Who Are Security Policies For? (A Primer On Writing Policy For People)
Ви можете читати свої політики безпеки, але чи розумієте ви їх? Нехай наш менеджер з управління ризиками та відповідністю покаже вам, як написати впливові та корисні політики.
Як менеджер з управління ризиками та відповідністю в Guru, я проводжу значну частину свого часу, використовуючи додаток Guru для створення та організації політик, які регулюють практики безпеки нашої компанії. Ви знаєте... ставимо крапки над „і”… проводимо „т”... оновлюємо слова і таке інше. У світі безпеки це те, що потрібно робити, так? Політика є невід'ємною частиною майже будь-якої програми відповідності. Без правил ми всі просто купка дітей, які безвідповідально бігають навколо метафоричного басейну.
Нещодавно я змушений був переосмислити свою добре організовану рутину як менеджер з відповідності та розглянути загальну картину. Один з моїх колег запідозрив, що він може не зовсім дотримуватися певної практики безпеки, тому він зв'язався, щоб сказати, що не може знайти політику управління постачальниками.
Я був дещо здивований, оскільки я докладав чималих зусиль, щоб написати цілком придатну політику щодо "відносин з постачальниками" та розмістити її в Guru для всіх бажаючих прочитати. Я маю на увазі, давайте візьмемо до уваги, що тут важко зрозуміти, так? Постачальник? Виробник? Відносини? І, ну, е...
Гаразд, це почули. Насправді його питання стало певним дзвінком-будильником для менеджера з відповідності, який вважає, що у нас є чіткі та переконливі політики для всіх, щоб читати. У цей екзистенційний момент я замислився над тим, що моя онлайн-бібліотека переповнена термінологією, наповненою жаргоном.
Якщо людям не зрозуміло слова, як вони можуть слідувати їм?
Це змусило мене задуматися про кращі способи організації політики в Guru. Нам потрібна програма відповідності, яка не тільки відповідає формальностям, вимогам аудиторів, клієнтів та партнерів, але й фактично служить людям, до яких вона спрямована. Це підштовхнуло мене розпочати повільну кампанію з додавання аспектів, що мають значення, до політики, зусилля, яке базується на трьох поліпшеннях: тегуванні, зв’язуванні та спрощенні політики простими словами.
Втрачене мистецтво тегування
Процес створення картки Guru є досить простим, але є одна маленька деталь, яку слід врахувати при організації цієї картки та налаштуванні її для виявлення—яка колекція, який дошка, і т.д. Як творець політики, я маю певну перевагу в тому, що мої картки є ієрархічними і організованими в очевидний спосіб. Але це також рецепт для ізоляції, своєрідний "трубопровід", якщо хочете, який існує заради самого себе, а не для поширення серед читачів.
Я ставлю себе на місце будь-кого, хто може бути зацікавлений у своїх обов'язках у сфері безпеки, вважаючи, що їхній пошук в Guru, ймовірно, включатиме "політику безпеки." Оглядаючи одну з моїх політик на випадковий вибір, я швидко зрозумів, що навіть не додав цю просту фразу як тег; отже, пошук може повернути все від “політики відпустки” до “політики безпеки контенту” групи інженерів. Я додав ці слова як тег, і, як по чарівності, мої політики піднялися на верх пошукових результатів. Дякую, теги!
Зв'язування
Guru переповнений всім, що потрібно людині для виконання своєї роботи. Іноді я виявляю себе, переглядаючи інші колекції лише для того, щоб натрапити на картки, які виглядають і пахнуть як політика безпеки, і мій вузький внутрішній світ хвилюється через той факт, що це не організовано в моїй колекції безпеки.
Я зрозумів, що у світі відповідності правила є чудовим явищем, незалежно від того, де вони знаходяться. Обов’язок лежить на мені зробити їх актуальними для політики та зв’язати їх з ключовими словами у "моїх" картках.
Наприклад, якщо є вказівка менеджера IT про те, як оновити операційну систему на їхньому комп'ютері, виданому Guru, я повинен пов'язати її з моєю "політикою робочої станції" через простий гіперпосилання. Цей крок узгоджує внесок усіх і робить політику більш інклюзивною, ніби об'єднуючи планети, щоб виявити спільну безпекову сонячну систему.
