בתור מנהל הסיכונים והציות של גורי, אני משקיע הרבה מהזמן שלי בשימוש באפליקציית גורי כדי ליצור ולארגן את המדיניות המסדירה את נהלי האבטחה של החברה שלנו. אתם יודעים... לדייק את ה-I’s... לחצות את ה-T’s... לעדכן מילים וכדומה. בעולם האבטחה, זה מה שעושים, נכון? המדיניות היא חלק חיוני כמעט בכל תוכנית ציות. בלי כללים, כולנו נהיה רק חבורה של ילדים רצים באדישות סביב הבריכה המטפורית.
לאחרונה, הייתי צריך לשקול מחדש את השגרה המאורגנת שלי כמנהל ציות ולשקול את התמונה הגדולה. חבר לעבודה שלי חשד שהוא אולי לא עוקב לחלוטין אחרי מנהל אבטחה מסוים, ולכן הוא פנה אלי ואמר שהוא לא מצליח למצוא את המדיניות על ניהול ספקים.
הופתעתי קצת, כי השקנתי מאמצים רבים לכתוב מדיניות שירותית בדיוק על "קשרים עם ספקים" ולפרסם אותה בגורי כדי שכולם יוכלו לקרוא. אני מתכוון, באמת, מה לא מכירים פה, נכון? ספק? ספק? קשרים? ובכן, אה...
אוקי, נקודה התקבלה. למעשה, השאלה שלו הייתה מעין קריאת השכמה עבור האיש הצייתן שבלי ספק מרגיש שיש לנו מדיניות ברורה ומשכנעת שכולם יכולים לקרוא. ברגע הקיומי הזה, הרעיתי על כך שהספרייה המקוונת שלי מלאה בשפה רוויה בז'רגון.
אם אנשים לא יכולים להתחבר למילים, איך הם יכולים להנחות את עצמם דרכן?
זה גרם לי לחשוב על דרכים טובות יותר לארגן מדיניות בתוך גורי. אנחנו צריכים תוכנית ציות שאינה רק עומדת בדרישות הפורמאליות של בודקים, לקוחות ושותפים אלא גם משרתת את האנשים שלעיתים היא חלה עליהם. זה גרם לי לצאת למסע איטי של הוספת רלוונטיות למדיניות, יוזמה שנשענת על שלושה שיפורים: תיוג, קישור ופישוט המדיניות עם שפה פשוטה.
האמנות האבודה של תיוג
תהליך יצירת כרטיס גורי די פשוט, אבל יש כאן מחשבה שמאלית קלה שמשולבת בארגון הכרטיס הזה והגדרתו לגילוי--איזה אוסף, איזה לוח וכו' בתור יוצר המדיניות, אני במקצת יתרון מכיוון שהכרטיסים שלי הם היררכיים ומאורגנים בדרך ברורה. אבל זה גם מתכון לבידוד, שיטה אם תרצו, הקיימת למענה עצמה ולא להפצה בין הקוראים.
שכחתי את עצמי בנעלי הסייבר של מי שיכול להיות סקרן לגבי אחריותו באבטחה, מניח שהחיפוש שלו בגורי יכלול כנראה "מדיניות אבטחה." כאשר הבטתי באחת ממדיניותי באקראי, גיליתי במהירות שלא הוספתי אפילו את הביטוי הפשוט הזה כתיוג; לכן, חיפוש היה מחזיר כל דבר מ"מדיניות חופשה" למדיניות "אבטחת תוכן" של קבוצת ההנדסה. הוספתי את המילים כתיוג, וכמו קסם, המדיניות שלי עלתה למעלה בתוצאות החיפוש. תודה, תגים!
קישור
גורי מלא בכל דבר וכל דבר שאדם צריך כדי לעשות את עבודתו. לעיתים אני מוצא את עצמי גולש לקולקציות אחרות רק כדי למעוד על כרטיסים שנראים וריחם כמו מדיניות אבטחה, והאני פנימי שלי מתוסכל מהעובדה שזה לא מאורגן בקולקציה שלי של אבטחה.
הגעתי למסקנה שבעולם הציות, כללים הם דבר נהדר לא משנה היכן הם נמצאים. האחריות היא עלי להפוך אותם לרלוונטיים למדיניות ולחבר אותם למילות מפתח בכרטיסים שלי.
לדוגמה, אם יש הנחיה ממנהל ה-IT לגבי איך לעדכן את מערכת ההפעלה במחשב הנייד שהונפק על ידי גורי, אני צריך לקשר זאת למיני המדיניות שלי דרך היפרלינק פשוט. צעד זה מאחד את תרומתו של כולם ומבצע מדיניות הרבה יותר כוללת, אחד את הכוכבים, אם תרצו, כדי לחשוף מערכת אבטחת שמש משותפת.
