Who Are Security Policies For? (A Primer On Writing Policy For People)
Güvenlik politikalarınızı okuyabilirsiniz, ama onları anlıyor musunuz? Risk ve Uyum Yöneticimizin, nasıl etkili ve yararlı politikalar yazacağınızı göstermesine izin verin.
Guru için Risk ve Uyum Yöneticisi olarak, şirketimizin güvenlik uygulamalarını yöneten politikaları oluşturup düzenlemek için zamanımın büyük bir kısmını Guru uygulamasını kullanarak geçiriyorum. Biliyorsunuz... noktaları i’nin üzerine koymak... t’nin üzerinden geçirmek... kelimeleri güncellemek ve benzeri. Güvenlik dünyasında, yapılacak şey bu, değil mi? Politika, her türlü uyum programının temel bir parçasıdır. Kurallar olmadan, hepimiz sadece mecazi olarak havuzun etrafında dikkatsizce koşan bir grup çocuk oluruz.
Yakın zamanda, uyum yöneticisi olarak iyi düzenlenmiş rutinimi yeniden düşünmek ve daha büyük resme bakmak zorunda kaldım. Bir iş arkadaşım, belirli bir güvenlik uygulamasını tam olarak takip etmediğinden şüpheleniyordu, bu yüzden vendor yönetim politikasını bulamadığını söylemek için bana ulaştı.
Bir “tedarikçi ilişkileri” üzerine mükemmel bir politika yazmak için büyük çaba harcamıştım, bu durumu biraz tuhaf buldum ve bunu herkesin okuyabilmesi için Guru’da yayınlamıştım. Yani, hadi ama, anlaması zor ne var ki, değil mi? Vendor? Tedarikçi? İlişkiler? Ve, şey... hımm...
Tamam, anlaşıldı. Aslında, onun sorusu, herkesin okuyabileceği açık ve ikna edici politikalarımız olduğuna inanan makamda yaşayan uyum uzmanı için bir uyanış çağrısıydı. Bu varoluşsal anda, çevrimiçi kütüphanemin jargon dolu bir dil ile dolu olduğunu düşünmek zorunda kaldım.
Eğer insanlar kelimelerle ilişki kuramıyorsa, nasıl yönlendirilebilirler?
Bu, Guru içinde politikayı daha iyi organize etmek hakkında düşünmeme neden oldu. Sadece denetçiler, müşteriler ve ortaklar tarafından gerekli olan formaliteyi karşılamakla kalmayıp, aslında uygulanan insanların da hizmetine sunan bir uyum programına ihtiyacımız var. Bu, politikaya uygunluk eklemek için yavaş bir kampanya başlatmama neden oldu; bu girişim üç iyileştirmeye dayanıyor: etiketleme, bağlantı verme ve politikayı sade dille basitleştirme.
Kaybolmuş etiketleme sanatı
Bir Guru kartı oluşturma süreci oldukça basittir, ancak bu kartı düzenlemek ve keşif için ayarlamak için biraz sol beyin düşüncesi gerekmektedir - hangi koleksiyon, hangi pano vb. Politika oluşturucu olarak, kartlarım hiyerarşik ve kendiliğinden bir şekilde düzenlendiği için biraz avantajlıyım. Ancak bu, aynı zamanda bir bağımsızlık tarifi, bir tür sadece kendi amacına hizmet eden bir sistem demektir, okuyucular arasında dağıtım için değil.
Güvenlik sorumlulukları hakkında meraklı olabilecek birinin siber ayakkabılarına kendimi koydum, onların Guru aramalarının muhtemelen “güvenlik politikası”nı içereceğini varsaydım. Rastgele bir politikama göz atarken, bu basit ifadeyi etiketi olarak eklemediğimi hızlı bir şekilde keşfettim; dolayısıyla, bir arama “tatil politikası” ile mühendislik grubunun “içerik güvenliği politikası” arasında herhangi bir şey dönecektir. Kelimeleri bir etiket olarak ekledim ve sihirli bir şekilde, politikalarım arama sonuçlarının en üstüne çıktı. Teşekkürler, etiketler!
Bağlantı verme
Guru, bir insanın işini yapması için ihtiyaç duyduğu her şeyi ve her şeyi barındırır. Bazen diğer koleksiyonları incelerken güvenlik politikasına benzeyen kartlara takılmaktan kaçamıyorum ve şimdiki içsel benliğim, bunun güvenlik koleksiyonumda düzenli olmamasından endişe duymaktadır.
Uyum dünyasında kuralların nerede olduğunun büyük bir şey olduğunu fark ettim. Onları politikanın içine dahil etmek ve “benim” kartlarımdaki anahtar kelimelerle bağlamak benim sorumluluğumdur.
