Who Are Security Policies For? (A Primer On Writing Policy For People)
Puoi leggere le tue politiche di sicurezza, ma le capisci? Lascia che il nostro Risk and Compliance Manager ti mostri come scrivere politiche efficaci e utili.
In qualità di Risk and Compliance Manager per Guru, passo molto del mio tempo utilizzando l'app di Guru per creare e organizzare le politiche che governano le pratiche di sicurezza della nostra azienda. Sai... mettere i puntini sulle i... attraversare le t... aggiornare le parole e cose del genere. Nel mondo della sicurezza, è quello che si fa, giusto? Le politiche sono una parte essenziale di quasi qualsiasi programma di conformità. Senza regole, siamo solo un gruppo di ragazzi che corre imprudentemente attorno alla piscina proverbiale.
Recentemente, ho dovuto ripensare la mia routine ben organizzata come compliance manager e considerare il quadro generale. Un mio collega sospettava di non seguire completamente una particolare pratica di sicurezza, quindi si è fatto avanti dicendo che non riusciva a trovare la politica sulla gestione dei fornitori.
Sono rimasto un po' sorpreso, poiché avevo fatto grandi sforzi per scrivere una politica perfettamente utilizzabile sulle “relazioni con i fornitori” e pubblicarla in Guru per tutti da leggere. Voglio dire, dai, cosa c'è di difficile da capire, giusto? Fornitore? Fornitore? Relazioni? E, beh, eh...
Ok, punto preso. In effetti, la sua domanda è stata una sorta di campanello d'allarme per il tipo di conformità chiuso in un palazzo d'avorio che pensa di avere politiche chiare e convincenti per tutti da leggere. In questo momento esistenziale, ho riflettuto sul fatto che la mia biblioteca online è piena di linguaggio impregnato di gergo.
Se le persone non riescono a relazionarsi con le parole, come possono esserne guidate?
Questo mi ha fatto pensare a modi migliori per organizzare le politiche in Guru. Abbiamo bisogno di un programma di conformità che non solo soddisfi la formalità richiesta dagli auditor, dai clienti e dai partner, ma che serva davvero alle persone a cui si applica. Mi ha spinto ad intraprendere una campagna lenta per aggiungere rilevanza alle politiche, un'iniziativa che si basa su tre miglioramenti: tagging, linking e semplificazione delle politiche con un linguaggio semplice.
L'arte perduta del tagging
Il processo di creazione di una scheda Guru è piuttosto semplice, ma c'è una piccola considerazione del cervello sinistro che entra nell'organizzazione di quella scheda e nella sua configurazione per la scoperta--quale collezione, quale bacheca, ecc. In qualità di creatore della politica, sono in qualche modo avvantaggiato dal fatto che le mie schede sono gerarchiche e organizzate in modo evidente. Ma questo è anche una ricetta per l'isolamento, un sistema a stovepipe se vogliamo, che esiste per il proprio bene e non per essere divulgato tra i lettori.
Mi sono messo nei panni di chiunque potrebbe essere curioso riguardo le proprie responsabilità in materia di sicurezza, presumendo che la loro ricerca in Guru includerebbe probabilmente “politica di sicurezza.” Guardando una delle mie politiche a caso, ho rapidamente scoperto che non avevo nemmeno aggiunto questa semplice frase come tag; quindi, una ricerca restituisce tutto, dalla “politica delle vacanze” alla “politica di sicurezza dei contenuti” del gruppo engineering. Ho aggiunto le parole come tag e, come per magia, le mie politiche sono emerse in cima ai risultati della ricerca. Grazie, tag!
Linking
Guru è pieno di tutto ciò di cui una persona ha bisogno per fare il proprio lavoro. A volte mi trovo a navigare in altre collezioni solo per inciampare su schede che sembrano e odori come politiche di sicurezza, e il mio io interno parocchiale si preoccupa del fatto che non sia organizzato nella mia collezione di sicurezza.
Sono giunto a capire che nel mondo della conformità, le regole sono una grande cosa ovunque si trovino. La responsabilità spetta a me renderle rilevanti per la politica e collegarle alle parole chiave nelle “mie” schede.
