Who Are Security Policies For? (A Primer On Writing Policy For People)
Você pode ler suas políticas de segurança, mas você as entende? Deixe nosso Gerente de Risco e Conformidade mostrar como escrever políticas impactantes e úteis.
Como Gerente de Risco e Conformidade da Guru, passo uma boa parte do meu tempo usando o aplicativo Guru para criar e organizar as políticas que governam as práticas de segurança da nossa empresa. Você sabe... pontuando os Is... cruzando os Ts... atualizando palavras e afins. No mundo da segurança, isso é o que se deve fazer, certo? A política é uma parte essencial de praticamente qualquer programa de conformidade. Sem regras, somos apenas um bando de crianças correndo de forma irresponsável ao redor da piscina proverbial.
Recentemente, tive que repensar minha rotina bem organizada como gerente de conformidade e considerar a situação mais ampla. Um colega meu suspeitou que não estava seguindo totalmente uma prática de segurança específica, então ele entrou em contato para dizer que não conseguiu encontrar a política de gestão de fornecedores.
Fiquei um pouco surpreso, pois fui a grandes esforços para elaborar uma política perfeitamente utilizável sobre "relacionamentos com fornecedores" e postá-la no Guru para todos lerem. Quero dizer, por favor, o que não entender, certo? Fornecedor? Fornecedor? Relacionamentos? E, bem, uh...
Ok, ponto! De fato, sua pergunta foi uma espécie de chamado para a realidade para o cara de conformidade nas torres de marfim que acredita que temos políticas claras e convincentes para todos lerem. Neste momento existencial, refleti sobre o fato de que minha biblioteca online está cheia de linguagem carregada de jargão.
Se as pessoas não conseguem se relacionar com as palavras, como podem ser guiadas por elas?
Isso me fez pensar em melhores formas de organizar a política dentro do Guru. Precisamos de um programa de conformidade que não apenas atenda à formalidade exigida por auditores, clientes e parceiros, mas que realmente sirva às pessoas a quem se aplica. Isso me levou a embarcar em uma campanha lenta de adicionar relevância à política, uma tarefa que se baseia em três melhorias: rotulagem, vinculação e simplificação da política com linguagem simples.
A arte perdida de rotular
O processo de criar um cartão Guru é bastante simples, mas há uma pequena consideração de raciocínio lógico que entra na organização desse cartão e na configuração para descoberta--qual coleção, qual quadro, etc. Como criador da política, estou em uma certa vantagem, pois meus cartões são hierárquicos e organizados de uma forma autoevidente. Mas isso também é uma receita para o isolamento, um tubo de ensaio, se você quiser, que existe para seu próprio bem e não para a disseminação entre os leitores.
Eu me coloquei nos sapatos cibernéticos de qualquer um que possa estar curioso sobre suas responsabilidades de segurança, supondo que sua busca no Guru incluiria "política de segurança." Olhando um de meus políticas ao acaso, descobri rapidamente que nem havia adicionado essa simples frase como uma tag; portanto, uma pesquisa retornaria tudo, desde "política de férias" até "política de segurança de conteúdo" do grupo de engenharia. Adicionei as palavras como uma tag, e, como mágica, minhas políticas subiram ao topo dos resultados da pesquisa. Obrigado, tags!
Vinculação
O Guru está cheio de qualquer coisa e tudo o que uma pessoa precisa para fazer seu trabalho. Às vezes, me pego navegando em outras coleções apenas para tropeçar em cartões que parecem e cheiram como política de segurança, e meu eu interno parco se preocupa com o fato de que não está organizado na minha coleção de segurança.
Cheguei a perceber que no mundo da conformidade, as regras são uma grande coisa, não importa onde elas estejam. A responsabilidade é minha para torná-las relevantes para a política e vinculá-las a palavras-chave em meus cartões.
Por exemplo, se há uma orientação do Gerente de TI sobre como atualizar o sistema operacional em seu laptop fornecido pelo Guru, eu devo vincular isso à minha "política de estação de trabalho" através de um hyperlink simples. Este passo alinha a contribuição de todos e torna a política mais inclusiva, alinhando os planetas, por assim dizer, para revelar um sistema solar de segurança comum.
Linguagem Simples
Você não ouviu isso de mim, mas as pessoas de política tendem a complicar a linguagem quando podem. Pegue este pequeno trecho de um requisito de conformidade da indústria que permanecerá sem nome: "O programa de segurança da informação, em relação à proteção de informações pessoais, deve incluir gestão de comunicações e gestão de operações."
Uau. Isso pode significar algo para o autor e alguns puristas de segurança encarregados de aplicá-lo, mas o leigo pode ficar sem entender nada. Gestão de comunicações?Gestão de operações? Poderia ser que talvez, apenas talvez, aquele mesmo mandado pudesse ser reduzido a algo mais simples, como, "Nós iremos proteger dados pessoais implementando procedimentos que todos devemos seguir?"
Aí está. Nós apenas reduzimos a retórica e não perdemos nada no processo. Acredite ou não, menos pode realmente significar mais em um programa de conformidade onde as pessoas apenas querem saber o que devem fazer. Tipos de conformidade como eu devem evitar a tentação de repetir regulamentos e empacotar tudo em cartões. Se nós não entendemos, como podemos esperar que outros executem?
O Trabalho Nunca Para
Rotular, vincular e simplificar a política de segurança não são coisas a serem feitas uma vez e esquecidas. Esta é uma jornada, um investimento contínuo de tempo e pensamento para o gerente de conformidade. Com um pouco de pensamento crítico, os autores de políticas podem tirar proveito do Guru para abrigar uma política aplicável que não apenas satisfaça reguladores e clientes, mas que fale com as pessoas que mais importam: aquelas que devem executá-la.