Örneğin, IT Müdürü’nün Guru tahsisli dizüstü bilgisayarında işletim sistemini nasıl güncelleyeceği hakkında bir kılavuz sağladığı durumlarda, bunu “iş istasyonu politikam” ile basit bir köprü ile bağlamalıyım. Bu adım herkesin katkısını hizalar ve politikayı daha kapsayıcı hale getirir, gezegenleri hizalayarak ortak bir güvenlik güneş sistemi ortaya çıkarmış oluruz.
Sade Dil
Bunu benden duymadınız, ancak politika insanları mümkün olduğunca dili karmaşık hale getirme eğilimindedir. Adını vermeyeceğim bir sektörel uyum gerekliliğinden bu küçük alıntıyı alın: “Kişisel bilgileri koruma ile ilgili bilgi güvenliği programı, iletişim yönetimi ve operasyon yönetimini içermelidir.”
Vay be. Bu, yazar için ve buna uyum sağlamaktan sorumlu birkaç güvenlik puristin için bir anlam ifade edebilir, ama gündelik insanlar kafalarını kaşımakla kalıyorlar. İletişim yönetimi?Operasyon yönetimi? Belki de, sadece belki, aynı talimat basit bir ifadeye indirgenebilir: “Kişisel verileri korumak için hepimizin uyması gereken prosedürler uygulayacağız.”
İşte. Dili daha az karmaşık hale getirmiş olduk ve süreçte hiçbir şey kaybetmedik. İnanın ya da inanmayın, bir uyum programında daha az şeyin aslında daha fazla şey ifade edebileceği bir durumdur; insanlar sadece ne yapmaları gerektiğini bilmek isterler. Benim gibi uyum türler, düzenlemeleri yakından takip etme ve bunları kartların içine paketleme konusunda kendilerine karşı koymaktan kaçınmalıdırlar. Eğer biz anlamıyorsak, başkalarının bunu uygulamasını nasıl bekleyebiliriz?
Çalışmalar Asla Bitmez
Güvenlik politikasını etiketleme, bağlantı verme ve basit hale getirmek, bir kere yapılacak ve unutulacak işler değildir. Bu bir yolculuktur, uyum yöneticisi için sürekli bir zaman ve düşünce yatırımıdır. Biraz eleştirel düşünme ile, politika yazarları Guru’yu denetim edilebilir politikaları barındırmak için kullanabilirler; bu sadece denetçileri ve müşterileri tatmin etmekle kalmaz, aynı zamanda en önemli insanlara - uygulamak zorunda kalanlara - de hitap eder.
Guru için Risk ve Uyum Yöneticisi olarak, şirketimizin güvenlik uygulamalarını yöneten politikaları oluşturup düzenlemek için zamanımın büyük bir kısmını Guru uygulamasını kullanarak geçiriyorum. Biliyorsunuz... noktaları i’nin üzerine koymak... t’nin üzerinden geçirmek... kelimeleri güncellemek ve benzeri. Güvenlik dünyasında, yapılacak şey bu, değil mi? Politika, her türlü uyum programının temel bir parçasıdır. Kurallar olmadan, hepimiz sadece mecazi olarak havuzun etrafında dikkatsizce koşan bir grup çocuk oluruz.
Yakın zamanda, uyum yöneticisi olarak iyi düzenlenmiş rutinimi yeniden düşünmek ve daha büyük resme bakmak zorunda kaldım. Bir iş arkadaşım, belirli bir güvenlik uygulamasını tam olarak takip etmediğinden şüpheleniyordu, bu yüzden vendor yönetim politikasını bulamadığını söylemek için bana ulaştı.
Bir “tedarikçi ilişkileri” üzerine mükemmel bir politika yazmak için büyük çaba harcamıştım, bu durumu biraz tuhaf buldum ve bunu herkesin okuyabilmesi için Guru’da yayınlamıştım. Yani, hadi ama, anlaması zor ne var ki, değil mi? Vendor? Tedarikçi? İlişkiler? Ve, şey... hımm...
Tamam, anlaşıldı. Aslında, onun sorusu, herkesin okuyabileceği açık ve ikna edici politikalarımız olduğuna inanan makamda yaşayan uyum uzmanı için bir uyanış çağrısıydı. Bu varoluşsal anda, çevrimiçi kütüphanemin jargon dolu bir dil ile dolu olduğunu düşünmek zorunda kaldım.
Eğer insanlar kelimelerle ilişki kuramıyorsa, nasıl yönlendirilebilirler?
Bu, Guru içinde politikayı daha iyi organize etmek hakkında düşünmeme neden oldu. Sadece denetçiler, müşteriler ve ortaklar tarafından gerekli olan formaliteyi karşılamakla kalmayıp, aslında uygulanan insanların da hizmetine sunan bir uyum programına ihtiyacımız var. Bu, politikaya uygunluk eklemek için yavaş bir kampanya başlatmama neden oldu; bu girişim üç iyileştirmeye dayanıyor: etiketleme, bağlantı verme ve politikayı sade dille basitleştirme.