שפה פשוטה
אתם לא שמעתם את זה ממני, אבל אנשים במדיניות נוטים להחמיר את השפה כאשר הם יכולים. קחו את הקטע הקטן הזה מדרישת ציות בתעשייה שתישאר אנונימית: "תוכנית האבטחה של המידע, ביחס להגנה על מידע אישי, צריכה לכלול ניהול תקשורת וניהול פעולות."
אוי. זה אולי אומר משהו למחבר וכמה פקטורים של אבטחה המוטלים עליהם לאכוף את זה, אבל אדם מן השורה יימצא את עצמו scratching his head. ניהול תקשורת?ניהול פעולות? האם זה אולי יכול להיות ש, אולי אולי, שאותו פיקוח אולי יכול להתמוסס למשהו פשוט יותר, כמו, "אנחנו נגביר את אבטחת המידע האישי על ידי יישום הליכים שעלינו כולם לעקוב אחרי?"
שם. רק צמצמנו את הרטוריקה ולא איבדנו שום דבר בהליך. תאמינו או לא, פחות יכול למעשה להביא ליותר בתוכנית ציות שבה אנשים רק רוצים לדעת מה הם צריכים לעשות. אנשים כמוני צריכים להימנע מהפיתוי לחזור על רגולציה ולארוז את זה בכרטיסים. אם אנחנו לא מבינים את זה בעצמנו, איך אנחנו יכולים לצפות מאחרים לאכוף את זה?
העבודה לעולם אינה נגמרת
תיוג, קישור ופישוט מדיניות אבטחה אינם דברים שיש לבצע פעם אחת ולשכוח. זהו מסע, השקעה מתמשכת של זמן ומחשבה עבור מנהל הציות. עם מעט חשיבה ביקרית, מחברי המדיניות יכולים להשתמש בגורי כדי לאכסן מדיניות אכיפה שלא רק עומדת בדרישות רגולטורים ולקוחות אלא מדברת אל האנשים שחשובים ביותר: אלו שצריכים לבצע אותה.
בתור מנהל הסיכונים והציות של גורי, אני משקיע הרבה מהזמן שלי בשימוש באפליקציית גורי כדי ליצור ולארגן את המדיניות המסדירה את נהלי האבטחה של החברה שלנו. אתם יודעים... לדייק את ה-I’s... לחצות את ה-T’s... לעדכן מילים וכדומה. בעולם האבטחה, זה מה שעושים, נכון? המדיניות היא חלק חיוני כמעט בכל תוכנית ציות. בלי כללים, כולנו נהיה רק חבורה של ילדים רצים באדישות סביב הבריכה המטפורית.
לאחרונה, הייתי צריך לשקול מחדש את השגרה המאורגנת שלי כמנהל ציות ולשקול את התמונה הגדולה. חבר לעבודה שלי חשד שהוא אולי לא עוקב לחלוטין אחרי מנהל אבטחה מסוים, ולכן הוא פנה אלי ואמר שהוא לא מצליח למצוא את המדיניות על ניהול ספקים.
הופתעתי קצת, כי השקנתי מאמצים רבים לכתוב מדיניות שירותית בדיוק על "קשרים עם ספקים" ולפרסם אותה בגורי כדי שכולם יוכלו לקרוא. אני מתכוון, באמת, מה לא מכירים פה, נכון? ספק? ספק? קשרים? ובכן, אה...
אוקי, נקודה התקבלה. למעשה, השאלה שלו הייתה מעין קריאת השכמה עבור האיש הצייתן שבלי ספק מרגיש שיש לנו מדיניות ברורה ומשכנעת שכולם יכולים לקרוא. ברגע הקיומי הזה, הרעיתי על כך שהספרייה המקוונת שלי מלאה בשפה רוויה בז'רגון.
אם אנשים לא יכולים להתחבר למילים, איך הם יכולים להנחות את עצמם דרכן?
זה גרם לי לחשוב על דרכים טובות יותר לארגן מדיניות בתוך גורי. אנחנו צריכים תוכנית ציות שאינה רק עומדת בדרישות הפורמאליות של בודקים, לקוחות ושותפים אלא גם משרתת את האנשים שלעיתים היא חלה עליהם. זה גרם לי לצאת למסע איטי של הוספת רלוונטיות למדיניות, יוזמה שנשענת על שלושה שיפורים: תיוג, קישור ופישוט המדיניות עם שפה פשוטה.
