Who Are Security Policies For? (A Primer On Writing Policy For People)
Możesz przeczytać swoje polityki bezpieczeństwa, ale czy je rozumiesz? Niech nasz Menedżer Ryzyka i Zgodności pokaże Ci, jak pisać wpływowe i pomocne polityki.
Jako Menedżer Ryzyka i Zgodności w Guru spędzam sporo czasu, korzystając z aplikacji Guru, aby tworzyć i organizować zasady, które regulują praktyki bezpieczeństwa naszej firmy. Wiesz... stawianie kropek nad i... przecinanie t... aktualizowanie słów i tym podobne. W świecie bezpieczeństwa to rzecz do zrobienia, prawda? Polityka jest niezbędną częścią każdego programu zgodności. Bez zasad wszyscy jesteśmy tylko grupą dzieci, które niebezpiecznie biegają wokół proverbialnego basenu.
Niedawno musiałem przemyśleć moją dobrze zorganizowaną rutynę jako menedżer zgodności i rozważyć szerszy obraz. Mój współpracownik podejrzewał, że może nie do końca przestrzegać określonej praktyki bezpieczeństwa, więc skontaktował się, aby powiedzieć, że nie może znaleźć polityki zarządzania dostawcami.
Byłem nieco zaskoczony, ponieważ bardzo się starałem napisać idealnie działającą politykę dotyczącą „relacji z dostawcami” i umieścić ją w Guru, aby wszyscy mogli ją przeczytać. To znaczy, przecież chodzi o to, co nie jest zrozumiałe, prawda? Dostawca? Relacje? A cóż, no cóż...
Ok, punkt dla niego. W rzeczywistości jego pytanie było czymś w rodzaju budzika dla faceta od zgodności, który czuje, że mamy jasne i przekonywujące zasady do przeczytania. W tej egzystencjalnej chwili zreflektowałem się nad tym, że moja biblioteka online jest pełna przesiąkniętego żargonem języka.
Jeśli ludzie nie mogą odnosić się do słów, jak mogą być nimi kierowani?
To skłoniło mnie do myślenia o lepszych sposobach organizowania polityki w Guru. Potrzebujemy programu zgodności, który nie tylko spełnia formalności wymagane przez audytorów, klientów i partnerów, ale w rzeczywistości służy ludziom, do których się odnosi. Zmusiło mnie to do rozpoczęcia powolnej kampanii wprowadzenia istotności do polityki, przedsięwzięcia, które opiera się na trzech ulepszeniach: tagowaniu, łączeniu i upraszczaniu polityki w zrozumiałym języku.
Zaginiona sztuka tagowania
Proces tworzenia karty Guru jest dość prosty, ale jest tam kilka przemyśleń związanych z lewą półkulą, które trzeba wziąć pod uwagę przy organizacji tej karty i przygotowywaniu jej do odkrycia - jaki kolekcja, jaka tablica, itp. Jako twórca polityki, mam pewną przewagę, ponieważ moje karty są hierarchiczne i uporządkowane w oczywisty sposób. Ale to również przepis na izolację, rurę stawową, jeśli chcesz, która istnieje dla samej siebie, a nie jako źródło informacji dla czytelników.
Umieściłem się w cyber butach kogokolwiek, kto może być ciekawy swoich obowiązków związanych z bezpieczeństwem, zakładając, że ich wyszukiwanie w Guru prawdopodobnie obejmie „politykę bezpieczeństwa.” Z przyjrzenia jednej z moich polityk losowo odkryłem, że nawet nie dodałem tego prostego wyrażenia jako tag; stąd wyszukiwanie mogłoby zwrócić wszystko, od „polityki urlopowej” po „politykę zabezpieczeń treści” działu inżynieryjnego. Dodałem słowa jako tag, a jak magia, moje polityki wspięły się na szczyt wyników wyszukiwania. Dzięki, tagi!
Łączenie
Guru jest pełne wszystkiego, co potrzebuje osoba, aby wykonywać swoją pracę. Czasami zdarza mi się przeglądać inne kolekcje, tylko po to, aby natknąć się na karty, które wyglądają i pachną jak polityka bezpieczeństwa, a moja ograniczona wewnętrzna ja obawia się faktu, że nie jest zorganizowana w mojej kolekcji bezpieczeństwa.
Zdałem sobie sprawę, że w świecie zgodności zasady są wspaniałe, niezależnie od tego, gdzie się znajdują. Odpowiedzialność spoczywa na mnie, by uczynić je istotnymi dla polityki i połączyć je z kluczowymi słowami w „moich” kartach.