Kaybolmuş etiketleme sanatı
Bir Guru kartı oluşturma süreci oldukça basittir, ancak bu kartı düzenlemek ve keşif için ayarlamak için biraz sol beyin düşüncesi gerekmektedir - hangi koleksiyon, hangi pano vb. Politika oluşturucu olarak, kartlarım hiyerarşik ve kendiliğinden bir şekilde düzenlendiği için biraz avantajlıyım. Ancak bu, aynı zamanda bir bağımsızlık tarifi, bir tür sadece kendi amacına hizmet eden bir sistem demektir, okuyucular arasında dağıtım için değil.
Güvenlik sorumlulukları hakkında meraklı olabilecek birinin siber ayakkabılarına kendimi koydum, onların Guru aramalarının muhtemelen “güvenlik politikası”nı içereceğini varsaydım. Rastgele bir politikama göz atarken, bu basit ifadeyi etiketi olarak eklemediğimi hızlı bir şekilde keşfettim; dolayısıyla, bir arama “tatil politikası” ile mühendislik grubunun “içerik güvenliği politikası” arasında herhangi bir şey dönecektir. Kelimeleri bir etiket olarak ekledim ve sihirli bir şekilde, politikalarım arama sonuçlarının en üstüne çıktı. Teşekkürler, etiketler!
Bağlantı verme
Guru, bir insanın işini yapması için ihtiyaç duyduğu her şeyi ve her şeyi barındırır. Bazen diğer koleksiyonları incelerken güvenlik politikasına benzeyen kartlara takılmaktan kaçamıyorum ve şimdiki içsel benliğim, bunun güvenlik koleksiyonumda düzenli olmamasından endişe duymaktadır.
Uyum dünyasında kuralların nerede olduğunun büyük bir şey olduğunu fark ettim. Onları politikanın içine dahil etmek ve “benim” kartlarımdaki anahtar kelimelerle bağlamak benim sorumluluğumdur.
Örneğin, IT Müdürü’nün Guru tahsisli dizüstü bilgisayarında işletim sistemini nasıl güncelleyeceği hakkında bir kılavuz sağladığı durumlarda, bunu “iş istasyonu politikam” ile basit bir köprü ile bağlamalıyım. Bu adım herkesin katkısını hizalar ve politikayı daha kapsayıcı hale getirir, gezegenleri hizalayarak ortak bir güvenlik güneş sistemi ortaya çıkarmış oluruz.
Sade Dil
Bunu benden duymadınız, ancak politika insanları mümkün olduğunca dili karmaşık hale getirme eğilimindedir. Adını vermeyeceğim bir sektörel uyum gerekliliğinden bu küçük alıntıyı alın: “Kişisel bilgileri koruma ile ilgili bilgi güvenliği programı, iletişim yönetimi ve operasyon yönetimini içermelidir.”
Vay be. Bu, yazar için ve buna uyum sağlamaktan sorumlu birkaç güvenlik puristin için bir anlam ifade edebilir, ama gündelik insanlar kafalarını kaşımakla kalıyorlar. İletişim yönetimi?Operasyon yönetimi? Belki de, sadece belki, aynı talimat basit bir ifadeye indirgenebilir: “Kişisel verileri korumak için hepimizin uyması gereken prosedürler uygulayacağız.”
İşte. Dili daha az karmaşık hale getirmiş olduk ve süreçte hiçbir şey kaybetmedik. İnanın ya da inanmayın, bir uyum programında daha az şeyin aslında daha fazla şey ifade edebileceği bir durumdur; insanlar sadece ne yapmaları gerektiğini bilmek isterler. Benim gibi uyum türler, düzenlemeleri yakından takip etme ve bunları kartların içine paketleme konusunda kendilerine karşı koymaktan kaçınmalıdırlar. Eğer biz anlamıyorsak, başkalarının bunu uygulamasını nasıl bekleyebiliriz?
Çalışmalar Asla Bitmez
Güvenlik politikasını etiketleme, bağlantı verme ve basit hale getirmek, bir kere yapılacak ve unutulacak işler değildir. Bu bir yolculuktur, uyum yöneticisi için sürekli bir zaman ve düşünce yatırımıdır. Biraz eleştirel düşünme ile, politika yazarları Guru’yu denetim edilebilir politikaları barındırmak için kullanabilirler; bu sadece denetçileri ve müşterileri tatmin etmekle kalmaz, aynı zamanda en önemli insanlara - uygulamak zorunda kalanlara - de hitap eder.
Guru platformunun gücünü ilk elden deneyimleyin - etkileşimli ürün turumuzu yapın
