travail. Je me retrouve parfois à parcourir d'autres collections seulement pour tomber sur des cartes qui ressemblent à une politique de sécurité, et mon moi local s'inquiète du fait qu'elles ne sont pas organisées dans ma collection de sécurité.
Je me suis rendu compte que dans le monde de la conformité, les règles sont une bonne chose peu importe où elles se trouvent. C'est à moi de les rendre pertinentes pour la politique et de les lier aux mots-clés dans mes cartes.
Par exemple, s'il y a des conseils du responsable informatique sur la manière de mettre à jour son système d'exploitation sur son ordinateur portable fourni par Guru, je devrais le rattacher à ma « politique de poste de travail » par un simple lien hypertexte. Cette étape aligne les contributions de chacun et rend la politique plus inclusive, alignant les planètes, pour ainsi dire, afin de révéler un système solaire de sécurité commun.
Langage clair
Vous ne l'avez pas entendu de ma part, mais les personnes chargées des politiques ont tendance à compliquer le langage quand elles le peuvent. Prenez ce petit extrait d'une exigence de conformité du secteur qui restera sans nom : « Le programme de sécurité de l'information, en relation avec la protection des informations personnelles, devrait inclure la gestion des communications et la gestion des opérations. »
Ouille. Cela peut signifier quelque chose pour l'auteur et quelques puristes de la sécurité chargés de l'appliquer, mais la personne moyenne pourrait rester perplexe. Gestion des communications ?Gestion des opérations ? Pourrait-il être que peut-être, juste peut-être, que le même mandat pourrait être simplifié en quelque chose de plus simple, comme, « Nous sécuriserons les données personnelles en mettant en œuvre des procédures que nous devons tous suivre ? »
Voilà. Nous venons de réduire le jargon sans rien perdre au passage. Croyez-le ou non, moins peut en fait signifier plus dans un programme de conformité où les gens veulent juste savoir ce qu'ils sont censés faire. Les types de conformité comme moi devraient éviter la tentation de répéter la réglementation et de l'emballer dans des cartes. Si nous ne le comprenons pas nous-mêmes, comment pouvons-nous nous attendre à ce que les autres le mettent en œuvre ?
Le travail ne s'arrête jamais
Taguer, lier et simplifier la politique de sécurité ne sont pas des choses à faire une fois et à oublier. C'est un voyage, un investissement continu de temps et de réflexion pour le responsable de la conformité. Avec un peu de pensée critique, les auteurs de politique peuvent tirer parti de Guru pour abriter des politiques exécutables qui non seulement satisfont aux exigences des régulateurs et des clients, mais s'adressent aux personnes qui comptent le plus : ceux qui doivent les mettre en œuvre.
En tant que Responsable des Risques et de la Conformité pour Guru, je consacre une bonne partie de mon temps à utiliser l'application Guru pour créer et organiser les politiques qui régissent les pratiques de sécurité de notre entreprise. Vous savez...mettre des points sur les i...traverser les t...mettre à jour les mots et autres. Dans le monde de la sécurité, c’est ce qu’il faut faire, non ? La politique est une partie essentielle de presque tout programme de conformité. Sans règles, nous ne sommes qu'une bande d'enfants courant sans réfléchir autour de la piscine proverbial.
Récemment, j'ai dû repenser ma routine bien ordonnée en tant que responsable de la conformité et considérer la situation dans son ensemble. Un de mes collègues soupçonnait qu'il ne suivait peut-être pas complètement une pratique de sécurité particulière, alors il m'a contacté pour dire qu'il ne pouvait pas trouver la politique sur la gestion des fournisseurs.
J'ai été quelque peu surpris, car j'avais déployé de grands efforts pour rédiger une politique parfaitement serviceable sur les « relations avec les fournisseurs » et la poster dans Guru pour que tout le monde puisse la lire. Je veux dire, allez, qu'est-ce qu'il n'y a pas à comprendre, n'est-ce pas ? Fournisseur ? Relations ? Et, eh bien, euh...
D'accord, message reçu. En fait, sa question était quelque sort de signal d’alarme pour le responsable de la conformité qui croit que nous avons des politiques claires et convaincantes pour tous à lire. Dans ce moment existentiel, j'ai réfléchi au fait que ma bibliothèque en ligne est pleine de jargon.
Si les gens ne peuvent pas s'identifier aux mots, comment peuvent-ils être guidés par eux ?