Ad esempio, se ci sono indicazioni dal Manager IT su come aggiornare il sistema operativo sul proprio laptop fornito da Guru, dovrei collegarlo alla mia “politica di workstation” tramite un semplice hyperlink. Questo passaggio allinea il contributo di tutti e rende la politica più inclusiva, allineando i pianeti, per così dire, per rivelare un comune sistema solare della sicurezza.
Linguaggio semplice
Non lo avete sentito da me, ma le persone delle politiche tendono a complicare eccessivamente il linguaggio quando possono. Prendi questo piccolo frammento da un requisito di conformità industriale che rimarrà senza nome: “Il programma di sicurezza delle informazioni, in relazione alla protezione delle informazioni personali, dovrebbe includere la gestione delle comunicazioni e la gestione delle operazioni.”
Accidenti. Questo potrebbe significare qualcosa per l'autore e alcuni puristi della sicurezza incaricati di farlo rispettare, ma il laico potrebbe trovarsi a grattarsi la testa. Gestione delle comunicazioni?Gestione delle operazioni? Potrebbe essere che forse, giusto forse, quello stesso mandato potrebbe essere semplificato in qualcosa di più semplice, come, “Proteggeremo i dati personali implementando procedure che tutti noi dobbiamo seguire?”
Ecco. Abbiamo appena ridotto la retorica e non abbiamo perso nulla nel processo. Credici o no, meno può effettivamente significare di più in un programma di conformità dove le persone vogliono solo sapere cosa devono fare. I tipi di conformità come me dovrebbero evitare la tentazione di ripetere la regolamentazione e confezionarla in schede. Se non lo capiamo noi stessi, come possiamo aspettarci che gli altri lo eseguano?
Il lavoro non finisce mai
Tagging, linking e semplificare la politica di sicurezza non sono cose da fare una volta e poi dimenticare. Questo è un viaggio, un investimento continuo di tempo e pensiero per il compliance manager. Con un po' di pensiero critico, gli autori delle politiche possono sfruttare Guru per ospitare politiche applicabili che non solo soddisfano i regolatori e i clienti ma parlano alle persone che contano di più: quelle che devono attuarle.
In qualità di Risk and Compliance Manager per Guru, passo molto del mio tempo utilizzando l'app di Guru per creare e organizzare le politiche che governano le pratiche di sicurezza della nostra azienda. Sai... mettere i puntini sulle i... attraversare le t... aggiornare le parole e cose del genere. Nel mondo della sicurezza, è quello che si fa, giusto? Le politiche sono una parte essenziale di quasi qualsiasi programma di conformità. Senza regole, siamo solo un gruppo di ragazzi che corre imprudentemente attorno alla piscina proverbiale.
Recentemente, ho dovuto ripensare la mia routine ben organizzata come compliance manager e considerare il quadro generale. Un mio collega sospettava di non seguire completamente una particolare pratica di sicurezza, quindi si è fatto avanti dicendo che non riusciva a trovare la politica sulla gestione dei fornitori.
Sono rimasto un po' sorpreso, poiché avevo fatto grandi sforzi per scrivere una politica perfettamente utilizzabile sulle “relazioni con i fornitori” e pubblicarla in Guru per tutti da leggere. Voglio dire, dai, cosa c'è di difficile da capire, giusto? Fornitore? Fornitore? Relazioni? E, beh, eh...
Ok, punto preso. In effetti, la sua domanda è stata una sorta di campanello d'allarme per il tipo di conformità chiuso in un palazzo d'avorio che pensa di avere politiche chiare e convincenti per tutti da leggere. In questo momento esistenziale, ho riflettuto sul fatto che la mia biblioteca online è piena di linguaggio impregnato di gergo.
Se le persone non riescono a relazionarsi con le parole, come possono esserne guidate?
Questo mi ha fatto pensare a modi migliori per organizzare le politiche in Guru. Abbiamo bisogno di un programma di conformità che non solo soddisfi la formalità richiesta dagli auditor, dai clienti e dai partner, ma che serva davvero alle persone a cui si applica. Mi ha spinto ad intraprendere una campagna lenta per aggiungere rilevanza alle politiche, un'iniziativa che si basa su tre miglioramenti: tagging, linking e semplificazione delle politiche con un linguaggio semplice.
