Who Are Security Policies For? (A Primer On Writing Policy For People)
Je kunt je beveiligingsbeleid lezen, maar begrijp je het? Laat onze Risk and Compliance Manager je laten zien hoe je impactvolle en nuttige beleidsregels kunt schrijven.
Als de Risk and Compliance Manager voor Guru besteed ik een flink deel van mijn tijd aan het gebruik van de Guru-app om de beleidsregels te creëren en te organiseren die ons beveiligingsbeleid regelen. Je weet wel... de puntjes op de "i" zetten... de kruisjes op de "t"... woorden en dergelijke actualiseren. In de beveiligingswereld is dat de norm, toch? Beleid is een essentieel onderdeel van zowat elk complianceprogramma. Zonder regels zijn we allemaal gewoon een stel kinderen die roekeloos rond het spreekwoordelijke zwembad rennen.
Onlangs moest ik mijn goed georganiseerde routine als compliance manager heroverwegen en het grotere geheel in ogenschouw nemen. Een collega van mij vermoedde dat hij misschien niet helemaal voldeed aan een bepaalde beveiligingspraktijk, dus nam hij contact op om te zeggen dat hij het beleid voor leveranciersbeheer niet kon vinden.
Ik was enigszins verrast, aangezien ik veel moeite had gedaan om een perfect bruikbaar beleid over "leveranciersrelaties" te schrijven en het in Guru te plaatsen voor iedereen om te lezen. Ik bedoel, kom op, wat is er niet te begrijpen, toch? Leverancier? Leverancier? Relaties? En, nou ja...
Oké, punt is duidelijk. In feite was zijn vraag een soort wake-up call voor de compliance-man in de ivoren toren die denkt dat we duidelijke en overtuigende beleidsregels hebben die voor iedereen te lezen zijn. In dit existentiële moment reflecteerde ik op het feit dat mijn online bibliotheek volstaat met jargonachtige taal.
Als mensen zich niet kunnen verhouden tot de woorden, hoe kunnen ze dan door hen worden geleid?
Dit deed me denken aan betere manieren om beleid binnen Guru te organiseren. We hebben een complianceprogramma nodig dat niet alleen voldoet aan de formaliteiten die door auditors, cliënten en partners worden vereist, maar dat ook echt de mensen dient voor wie het er is. Het zette me aan het denken om langzaam een campagne te starten om beleid relevant te maken, een onderneming die rust op drie verbeteringen: taggen, linken en het vereenvoudigen van beleid met eenvoudige taal.
De verloren kunst van het taggen
Het proces van het creëren van een Guru-kaart is vrij eenvoudig, maar er is een klein aspect dat in de organisatie van die kaart en het instellen ervan voor ontdekking komt kijken--welke collectie, welk bord, enz. Als de beleidsmaker ben ik enigszins in het voordeel, omdat mijn kaarten hiërarchisch zijn en op een voor de hand liggende manier zijn georganiseerd. Maar dat is ook een recept voor isolatie, een afgesloten systeem als het ware, dat er is voor zijn eigen belang en niet voor verspreiding onder de lezers.
Ik zette mezelf in de digitale schoenen van iemand die nieuwsgierig zou kunnen zijn naar hun beveiligingsverantwoordelijkheden, ervan uitgaande dat hun Guru-zoekopdracht waarschijnlijk "beveiligingsbeleid" zou omvatten. Toen ik één van mijn beleidsregels willekeurig bekeek, ontdekte ik snel dat ik deze eenvoudige zin nog niet eens als tag had toegevoegd; daarom zou een zoekopdracht alles opleveren, van "vakantiet beleid" tot het "inhoudsbeveiligingsbeleid" van de engineeringgroep. Ik voegde de woorden toe als tag, en zoals magie stegen mijn beleidsregels naar de top van de zoekresultaten. Dank je, tags!
Linken
Guru staat vol met alles wat een persoon nodig heeft om zijn werk te doen. Soms vind ik mezelf andere verzamelingen doorbladeren, alleen om over kaarten te struikelen die eruit zien en ruiken als beveiligingsbeleid, en mijn parochiale innerlijke zelf maakt zich steeds meer zorgen over het feit dat het niet georganiseerd is in mijn beveiligingscollectie.
Ik heb me gerealiseerd dat regels in de compliancewereld een geweldige zaak zijn, waar ze ook zijn. De verantwoordelijkheid ligt bij mij om ze relevant te maken voor beleid en ze te koppelen aan trefwoorden in "mijn" kaarten.