Como Gerente de Risco e Conformidade da Guru, passo uma boa parte do meu tempo usando o aplicativo Guru para criar e organizar as políticas que governam as práticas de segurança da nossa empresa. Você sabe... pontuando os Is... cruzando os Ts... atualizando palavras e afins. No mundo da segurança, isso é o que se deve fazer, certo? A política é uma parte essencial de praticamente qualquer programa de conformidade. Sem regras, somos apenas um bando de crianças correndo de forma irresponsável ao redor da piscina proverbial.
Recentemente, tive que repensar minha rotina bem organizada como gerente de conformidade e considerar a situação mais ampla. Um colega meu suspeitou que não estava seguindo totalmente uma prática de segurança específica, então ele entrou em contato para dizer que não conseguiu encontrar a política de gestão de fornecedores.
Fiquei um pouco surpreso, pois fui a grandes esforços para elaborar uma política perfeitamente utilizável sobre "relacionamentos com fornecedores" e postá-la no Guru para todos lerem. Quero dizer, por favor, o que não entender, certo? Fornecedor? Fornecedor? Relacionamentos? E, bem, uh...
Ok, ponto! De fato, sua pergunta foi uma espécie de chamado para a realidade para o cara de conformidade nas torres de marfim que acredita que temos políticas claras e convincentes para todos lerem. Neste momento existencial, refleti sobre o fato de que minha biblioteca online está cheia de linguagem carregada de jargão.
Se as pessoas não conseguem se relacionar com as palavras, como podem ser guiadas por elas?
Isso me fez pensar em melhores formas de organizar a política dentro do Guru. Precisamos de um programa de conformidade que não apenas atenda à formalidade exigida por auditores, clientes e parceiros, mas que realmente sirva às pessoas a quem se aplica. Isso me levou a embarcar em uma campanha lenta de adicionar relevância à política, uma tarefa que se baseia em três melhorias: rotulagem, vinculação e simplificação da política com linguagem simples.
A arte perdida de rotular
O processo de criar um cartão Guru é bastante simples, mas há uma pequena consideração de raciocínio lógico que entra na organização desse cartão e na configuração para descoberta--qual coleção, qual quadro, etc. Como criador da política, estou em uma certa vantagem, pois meus cartões são hierárquicos e organizados de uma forma autoevidente. Mas isso também é uma receita para o isolamento, um tubo de ensaio, se você quiser, que existe para seu próprio bem e não para a disseminação entre os leitores.
Eu me coloquei nos sapatos cibernéticos de qualquer um que possa estar curioso sobre suas responsabilidades de segurança, supondo que sua busca no Guru incluiria "política de segurança." Olhando um de meus políticas ao acaso, descobri rapidamente que nem havia adicionado essa simples frase como uma tag; portanto, uma pesquisa retornaria tudo, desde "política de férias" até "política de segurança de conteúdo" do grupo de engenharia. Adicionei as palavras como uma tag, e, como mágica, minhas políticas subiram ao topo dos resultados da pesquisa. Obrigado, tags!
Vinculação
O Guru está cheio de qualquer coisa e tudo o que uma pessoa precisa para fazer seu trabalho. Às vezes, me pego navegando em outras coleções apenas para tropeçar em cartões que parecem e cheiram como política de segurança, e meu eu interno parco se preocupa com o fato de que não está organizado na minha coleção de segurança.
Cheguei a perceber que no mundo da conformidade, as regras são uma grande coisa, não importa onde elas estejam. A responsabilidade é minha para torná-las relevantes para a política e vinculá-las a palavras-chave em meus cartões.
Por exemplo, se há uma orientação do Gerente de TI sobre como atualizar o sistema operacional em seu laptop fornecido pelo Guru, eu devo vincular isso à minha "política de estação de trabalho" através de um hyperlink simples. Este passo alinha a contribuição de todos e torna a política mais inclusiva, alinhando os planetas, por assim dizer, para revelar um sistema solar de segurança comum.
Linguagem Simples
Você não ouviu isso de mim, mas as pessoas de política tendem a complicar a linguagem quando podem. Pegue este pequeno trecho de um requisito de conformidade da indústria que permanecerá sem nome: "O programa de segurança da informação, em relação à proteção de informações pessoais, deve incluir gestão de comunicações e gestão de operações."
Uau. Isso pode significar algo para o autor e alguns puristas de segurança encarregados de aplicá-lo, mas o leigo pode ficar sem entender nada. Gestão de comunicações?Gestão de operações? Poderia ser que talvez, apenas talvez, aquele mesmo mandado pudesse ser reduzido a algo mais simples, como, "Nós iremos proteger dados pessoais implementando procedimentos que todos devemos seguir?"
Aí está. Nós apenas reduzimos a retórica e não perdemos nada no processo. Acredite ou não, menos pode realmente significar mais em um programa de conformidade onde as pessoas apenas querem saber o que devem fazer. Tipos de conformidade como eu devem evitar a tentação de repetir regulamentos e empacotar tudo em cartões. Se nós não entendemos, como podemos esperar que outros executem?
O Trabalho Nunca Para
Rotular, vincular e simplificar a política de segurança não são coisas a serem feitas uma vez e esquecidas. Esta é uma jornada, um investimento contínuo de tempo e pensamento para o gerente de conformidade. Com um pouco de pensamento crítico, os autores de políticas podem tirar proveito do Guru para abrigar uma política aplicável que não apenas satisfaça reguladores e clientes, mas que fale com as pessoas que mais importam: aquelas que devem executá-la.
Experimente o poder da plataforma Guru em primeira mão - faça nosso tour interativo pelo produto