L'arte perduta del tagging
Il processo di creazione di una scheda Guru è piuttosto semplice, ma c'è una piccola considerazione del cervello sinistro che entra nell'organizzazione di quella scheda e nella sua configurazione per la scoperta--quale collezione, quale bacheca, ecc. In qualità di creatore della politica, sono in qualche modo avvantaggiato dal fatto che le mie schede sono gerarchiche e organizzate in modo evidente. Ma questo è anche una ricetta per l'isolamento, un sistema a stovepipe se vogliamo, che esiste per il proprio bene e non per essere divulgato tra i lettori.
Mi sono messo nei panni di chiunque potrebbe essere curioso riguardo le proprie responsabilità in materia di sicurezza, presumendo che la loro ricerca in Guru includerebbe probabilmente “politica di sicurezza.” Guardando una delle mie politiche a caso, ho rapidamente scoperto che non avevo nemmeno aggiunto questa semplice frase come tag; quindi, una ricerca restituisce tutto, dalla “politica delle vacanze” alla “politica di sicurezza dei contenuti” del gruppo engineering. Ho aggiunto le parole come tag e, come per magia, le mie politiche sono emerse in cima ai risultati della ricerca. Grazie, tag!
Linking
Guru è pieno di tutto ciò di cui una persona ha bisogno per fare il proprio lavoro. A volte mi trovo a navigare in altre collezioni solo per inciampare su schede che sembrano e odori come politiche di sicurezza, e il mio io interno parocchiale si preoccupa del fatto che non sia organizzato nella mia collezione di sicurezza.
Sono giunto a capire che nel mondo della conformità, le regole sono una grande cosa ovunque si trovino. La responsabilità spetta a me renderle rilevanti per la politica e collegarle alle parole chiave nelle “mie” schede.
Ad esempio, se ci sono indicazioni dal Manager IT su come aggiornare il sistema operativo sul proprio laptop fornito da Guru, dovrei collegarlo alla mia “politica di workstation” tramite un semplice hyperlink. Questo passaggio allinea il contributo di tutti e rende la politica più inclusiva, allineando i pianeti, per così dire, per rivelare un comune sistema solare della sicurezza.
Linguaggio semplice
Non lo avete sentito da me, ma le persone delle politiche tendono a complicare eccessivamente il linguaggio quando possono. Prendi questo piccolo frammento da un requisito di conformità industriale che rimarrà senza nome: “Il programma di sicurezza delle informazioni, in relazione alla protezione delle informazioni personali, dovrebbe includere la gestione delle comunicazioni e la gestione delle operazioni.”
Accidenti. Questo potrebbe significare qualcosa per l'autore e alcuni puristi della sicurezza incaricati di farlo rispettare, ma il laico potrebbe trovarsi a grattarsi la testa. Gestione delle comunicazioni?Gestione delle operazioni? Potrebbe essere che forse, giusto forse, quello stesso mandato potrebbe essere semplificato in qualcosa di più semplice, come, “Proteggeremo i dati personali implementando procedure che tutti noi dobbiamo seguire?”
Ecco. Abbiamo appena ridotto la retorica e non abbiamo perso nulla nel processo. Credici o no, meno può effettivamente significare di più in un programma di conformità dove le persone vogliono solo sapere cosa devono fare. I tipi di conformità come me dovrebbero evitare la tentazione di ripetere la regolamentazione e confezionarla in schede. Se non lo capiamo noi stessi, come possiamo aspettarci che gli altri lo eseguano?
Il lavoro non finisce mai
Tagging, linking e semplificare la politica di sicurezza non sono cose da fare una volta e poi dimenticare. Questo è un viaggio, un investimento continuo di tempo e pensiero per il compliance manager. Con un po' di pensiero critico, gli autori delle politiche possono sfruttare Guru per ospitare politiche applicabili che non solo soddisfano i regolatori e i clienti ma parlano alle persone che contano di più: quelle che devono attuarle.
Scopri il potere della piattaforma Guru in prima persona - fai il nostro tour interattivo del prodotto