Cela m'a fait réfléchir à de meilleures façons d'organiser la politique au sein de Guru. Nous avons besoin d'un programme de conformité qui non seulement satisfait à la formalité exigée par les auditeurs, clients et partenaires mais qui sert réellement les personnes auxquelles il s'applique. Cela m'a conduit à entreprendre une campagne lente d'ajout de pertinence à la politique, une entreprise qui repose sur trois améliorations : taguer, lier et simplifier la politique avec un langage clair.
L'art perdu de la taguage
Le processus de création d'une carte Guru est assez simple, mais il y a une petite considération qui entre en jeu lors de l'organisation de cette carte et de sa configuration pour la découverte—quelle collection, quel tableau, etc. En tant que créateur de politique, j'ai un certain avantage car mes cartes sont hiérarchiques et organisées de manière évidente. Mais c'est aussi une recette pour l'isolement, une sorte de cloisonnement si vous voulez, qui existe pour elle-même et non pour la diffusion parmi les lecteurs.
Je me suis mis dans la peau de quiconque pourrait être curieux au sujet de ses responsabilités en matière de sécurité, en supposant que sa recherche sur Guru inclurait probablement « politique de sécurité ». Jetant un coup d'œil à une de mes politiques au hasard, j'ai rapidement découvert que je n'avais même pas ajouté cette simple phrase comme tag ; d'où, une recherche renverrait tout, de la « politique de vacances » à la « politique de sécurité des contenus » du groupe d'ingénierie. J'ai ajouté les mots en tant que tag, et, comme par magie, mes politiques sont apparues en tête des résultats de recherche. Merci, tags !
Liaison
Guru regorge de tout ce dont une personne a besoin pour faire son travail. Je me retrouve parfois à parcourir d'autres collections seulement pour tomber sur des cartes qui ressemblent à une politique de sécurité, et mon moi local s'inquiète du fait qu'elles ne sont pas organisées dans ma collection de sécurité.
Je me suis rendu compte que dans le monde de la conformité, les règles sont une bonne chose peu importe où elles se trouvent. C'est à moi de les rendre pertinentes pour la politique et de les lier aux mots-clés dans mes cartes.
Par exemple, s'il y a des conseils du responsable informatique sur la manière de mettre à jour son système d'exploitation sur son ordinateur portable fourni par Guru, je devrais le rattacher à ma « politique de poste de travail » par un simple lien hypertexte. Cette étape aligne les contributions de chacun et rend la politique plus inclusive, alignant les planètes, pour ainsi dire, afin de révéler un système solaire de sécurité commun.
Langage clair
Vous ne l'avez pas entendu de ma part, mais les personnes chargées des politiques ont tendance à compliquer le langage quand elles le peuvent. Prenez ce petit extrait d'une exigence de conformité du secteur qui restera sans nom : « Le programme de sécurité de l'information, en relation avec la protection des informations personnelles, devrait inclure la gestion des communications et la gestion des opérations. »
Ouille. Cela peut signifier quelque chose pour l'auteur et quelques puristes de la sécurité chargés de l'appliquer, mais la personne moyenne pourrait rester perplexe. Gestion des communications ?Gestion des opérations ? Pourrait-il être que peut-être, juste peut-être, que le même mandat pourrait être simplifié en quelque chose de plus simple, comme, « Nous sécuriserons les données personnelles en mettant en œuvre des procédures que nous devons tous suivre ? »
Voilà. Nous venons de réduire le jargon sans rien perdre au passage. Croyez-le ou non, moins peut en fait signifier plus dans un programme de conformité où les gens veulent juste savoir ce qu'ils sont censés faire. Les types de conformité comme moi devraient éviter la tentation de répéter la réglementation et de l'emballer dans des cartes. Si nous ne le comprenons pas nous-mêmes, comment pouvons-nous nous attendre à ce que les autres le mettent en œuvre ?
Le travail ne s'arrête jamais
Taguer, lier et simplifier la politique de sécurité ne sont pas des choses à faire une fois et à oublier. C'est un voyage, un investissement continu de temps et de réflexion pour le responsable de la conformité. Avec un peu de pensée critique, les auteurs de politique peuvent tirer parti de Guru pour abriter des politiques exécutables qui non seulement satisfont aux exigences des régulateurs et des clients, mais s'adressent aux personnes qui comptent le plus : ceux qui doivent les mettre en œuvre.
Découvrez la puissance de la plateforme Guru de première main - faites notre visite interactive du produit
