Who Are Security Policies For? (A Primer On Writing Policy For People)
Anda dapat membaca kebijakan keamanan Anda, tetapi apakah Anda memahaminya? Biarkan Manajer Risiko dan Kepatuhan kami menunjukkan kepada Anda bagaimana cara menulis kebijakan yang berdampak dan bermanfaat.
Sebagai Manajer Risiko dan Kepatuhan untuk Guru, saya menghabiskan banyak waktu menggunakan aplikasi Guru untuk membuat dan mengatur kebijakan yang mengatur praktik keamanan perusahaan kami. Anda tahu...menandai I...melintasi T...memperbarui kata-kata dan sebagainya. Di dunia keamanan, itu adalah hal yang harus dilakukan, kan? Kebijakan adalah bagian penting dari hampir semua program kepatuhan. Tanpa aturan, kami semua hanya anak-anak yang berlari dengan sembrono di sekitar kolam renang yang seperti itu.
Baru-baru ini, saya harus memikirkan kembali rutinitas saya yang teratur sebagai manajer kepatuhan dan mempertimbangkan gambaran yang lebih besar. Seorang rekan kerja saya mencurigai bahwa dia mungkin tidak sepenuhnya mengikuti praktik keamanan tertentu, jadi dia menghubungi untuk mengatakan bahwa dia tidak bisa menemukan kebijakan tentang manajemen vendor.
Saya agak terkejut, karena saya telah berusaha keras untuk menulis kebijakan yang layak tentang "hubungan pemasok" dan mempostingnya di Guru untuk dibaca semua orang. Maksud saya, Ayo, apa yang tidak bisa dipahami, benar? Vendor? Pemasok? Hubungan? Dan, yah, uh...
Oke, saya mengerti. Sebenarnya, pertanyaannya adalah semacam panggilan bangun bagi orang kepatuhan yang merasa bahwa kami memiliki kebijakan yang jelas dan menarik untuk semua dibaca. Dalam momen eksistensial ini, saya merenungkan fakta bahwa perpustakaan online saya penuh dengan bahasa yang penuh jargon.
Jika orang tidak dapat berhubungan dengan kata-kata tersebut, bagaimana mereka bisa dipandu oleh mereka?
Ini membuat saya berpikir tentang cara yang lebih baik untuk mengatur kebijakan dalam Guru. Kami memerlukan program kepatuhan yang tidak hanya memenuhi formalitas yang diperlukan oleh auditor, klien, dan mitra tetapi juga benar-benar melayani orang-orang yang berlaku. Ini memicu saya untuk memulai kampanye perlahan untuk menambah relevansi kebijakan, sebuah usaha yang bergantung pada tiga perbaikan: penandaan, penghubungan, dan menyederhanakan kebijakan dengan bahasa yang sederhana.
Seni melakukan penandaan yang hilang
Proses membuat kartu Guru cukup sederhana, tetapi ada sedikit pertimbangan otak kiri yang masuk ke dalam pengaturan kartu tersebut dan menyiapkannya untuk penemuan--koleksi mana, papan mana, dll. Sebagai pencipta kebijakan, saya agak diuntungkan karena kartu saya bersifat hierarkis dan terorganisir dengan cara yang jelas. Tapi itu juga merupakan resep untuk isolasi, seperti pipa uap, yang ada demi kepentingannya sendiri dan bukan untuk penyebaran di antara para pembaca.
Saya membayangkan diri saya dalam sepatu siber siapa pun yang mungkin penasaran tentang tanggung jawab keamanan mereka, dengan asumsi pencarian Guru mereka kemungkinan akan mencakup "kebijakan keamanan." Melihat salah satu kebijakan saya secara acak, saya dengan cepat menemukan bahwa saya bahkan tidak menambahkan frasa sederhana ini sebagai tag; oleh karena itu, pencarian akan mengembalikan apa pun dari "kebijakan liburan" hingga "kebijakan keamanan konten" kelompok teknik. Saya menambahkan kata-kata tersebut sebagai tag, dan, seperti sihir, kebijakan saya muncul di bagian atas hasil pencarian. Terima kasih, tag!
Menghubungkan
Guru penuh dengan segala sesuatu yang dibutuhkan seseorang untuk menjalankan pekerjaan mereka. Kadang-kadang saya menemukan diri saya menjelajahi koleksi lain hanya untuk terpeleset di atas kartu yang terlihat dan terasa seperti kebijakan keamanan, dan diri saya yang picik khawatir tentang fakta bahwa itu tidak terorganisir dalam koleksi keamanan saya.
Saya telah menyadari bahwa di dunia kepatuhan, aturan adalah hal yang baik tidak peduli di mana mereka berada. Tanggung jawab ada pada saya untuk menjadikannya relevan dengan kebijakan dan menghubungkannya ke kata kunci di kartu "saya".