האמנות האבודה של תיוג
תהליך יצירת כרטיס גורי די פשוט, אבל יש כאן מחשבה שמאלית קלה שמשולבת בארגון הכרטיס הזה והגדרתו לגילוי--איזה אוסף, איזה לוח וכו' בתור יוצר המדיניות, אני במקצת יתרון מכיוון שהכרטיסים שלי הם היררכיים ומאורגנים בדרך ברורה. אבל זה גם מתכון לבידוד, שיטה אם תרצו, הקיימת למענה עצמה ולא להפצה בין הקוראים.
שכחתי את עצמי בנעלי הסייבר של מי שיכול להיות סקרן לגבי אחריותו באבטחה, מניח שהחיפוש שלו בגורי יכלול כנראה "מדיניות אבטחה." כאשר הבטתי באחת ממדיניותי באקראי, גיליתי במהירות שלא הוספתי אפילו את הביטוי הפשוט הזה כתיוג; לכן, חיפוש היה מחזיר כל דבר מ"מדיניות חופשה" למדיניות "אבטחת תוכן" של קבוצת ההנדסה. הוספתי את המילים כתיוג, וכמו קסם, המדיניות שלי עלתה למעלה בתוצאות החיפוש. תודה, תגים!
קישור
גורי מלא בכל דבר וכל דבר שאדם צריך כדי לעשות את עבודתו. לעיתים אני מוצא את עצמי גולש לקולקציות אחרות רק כדי למעוד על כרטיסים שנראים וריחם כמו מדיניות אבטחה, והאני פנימי שלי מתוסכל מהעובדה שזה לא מאורגן בקולקציה שלי של אבטחה.
הגעתי למסקנה שבעולם הציות, כללים הם דבר נהדר לא משנה היכן הם נמצאים. האחריות היא עלי להפוך אותם לרלוונטיים למדיניות ולחבר אותם למילות מפתח בכרטיסים שלי.
לדוגמה, אם יש הנחיה ממנהל ה-IT לגבי איך לעדכן את מערכת ההפעלה במחשב הנייד שהונפק על ידי גורי, אני צריך לקשר זאת למיני המדיניות שלי דרך היפרלינק פשוט. צעד זה מאחד את תרומתו של כולם ומבצע מדיניות הרבה יותר כוללת, אחד את הכוכבים, אם תרצו, כדי לחשוף מערכת אבטחת שמש משותפת.
שפה פשוטה
אתם לא שמעתם את זה ממני, אבל אנשים במדיניות נוטים להחמיר את השפה כאשר הם יכולים. קחו את הקטע הקטן הזה מדרישת ציות בתעשייה שתישאר אנונימית: "תוכנית האבטחה של המידע, ביחס להגנה על מידע אישי, צריכה לכלול ניהול תקשורת וניהול פעולות."
אוי. זה אולי אומר משהו למחבר וכמה פקטורים של אבטחה המוטלים עליהם לאכוף את זה, אבל אדם מן השורה יימצא את עצמו scratching his head. ניהול תקשורת?ניהול פעולות? האם זה אולי יכול להיות ש, אולי אולי, שאותו פיקוח אולי יכול להתמוסס למשהו פשוט יותר, כמו, "אנחנו נגביר את אבטחת המידע האישי על ידי יישום הליכים שעלינו כולם לעקוב אחרי?"
שם. רק צמצמנו את הרטוריקה ולא איבדנו שום דבר בהליך. תאמינו או לא, פחות יכול למעשה להביא ליותר בתוכנית ציות שבה אנשים רק רוצים לדעת מה הם צריכים לעשות. אנשים כמוני צריכים להימנע מהפיתוי לחזור על רגולציה ולארוז את זה בכרטיסים. אם אנחנו לא מבינים את זה בעצמנו, איך אנחנו יכולים לצפות מאחרים לאכוף את זה?
העבודה לעולם אינה נגמרת
תיוג, קישור ופישוט מדיניות אבטחה אינם דברים שיש לבצע פעם אחת ולשכוח. זהו מסע, השקעה מתמשכת של זמן ומחשבה עבור מנהל הציות. עם מעט חשיבה ביקרית, מחברי המדיניות יכולים להשתמש בגורי כדי לאכסן מדיניות אכיפה שלא רק עומדת בדרישות רגולטורים ולקוחות אלא מדברת אל האנשים שחשובים ביותר: אלו שצריכים לבצע אותה.
חוויית הפלטפורמה של Guru מהלך ראשון – קח את סיור המוצר האינטראקטיבי שלנו