Bijvoorbeeld, als er richtlijnen van de IT-manager zijn over hoe je je besturingssysteem op je door Guru uitgegeven laptop kunt bijwerken, moet ik dit terugkoppelen aan mijn "werkstationbeleid" via een simpele hyperlink. Deze stap stemt ieders bijdrage af en maakt het beleid inclusiever, als het ware de planeten uitlijnend om een gemeenschappelijk beveiligingszonnestelsel te onthullen.
Eenvoudige taal
Je hebt dit niet van mij gehoord, maar mensen die zich met beleid bezighouden hebben de neiging om de taal te compliceren wanneer ze dat kunnen. Neem deze kleine passage uit een compliancevereiste in de sector dat anoniem moet blijven: "Het informatiebeveiligingsprogramma, in relatie tot het beschermen van persoonlijke informatie, moet communicatiebeheer en operationeel beheer omvatten."
Yikes. Dat kan misschien iets betekenen voor de auteur en een paar beveiligingspuristen die verantwoordelijk zijn voor de handhaving ervan, maar de leek zou zich in het hoofd kunnen krabben. Communicatiebeheer?Operationeel beheer? Zou het kunnen dat diezelfde verplichting misschien iets eenvoudiger zou kunnen worden verwoord, zoals: "We zullen persoonlijke gegevens beveiligen door procedures te implementeren die we allemaal moeten volgen?"
Daar. We hebben net de retoriek verminderd zonder iets te verliezen in het proces. Geloof het of niet, minder kan in een complianceprogramma daadwerkelijk meer betekenen voor mensen die gewoon willen weten wat ze moeten doen. Compliance-types zoals ik zouden moeten proberen de verleiding te weerstaan om regelgeving te herhalen en het te verpakken in kaarten. Als we het zelf niet begrijpen, hoe kunnen we dan van anderen verwachten dat ze het uitvoeren?
Het werk stopt nooit
Taggen, linken en het vereenvoudigen van beveiligingsbeleid zijn geen dingen die slechts één keer gedaan moeten worden en vergeten. Dit is een reis, een voortdurende investering van tijd en gedachte voor de compliance manager. Met een beetje kritisch denken kunnen beleidsmaker gebruikmaken van Guru om handhaafbaar beleid onder te brengen dat niet alleen voldoet aan de eisen van toezichthouders en klanten, maar ook spreekt tot de mensen die er het meest toe doen: degenen die het moeten uitvoeren.
Als de Risk and Compliance Manager voor Guru besteed ik een flink deel van mijn tijd aan het gebruik van de Guru-app om de beleidsregels te creëren en te organiseren die ons beveiligingsbeleid regelen. Je weet wel... de puntjes op de "i" zetten... de kruisjes op de "t"... woorden en dergelijke actualiseren. In de beveiligingswereld is dat de norm, toch? Beleid is een essentieel onderdeel van zowat elk complianceprogramma. Zonder regels zijn we allemaal gewoon een stel kinderen die roekeloos rond het spreekwoordelijke zwembad rennen.
Onlangs moest ik mijn goed georganiseerde routine als compliance manager heroverwegen en het grotere geheel in ogenschouw nemen. Een collega van mij vermoedde dat hij misschien niet helemaal voldeed aan een bepaalde beveiligingspraktijk, dus nam hij contact op om te zeggen dat hij het beleid voor leveranciersbeheer niet kon vinden.
Ik was enigszins verrast, aangezien ik veel moeite had gedaan om een perfect bruikbaar beleid over "leveranciersrelaties" te schrijven en het in Guru te plaatsen voor iedereen om te lezen. Ik bedoel, kom op, wat is er niet te begrijpen, toch? Leverancier? Leverancier? Relaties? En, nou ja...
Oké, punt is duidelijk. In feite was zijn vraag een soort wake-up call voor de compliance-man in de ivoren toren die denkt dat we duidelijke en overtuigende beleidsregels hebben die voor iedereen te lezen zijn. In dit existentiële moment reflecteerde ik op het feit dat mijn online bibliotheek volstaat met jargonachtige taal.
Als mensen zich niet kunnen verhouden tot de woorden, hoe kunnen ze dan door hen worden geleid?
Dit deed me denken aan betere manieren om beleid binnen Guru te organiseren. We hebben een complianceprogramma nodig dat niet alleen voldoet aan de formaliteiten die door auditors, cliënten en partners worden vereist, maar dat ook echt de mensen dient voor wie het er is. Het zette me aan het denken om langzaam een campagne te starten om beleid relevant te maken, een onderneming die rust op drie verbeteringen: taggen, linken en het vereenvoudigen van beleid met eenvoudige taal.