Sebagai contoh, jika ada panduan dari Manajer TI tentang cara memperbarui sistem operasi seseorang di laptop yang dikeluarkan oleh Guru, saya harus menghubungkannya kembali ke "kebijakan workstation" saya melalui tautan sederhana. Langkah ini menyelaraskan kontribusi semua orang dan membuat kebijakan lebih inklusif, menyelaraskan planet, seolah-olah, untuk mengungkap suatu sistem keamanan umum.
Bahasa Sederhana
Anda tidak mendengar ini dari saya, tetapi orang-orang kebijakan cenderung memperumit bahasa ketika mereka bisa. Ambil cuplikan kecil ini dari persyaratan kepatuhan industri yang akan tetap tanpa nama: “Program keamanan informasi, berkaitan dengan melindungi informasi pribadi, harus mencakup manajemen komunikasi dan manajemen operasi.”
Aduh. Itu mungkin berarti sesuatu bagi penulis dan beberapa puris keamanan yang bertugas menegakkannya, tetapi orang awam mungkin akan bingung. Manajemen komunikasi?Manajemen operasi? Bisakah jadi bahwa mungkin, hanya mungkin, mandat yang sama bisa disederhanakan menjadi sesuatu yang lebih sederhana, seperti, “Kami akan mengamankan data pribadi dengan menerapkan prosedur yang harus kita semua ikuti?”
Di sana. Kami baru saja meredakan retorika dan tidak kehilangan apapun dalam prosesnya. Percaya atau tidak, lebih sedikit sebenarnya dapat berarti lebih banyak dalam program kepatuhan di mana orang hanya ingin tahu apa yang harus mereka lakukan. Jenis kepatuhan seperti saya seharusnya menghindari godaan untuk mengulangi regulasi dan mengemasnya dalam kartu. Jika kami tidak memahaminya sendiri, bagaimana kami bisa mengharapkan orang lain untuk melaksanakannya?
Pekerjaan Tidak Pernah Berhenti
Penanda, penghubung, dan menyederhanakan kebijakan keamanan bukanlah hal-hal yang dilakukan sekali dan dilupakan. Ini adalah perjalanan, investasi waktu dan pemikiran yang berkelanjutan bagi manajer kepatuhan. Dengan sedikit pemikiran kritis, penulis kebijakan dapat memanfaatkan Guru untuk menyimpan kebijakan yang dapat ditegakkan yang tidak hanya memenuhi regulator dan pelanggan tetapi juga berbicara kepada orang-orang yang paling penting: mereka yang harus melaksanakannya.
Sebagai Manajer Risiko dan Kepatuhan untuk Guru, saya menghabiskan banyak waktu menggunakan aplikasi Guru untuk membuat dan mengatur kebijakan yang mengatur praktik keamanan perusahaan kami. Anda tahu...menandai I...melintasi T...memperbarui kata-kata dan sebagainya. Di dunia keamanan, itu adalah hal yang harus dilakukan, kan? Kebijakan adalah bagian penting dari hampir semua program kepatuhan. Tanpa aturan, kami semua hanya anak-anak yang berlari dengan sembrono di sekitar kolam renang yang seperti itu.
Baru-baru ini, saya harus memikirkan kembali rutinitas saya yang teratur sebagai manajer kepatuhan dan mempertimbangkan gambaran yang lebih besar. Seorang rekan kerja saya mencurigai bahwa dia mungkin tidak sepenuhnya mengikuti praktik keamanan tertentu, jadi dia menghubungi untuk mengatakan bahwa dia tidak bisa menemukan kebijakan tentang manajemen vendor.
Saya agak terkejut, karena saya telah berusaha keras untuk menulis kebijakan yang layak tentang "hubungan pemasok" dan mempostingnya di Guru untuk dibaca semua orang. Maksud saya, Ayo, apa yang tidak bisa dipahami, benar? Vendor? Pemasok? Hubungan? Dan, yah, uh...
Oke, saya mengerti. Sebenarnya, pertanyaannya adalah semacam panggilan bangun bagi orang kepatuhan yang merasa bahwa kami memiliki kebijakan yang jelas dan menarik untuk semua dibaca. Dalam momen eksistensial ini, saya merenungkan fakta bahwa perpustakaan online saya penuh dengan bahasa yang penuh jargon.
Jika orang tidak dapat berhubungan dengan kata-kata tersebut, bagaimana mereka bisa dipandu oleh mereka?
Ini membuat saya berpikir tentang cara yang lebih baik untuk mengatur kebijakan dalam Guru. Kami memerlukan program kepatuhan yang tidak hanya memenuhi formalitas yang diperlukan oleh auditor, klien, dan mitra tetapi juga benar-benar melayani orang-orang yang berlaku. Ini memicu saya untuk memulai kampanye perlahan untuk menambah relevansi kebijakan, sebuah usaha yang bergantung pada tiga perbaikan: penandaan, penghubungan, dan menyederhanakan kebijakan dengan bahasa yang sederhana.
