Som Risk- och efterlevnadschef för Guru spenderar jag en del av min tid på att använda Guru-appen för att skapa och organisera de policys som styr vårt företags säkerhetspraxis. Du vet...pricka i:en...korsar t:en...uppdatera ord och sådär. Inom säkerhetsvärlden är det så man gör, eller hur? Policy är en väsentlig del av nästan vilket som helst efterlevnadsprogram. Utan regler är vi alla bara en massa barn som springer hänsynslöst runt den proverbiala poolen.
Nyligen var jag tvungen att ompröva min välordnade rutin som efterlevnadschef och tänka på den större bilden. En kollega till mig misstänkte att han kanske inte helt följde en viss säkerhetspraxis, så han kontaktade mig för att säga att han inte kunde hitta policyn för leverantörshantering.
Jag blev lite överraskad, eftersom jag hade gjort stora ansträngningar för att skriva en fullt fungerande policy om “leverantörsrelationer” och lägga upp den i Guru för alla att läsa. Jag menar, kom igen, vad är det att inte förstå, eller hur? Leverantör? Leverantör? Relationer? Och, tja, eh...
Okej, poäng taget. Faktum är att hans fråga var något av en väckarklocka för den förvildade efterlevnadschefen som känner att vi har tydliga och övertygande policies för alla att läsa. I denna existentiella stund reflekterade jag över faktumet att mitt onlinebibliotek är fullt av jargongfylld språk.
Om människor inte kan relatera till orden, hur kan de då vägledas av dem?
Detta fick mig att tänka på bättre sätt att organisera policy inom Guru. Vi behöver ett efterlevnadsprogram som inte bara uppfyller formaliteten som krävs av revisorer, kunder och partners utan faktiskt tjänar de människor som det gäller. Det fick mig att påbörja en långsam kampanj för att lägga till relevans till policyn, ett företag som vilar på tre förbättringar: taggning, länkning och förenkling av policyn med klart språk.
Den förlorade konsten av taggning
Processen för att skapa ett Guru-kort är ganska enkel, men det finns en liten vänsterhjärnövervägning som går in i att organisera det kortet och ställa in det för att upptäckas–vilken samling, vilken styrelse, osv. Som policyförfattare har jag en viss fördel eftersom mina kort är hierarkiska och organiserade på ett självklar sätt. Men det är också ett recept på isolering, en avskildhet om man vill, som existerar för sin egen skull och inte för spridning bland läsarna.
Jag sätter mig i cyber-skorna på någon som kan vara nyfiken på sina säkerhetsansvar, och antar att deras Guru-sökning troligen skulle inkludera “säkerhetspolicy.” När jag snabbt granskade en av mina policys på måfå upptäckte jag att jag inte ens hade lagt till denna enkla fras som en tagg; därför skulle en sökning returnera allt från “semesterpolicy” till ingenjörsgruppens “innehållssäkerhetspolicy.” Jag lade till orden som en tagg, och, som magi, steg mina policys till toppen av sökresultaten. Tack, taggar!
Länkning
Guru är fullt av allt och alla som en person behöver för att göra sitt jobb. Jag finner ibland mig själv bläddra igenom andra samlingar bara för att snubbla över kort som ser ut och luktar som säkerhetspolicy, och min snäva inre själ oroar sig över att det inte är organiserat i min säkerhetssamling.
Jag har kommit att inse att i efterlevnadsvärlden är regler en bra sak oavsett var de befinner sig. Ansvarsfördelningen ligger på mig för att göra dem relevanta för policyn och länka dem till nyckelord i “mina” kort.
Till exempel, om det finns vägledning från IT-chefen om hur man uppdaterar sitt operativsystem på sin Guru-utgivna laptop, bör jag koppla tillbaka den till min “arbetsstationpolicy” genom en enkel hyperlänk. Detta steg samordnar allas bidrag och gör policyn mer inkluderande, som det vore, för att avslöja ett gemensamt säkerhetssolar-system.
Ett klart språk
Du hörde inte det här från mig, men policyfolk tenderar att överkomplicera språket när de kan. Ta detta lilla utdrag från ett branschkrav för efterlevnad som ska förbli namnlöst: “Informationssäkerhetsprogrammet, i förhållande till att skydda personlig information, bör inkludera kommunikationshantering och verksamhetshantering.”
Usch. Det kan betyda något för författaren och några säkerhetspurister som är ansvariga för att upprätthålla det, men lekmannen kan bli kvar och klia sig i huvudet. Kommunikationshantering?Verksamhetshantering? Kan det vara så att kanske, bara kanske, att samma mandat kan kokas ner till något enklare, som, “Vi kommer att säkra personuppgifter genom att implementera procedurer som vi alla måste följa?”
Där. Vi sänkte retoriken några snäpp och förlorade inte något i processen. Tro det eller ej, mindre kan faktiskt betyda mer i ett efterlevnadsprogram där människor bara vill veta vad de förväntas göra. Efterlevnadstyper som jag bör undvika frestelsen att repetera regulation och paketerar det i kort. Om vi inte förstår det själva, hur kan vi förvänta oss att andra genomför det?
Arbetet tar aldrig slut
Taggning, länkning och förenkling av säkerhetspolicy är inte saker som görs en gång och glöms bort. Detta är en resa, en pågående investering av tid och tankar för efterlevnadschefen. Med lite kritiskt tänkande kan policyförfattare använda Guru för att hysa genomförbara policyer som inte bara tillfredsställer tillsynsmyndigheter och kunder utan också talar till de människor som betyder mest: de som måste genomföra det.