De verloren kunst van het taggen
Het proces van het creëren van een Guru-kaart is vrij eenvoudig, maar er is een klein aspect dat in de organisatie van die kaart en het instellen ervan voor ontdekking komt kijken--welke collectie, welk bord, enz. Als de beleidsmaker ben ik enigszins in het voordeel, omdat mijn kaarten hiërarchisch zijn en op een voor de hand liggende manier zijn georganiseerd. Maar dat is ook een recept voor isolatie, een afgesloten systeem als het ware, dat er is voor zijn eigen belang en niet voor verspreiding onder de lezers.
Ik zette mezelf in de digitale schoenen van iemand die nieuwsgierig zou kunnen zijn naar hun beveiligingsverantwoordelijkheden, ervan uitgaande dat hun Guru-zoekopdracht waarschijnlijk "beveiligingsbeleid" zou omvatten. Toen ik één van mijn beleidsregels willekeurig bekeek, ontdekte ik snel dat ik deze eenvoudige zin nog niet eens als tag had toegevoegd; daarom zou een zoekopdracht alles opleveren, van "vakantiet beleid" tot het "inhoudsbeveiligingsbeleid" van de engineeringgroep. Ik voegde de woorden toe als tag, en zoals magie stegen mijn beleidsregels naar de top van de zoekresultaten. Dank je, tags!
Linken
Guru staat vol met alles wat een persoon nodig heeft om zijn werk te doen. Soms vind ik mezelf andere verzamelingen doorbladeren, alleen om over kaarten te struikelen die eruit zien en ruiken als beveiligingsbeleid, en mijn parochiale innerlijke zelf maakt zich steeds meer zorgen over het feit dat het niet georganiseerd is in mijn beveiligingscollectie.
Ik heb me gerealiseerd dat regels in de compliancewereld een geweldige zaak zijn, waar ze ook zijn. De verantwoordelijkheid ligt bij mij om ze relevant te maken voor beleid en ze te koppelen aan trefwoorden in "mijn" kaarten.
Bijvoorbeeld, als er richtlijnen van de IT-manager zijn over hoe je je besturingssysteem op je door Guru uitgegeven laptop kunt bijwerken, moet ik dit terugkoppelen aan mijn "werkstationbeleid" via een simpele hyperlink. Deze stap stemt ieders bijdrage af en maakt het beleid inclusiever, als het ware de planeten uitlijnend om een gemeenschappelijk beveiligingszonnestelsel te onthullen.
Eenvoudige taal
Je hebt dit niet van mij gehoord, maar mensen die zich met beleid bezighouden hebben de neiging om de taal te compliceren wanneer ze dat kunnen. Neem deze kleine passage uit een compliancevereiste in de sector dat anoniem moet blijven: "Het informatiebeveiligingsprogramma, in relatie tot het beschermen van persoonlijke informatie, moet communicatiebeheer en operationeel beheer omvatten."
Yikes. Dat kan misschien iets betekenen voor de auteur en een paar beveiligingspuristen die verantwoordelijk zijn voor de handhaving ervan, maar de leek zou zich in het hoofd kunnen krabben. Communicatiebeheer?Operationeel beheer? Zou het kunnen dat diezelfde verplichting misschien iets eenvoudiger zou kunnen worden verwoord, zoals: "We zullen persoonlijke gegevens beveiligen door procedures te implementeren die we allemaal moeten volgen?"
Daar. We hebben net de retoriek verminderd zonder iets te verliezen in het proces. Geloof het of niet, minder kan in een complianceprogramma daadwerkelijk meer betekenen voor mensen die gewoon willen weten wat ze moeten doen. Compliance-types zoals ik zouden moeten proberen de verleiding te weerstaan om regelgeving te herhalen en het te verpakken in kaarten. Als we het zelf niet begrijpen, hoe kunnen we dan van anderen verwachten dat ze het uitvoeren?
Het werk stopt nooit
Taggen, linken en het vereenvoudigen van beveiligingsbeleid zijn geen dingen die slechts één keer gedaan moeten worden en vergeten. Dit is een reis, een voortdurende investering van tijd en gedachte voor de compliance manager. Met een beetje kritisch denken kunnen beleidsmaker gebruikmaken van Guru om handhaafbaar beleid onder te brengen dat niet alleen voldoet aan de eisen van toezichthouders en klanten, maar ook spreekt tot de mensen die er het meest toe doen: degenen die het moeten uitvoeren.
Ervaar de kracht van het Guru-platform uit de eerste hand - maak onze interactieve producttour