Na przykład, jeśli istnieje wytyczna od Menedżera IT o tym, jak zaktualizować system operacyjny na laptopie wydanym przez Guru, powinienem powiązać ją z moją „polityką stacji roboczej” poprzez prosty link. Ten krok zbliża wkłady wszystkich i czyni politykę bardziej inkluzywną, ustawiając planety, jeśli tak to ujmować, by ujawnić wspólny system zabezpieczeń słonecznego.
Zrozumiały język
Nie usłyszałeś tego ode mnie, ale ludzie zajmujący się polityką mają tendencję do nadmiernego komplikowania języka, gdy tylko mogą. Weź ten mały fragment z wymogu dotyczącego zgodności branżowej, który pozostanie anonimowy: „Program bezpieczeństwa informacji, w odniesieniu do ochrony informacji osobowych, powinien obejmować zarządzanie komunikacją i zarządzanie operacjami.”
Yikes. To może coś znaczyć dla autora i kilku purystów bezpieczeństwa odpowiedzialnych za egzekwowanie tego, ale laik może być skonfundowany. Zarządzanie komunikacją?Zarządzanie operacjami? Czy to możliwe, że może, po prostu może, ten sam mandat mógłby zostać uproszczony do czegoś prostszego, takiego jak: „Zabezpieczymy dane osobowe, wdrażając procedury, które wszyscy musimy przestrzegać?”
Tam. Właśnie ograniczyliśmy retorykę i nie straciliśmy nic w tym procesie. Uwierz lub nie, mniej może oznaczać więcej w programie zgodności, gdzie ludzie po prostu chcą wiedzieć, co mają robić. Typy zgodności, takie jak ja, powinny unikać pokusy powtarzania regulacji i pakowania jej w karty. Jeśli nie zrozumiemy tego sami, jak możemy oczekiwać, że inni to wdrożą?
Praca nigdy się nie kończy
Tagowanie, łączenie i upraszczanie polityki bezpieczeństwa to nie rzeczy, które robi się raz i zapomina. To podróż, inwestycja czasowa i myślowa dla menedżera zgodności. Przy odrobinie krytycznego myślenia autorzy polityki mogą wykorzystać Guru do gromadzenia wykonalnej polityki, która nie tylko zaspokaja wymagania regulatorów i klientów, ale także przemawia do osób, które mają największe znaczenie: tych, którzy muszą ją wdrażać.
Jako Menedżer Ryzyka i Zgodności w Guru spędzam sporo czasu, korzystając z aplikacji Guru, aby tworzyć i organizować zasady, które regulują praktyki bezpieczeństwa naszej firmy. Wiesz... stawianie kropek nad i... przecinanie t... aktualizowanie słów i tym podobne. W świecie bezpieczeństwa to rzecz do zrobienia, prawda? Polityka jest niezbędną częścią każdego programu zgodności. Bez zasad wszyscy jesteśmy tylko grupą dzieci, które niebezpiecznie biegają wokół proverbialnego basenu.
Niedawno musiałem przemyśleć moją dobrze zorganizowaną rutynę jako menedżer zgodności i rozważyć szerszy obraz. Mój współpracownik podejrzewał, że może nie do końca przestrzegać określonej praktyki bezpieczeństwa, więc skontaktował się, aby powiedzieć, że nie może znaleźć polityki zarządzania dostawcami.
Byłem nieco zaskoczony, ponieważ bardzo się starałem napisać idealnie działającą politykę dotyczącą „relacji z dostawcami” i umieścić ją w Guru, aby wszyscy mogli ją przeczytać. To znaczy, przecież chodzi o to, co nie jest zrozumiałe, prawda? Dostawca? Relacje? A cóż, no cóż...
Ok, punkt dla niego. W rzeczywistości jego pytanie było czymś w rodzaju budzika dla faceta od zgodności, który czuje, że mamy jasne i przekonywujące zasady do przeczytania. W tej egzystencjalnej chwili zreflektowałem się nad tym, że moja biblioteka online jest pełna przesiąkniętego żargonem języka.
Jeśli ludzie nie mogą odnosić się do słów, jak mogą być nimi kierowani?
To skłoniło mnie do myślenia o lepszych sposobach organizowania polityki w Guru. Potrzebujemy programu zgodności, który nie tylko spełnia formalności wymagane przez audytorów, klientów i partnerów, ale w rzeczywistości służy ludziom, do których się odnosi. Zmusiło mnie to do rozpoczęcia powolnej kampanii wprowadzenia istotności do polityki, przedsięwzięcia, które opiera się na trzech ulepszeniach: tagowaniu, łączeniu i upraszczaniu polityki w zrozumiałym języku.