Seni melakukan penandaan yang hilang
Proses membuat kartu Guru cukup sederhana, tetapi ada sedikit pertimbangan otak kiri yang masuk ke dalam pengaturan kartu tersebut dan menyiapkannya untuk penemuan--koleksi mana, papan mana, dll. Sebagai pencipta kebijakan, saya agak diuntungkan karena kartu saya bersifat hierarkis dan terorganisir dengan cara yang jelas. Tapi itu juga merupakan resep untuk isolasi, seperti pipa uap, yang ada demi kepentingannya sendiri dan bukan untuk penyebaran di antara para pembaca.
Saya membayangkan diri saya dalam sepatu siber siapa pun yang mungkin penasaran tentang tanggung jawab keamanan mereka, dengan asumsi pencarian Guru mereka kemungkinan akan mencakup "kebijakan keamanan." Melihat salah satu kebijakan saya secara acak, saya dengan cepat menemukan bahwa saya bahkan tidak menambahkan frasa sederhana ini sebagai tag; oleh karena itu, pencarian akan mengembalikan apa pun dari "kebijakan liburan" hingga "kebijakan keamanan konten" kelompok teknik. Saya menambahkan kata-kata tersebut sebagai tag, dan, seperti sihir, kebijakan saya muncul di bagian atas hasil pencarian. Terima kasih, tag!
Menghubungkan
Guru penuh dengan segala sesuatu yang dibutuhkan seseorang untuk menjalankan pekerjaan mereka. Kadang-kadang saya menemukan diri saya menjelajahi koleksi lain hanya untuk terpeleset di atas kartu yang terlihat dan terasa seperti kebijakan keamanan, dan diri saya yang picik khawatir tentang fakta bahwa itu tidak terorganisir dalam koleksi keamanan saya.
Saya telah menyadari bahwa di dunia kepatuhan, aturan adalah hal yang baik tidak peduli di mana mereka berada. Tanggung jawab ada pada saya untuk menjadikannya relevan dengan kebijakan dan menghubungkannya ke kata kunci di kartu "saya".
Sebagai contoh, jika ada panduan dari Manajer TI tentang cara memperbarui sistem operasi seseorang di laptop yang dikeluarkan oleh Guru, saya harus menghubungkannya kembali ke "kebijakan workstation" saya melalui tautan sederhana. Langkah ini menyelaraskan kontribusi semua orang dan membuat kebijakan lebih inklusif, menyelaraskan planet, seolah-olah, untuk mengungkap suatu sistem keamanan umum.
Bahasa Sederhana
Anda tidak mendengar ini dari saya, tetapi orang-orang kebijakan cenderung memperumit bahasa ketika mereka bisa. Ambil cuplikan kecil ini dari persyaratan kepatuhan industri yang akan tetap tanpa nama: “Program keamanan informasi, berkaitan dengan melindungi informasi pribadi, harus mencakup manajemen komunikasi dan manajemen operasi.”
Aduh. Itu mungkin berarti sesuatu bagi penulis dan beberapa puris keamanan yang bertugas menegakkannya, tetapi orang awam mungkin akan bingung. Manajemen komunikasi?Manajemen operasi? Bisakah jadi bahwa mungkin, hanya mungkin, mandat yang sama bisa disederhanakan menjadi sesuatu yang lebih sederhana, seperti, “Kami akan mengamankan data pribadi dengan menerapkan prosedur yang harus kita semua ikuti?”
Di sana. Kami baru saja meredakan retorika dan tidak kehilangan apapun dalam prosesnya. Percaya atau tidak, lebih sedikit sebenarnya dapat berarti lebih banyak dalam program kepatuhan di mana orang hanya ingin tahu apa yang harus mereka lakukan. Jenis kepatuhan seperti saya seharusnya menghindari godaan untuk mengulangi regulasi dan mengemasnya dalam kartu. Jika kami tidak memahaminya sendiri, bagaimana kami bisa mengharapkan orang lain untuk melaksanakannya?
Pekerjaan Tidak Pernah Berhenti
Penanda, penghubung, dan menyederhanakan kebijakan keamanan bukanlah hal-hal yang dilakukan sekali dan dilupakan. Ini adalah perjalanan, investasi waktu dan pemikiran yang berkelanjutan bagi manajer kepatuhan. Dengan sedikit pemikiran kritis, penulis kebijakan dapat memanfaatkan Guru untuk menyimpan kebijakan yang dapat ditegakkan yang tidak hanya memenuhi regulator dan pelanggan tetapi juga berbicara kepada orang-orang yang paling penting: mereka yang harus melaksanakannya.
Alami kekuatan platform Guru secara langsung - ikuti tur produk interaktif kami