Som Risk- och efterlevnadschef för Guru spenderar jag en del av min tid på att använda Guru-appen för att skapa och organisera de policys som styr vårt företags säkerhetspraxis. Du vet...pricka i:en...korsar t:en...uppdatera ord och sådär. Inom säkerhetsvärlden är det så man gör, eller hur? Policy är en väsentlig del av nästan vilket som helst efterlevnadsprogram. Utan regler är vi alla bara en massa barn som springer hänsynslöst runt den proverbiala poolen.
Nyligen var jag tvungen att ompröva min välordnade rutin som efterlevnadschef och tänka på den större bilden. En kollega till mig misstänkte att han kanske inte helt följde en viss säkerhetspraxis, så han kontaktade mig för att säga att han inte kunde hitta policyn för leverantörshantering.
Jag blev lite överraskad, eftersom jag hade gjort stora ansträngningar för att skriva en fullt fungerande policy om “leverantörsrelationer” och lägga upp den i Guru för alla att läsa. Jag menar, kom igen, vad är det att inte förstå, eller hur? Leverantör? Leverantör? Relationer? Och, tja, eh...
Okej, poäng taget. Faktum är att hans fråga var något av en väckarklocka för den förvildade efterlevnadschefen som känner att vi har tydliga och övertygande policies för alla att läsa. I denna existentiella stund reflekterade jag över faktumet att mitt onlinebibliotek är fullt av jargongfylld språk.
Om människor inte kan relatera till orden, hur kan de då vägledas av dem?
Detta fick mig att tänka på bättre sätt att organisera policy inom Guru. Vi behöver ett efterlevnadsprogram som inte bara uppfyller formaliteten som krävs av revisorer, kunder och partners utan faktiskt tjänar de människor som det gäller. Det fick mig att påbörja en långsam kampanj för att lägga till relevans till policyn, ett företag som vilar på tre förbättringar: taggning, länkning och förenkling av policyn med klart språk.
Den förlorade konsten av taggning
Processen för att skapa ett Guru-kort är ganska enkel, men det finns en liten vänsterhjärnövervägning som går in i att organisera det kortet och ställa in det för att upptäckas–vilken samling, vilken styrelse, osv. Som policyförfattare har jag en viss fördel eftersom mina kort är hierarkiska och organiserade på ett självklar sätt. Men det är också ett recept på isolering, en avskildhet om man vill, som existerar för sin egen skull och inte för spridning bland läsarna.
Jag sätter mig i cyber-skorna på någon som kan vara nyfiken på sina säkerhetsansvar, och antar att deras Guru-sökning troligen skulle inkludera “säkerhetspolicy.” När jag snabbt granskade en av mina policys på måfå upptäckte jag att jag inte ens hade lagt till denna enkla fras som en tagg; därför skulle en sökning returnera allt från “semesterpolicy” till ingenjörsgruppens “innehållssäkerhetspolicy.” Jag lade till orden som en tagg, och, som magi, steg mina policys till toppen av sökresultaten. Tack, taggar!
Länkning
Guru är fullt av allt och alla som en person behöver för att göra sitt jobb. Jag finner ibland mig själv bläddra igenom andra samlingar bara för att snubbla över kort som ser ut och luktar som säkerhetspolicy, och min snäva inre själ oroar sig över att det inte är organiserat i min säkerhetssamling.
Jag har kommit att inse att i efterlevnadsvärlden är regler en bra sak oavsett var de befinner sig. Ansvarsfördelningen ligger på mig för att göra dem relevanta för policyn och länka dem till nyckelord i “mina” kort.
Till exempel, om det finns vägledning från IT-chefen om hur man uppdaterar sitt operativsystem på sin Guru-utgivna laptop, bör jag koppla tillbaka den till min “arbetsstationpolicy” genom en enkel hyperlänk. Detta steg samordnar allas bidrag och gör policyn mer inkluderande, som det vore, för att avslöja ett gemensamt säkerhetssolar-system.
Ett klart språk
Du hörde inte det här från mig, men policyfolk tenderar att överkomplicera språket när de kan. Ta detta lilla utdrag från ett branschkrav för efterlevnad som ska förbli namnlöst: “Informationssäkerhetsprogrammet, i förhållande till att skydda personlig information, bör inkludera kommunikationshantering och verksamhetshantering.”
Usch. Det kan betyda något för författaren och några säkerhetspurister som är ansvariga för att upprätthålla det, men lekmannen kan bli kvar och klia sig i huvudet. Kommunikationshantering?Verksamhetshantering? Kan det vara så att kanske, bara kanske, att samma mandat kan kokas ner till något enklare, som, “Vi kommer att säkra personuppgifter genom att implementera procedurer som vi alla måste följa?”
Där. Vi sänkte retoriken några snäpp och förlorade inte något i processen. Tro det eller ej, mindre kan faktiskt betyda mer i ett efterlevnadsprogram där människor bara vill veta vad de förväntas göra. Efterlevnadstyper som jag bör undvika frestelsen att repetera regulation och paketerar det i kort. Om vi inte förstår det själva, hur kan vi förvänta oss att andra genomför det?
Arbetet tar aldrig slut
Taggning, länkning och förenkling av säkerhetspolicy är inte saker som görs en gång och glöms bort. Detta är en resa, en pågående investering av tid och tankar för efterlevnadschefen. Med lite kritiskt tänkande kan policyförfattare använda Guru för att hysa genomförbara policyer som inte bara tillfredsställer tillsynsmyndigheter och kunder utan också talar till de människor som betyder mest: de som måste genomföra det.
Upplev kraften i Guru-plattformen förstahands - ta vår interaktiva produktturné