Zaginiona sztuka tagowania
Proces tworzenia karty Guru jest dość prosty, ale jest tam kilka przemyśleń związanych z lewą półkulą, które trzeba wziąć pod uwagę przy organizacji tej karty i przygotowywaniu jej do odkrycia - jaki kolekcja, jaka tablica, itp. Jako twórca polityki, mam pewną przewagę, ponieważ moje karty są hierarchiczne i uporządkowane w oczywisty sposób. Ale to również przepis na izolację, rurę stawową, jeśli chcesz, która istnieje dla samej siebie, a nie jako źródło informacji dla czytelników.
Umieściłem się w cyber butach kogokolwiek, kto może być ciekawy swoich obowiązków związanych z bezpieczeństwem, zakładając, że ich wyszukiwanie w Guru prawdopodobnie obejmie „politykę bezpieczeństwa.” Z przyjrzenia jednej z moich polityk losowo odkryłem, że nawet nie dodałem tego prostego wyrażenia jako tag; stąd wyszukiwanie mogłoby zwrócić wszystko, od „polityki urlopowej” po „politykę zabezpieczeń treści” działu inżynieryjnego. Dodałem słowa jako tag, a jak magia, moje polityki wspięły się na szczyt wyników wyszukiwania. Dzięki, tagi!
Łączenie
Guru jest pełne wszystkiego, co potrzebuje osoba, aby wykonywać swoją pracę. Czasami zdarza mi się przeglądać inne kolekcje, tylko po to, aby natknąć się na karty, które wyglądają i pachną jak polityka bezpieczeństwa, a moja ograniczona wewnętrzna ja obawia się faktu, że nie jest zorganizowana w mojej kolekcji bezpieczeństwa.
Zdałem sobie sprawę, że w świecie zgodności zasady są wspaniałe, niezależnie od tego, gdzie się znajdują. Odpowiedzialność spoczywa na mnie, by uczynić je istotnymi dla polityki i połączyć je z kluczowymi słowami w „moich” kartach.
Na przykład, jeśli istnieje wytyczna od Menedżera IT o tym, jak zaktualizować system operacyjny na laptopie wydanym przez Guru, powinienem powiązać ją z moją „polityką stacji roboczej” poprzez prosty link. Ten krok zbliża wkłady wszystkich i czyni politykę bardziej inkluzywną, ustawiając planety, jeśli tak to ujmować, by ujawnić wspólny system zabezpieczeń słonecznego.
Zrozumiały język
Nie usłyszałeś tego ode mnie, ale ludzie zajmujący się polityką mają tendencję do nadmiernego komplikowania języka, gdy tylko mogą. Weź ten mały fragment z wymogu dotyczącego zgodności branżowej, który pozostanie anonimowy: „Program bezpieczeństwa informacji, w odniesieniu do ochrony informacji osobowych, powinien obejmować zarządzanie komunikacją i zarządzanie operacjami.”
Yikes. To może coś znaczyć dla autora i kilku purystów bezpieczeństwa odpowiedzialnych za egzekwowanie tego, ale laik może być skonfundowany. Zarządzanie komunikacją?Zarządzanie operacjami? Czy to możliwe, że może, po prostu może, ten sam mandat mógłby zostać uproszczony do czegoś prostszego, takiego jak: „Zabezpieczymy dane osobowe, wdrażając procedury, które wszyscy musimy przestrzegać?”
Tam. Właśnie ograniczyliśmy retorykę i nie straciliśmy nic w tym procesie. Uwierz lub nie, mniej może oznaczać więcej w programie zgodności, gdzie ludzie po prostu chcą wiedzieć, co mają robić. Typy zgodności, takie jak ja, powinny unikać pokusy powtarzania regulacji i pakowania jej w karty. Jeśli nie zrozumiemy tego sami, jak możemy oczekiwać, że inni to wdrożą?
Praca nigdy się nie kończy
Tagowanie, łączenie i upraszczanie polityki bezpieczeństwa to nie rzeczy, które robi się raz i zapomina. To podróż, inwestycja czasowa i myślowa dla menedżera zgodności. Przy odrobinie krytycznego myślenia autorzy polityki mogą wykorzystać Guru do gromadzenia wykonalnej polityki, która nie tylko zaspokaja wymagania regulatorów i klientów, ale także przemawia do osób, które mają największe znaczenie: tych, którzy muszą ją wdrażać.