Проста мова
Ви не чули цього від мене, але люди, що займаються політикою, схильні ускладнювати мову, коли можуть. Візьміть цей маленький уривок з вимоги до відповідності в галузі, яка залишиться безіменною: "Програма інформаційної безпеки, у зв'язку із захистом особистої інформації, повинна включати управління комунікаціями та управління операціями."
Ух. Це може щось означати для автора та кількох адептів безпеки, які займаються його виконанням, але простій людині важко буде зрозуміти. Управління комунікаціями?Управління операціями? Чи не може бути, що, можливо, лише можливо, той же мандат може бути спрощений до чогось простішого, як: "Ми будемо захищати особисті дані, впроваджуючи процедури, яких ми всі повинні дотримуватися?"
Ось. Ми просто зменшили риторику і не втратили нічого в процесі. Вірте чи ні, менше насправді може означати більше в програмі відповідності, де люди просто хочуть знати, що їм слід робити. Люди типу відповідності, як я, повинні уникати спокуси повторювати регламентацію та оформляти її у картки. Якщо ми самі цього не зрозуміємо, як можемо очікувати, що інші це виконуватимуть?
Робота ніколи не закінчується
Тегування, зв’язування та спрощення політики безпеки — це не речі, які можна зробити один раз і забути. Це подорож, постійні інвестиції часу та думок для менеджера з відповідності. З кількома критичними думками автори політики можуть використовувати Guru для зберігання реалізованої політики, яка не лише задовольняє регуляторів та клієнтів, але й говорить про людей, які мають найбільше значення: тих, хто повинен її виконати.
Як менеджер з управління ризиками та відповідністю в Guru, я проводжу значну частину свого часу, використовуючи додаток Guru для створення та організації політик, які регулюють практики безпеки нашої компанії. Ви знаєте... ставимо крапки над „і”… проводимо „т”... оновлюємо слова і таке інше. У світі безпеки це те, що потрібно робити, так? Політика є невід'ємною частиною майже будь-якої програми відповідності. Без правил ми всі просто купка дітей, які безвідповідально бігають навколо метафоричного басейну.
Нещодавно я змушений був переосмислити свою добре організовану рутину як менеджер з відповідності та розглянути загальну картину. Один з моїх колег запідозрив, що він може не зовсім дотримуватися певної практики безпеки, тому він зв'язався, щоб сказати, що не може знайти політику управління постачальниками.
Я був дещо здивований, оскільки я докладав чималих зусиль, щоб написати цілком придатну політику щодо "відносин з постачальниками" та розмістити її в Guru для всіх бажаючих прочитати. Я маю на увазі, давайте візьмемо до уваги, що тут важко зрозуміти, так? Постачальник? Виробник? Відносини? І, ну, е...
Гаразд, це почули. Насправді його питання стало певним дзвінком-будильником для менеджера з відповідності, який вважає, що у нас є чіткі та переконливі політики для всіх, щоб читати. У цей екзистенційний момент я замислився над тим, що моя онлайн-бібліотека переповнена термінологією, наповненою жаргоном.
Якщо людям не зрозуміло слова, як вони можуть слідувати їм?
Це змусило мене задуматися про кращі способи організації політики в Guru. Нам потрібна програма відповідності, яка не тільки відповідає формальностям, вимогам аудиторів, клієнтів та партнерів, але й фактично служить людям, до яких вона спрямована. Це підштовхнуло мене розпочати повільну кампанію з додавання аспектів, що мають значення, до політики, зусилля, яке базується на трьох поліпшеннях: тегуванні, зв’язуванні та спрощенні політики простими словами.
Втрачене мистецтво тегування
Процес створення картки Guru є досить простим, але є одна маленька деталь, яку слід врахувати при організації цієї картки та налаштуванні її для виявлення—яка колекція, який дошка, і т.д. Як творець політики, я маю певну перевагу в тому, що мої картки є ієрархічними і організованими в очевидний спосіб. Але це також рецепт для ізоляції, своєрідний "трубопровід", якщо хочете, який існує заради самого себе, а не для поширення серед читачів.
Я ставлю себе на місце будь-кого, хто може бути зацікавлений у своїх обов'язках у сфері безпеки, вважаючи, що їхній пошук в Guru, ймовірно, включатиме "політику безпеки." Оглядаючи одну з моїх політик на випадковий вибір, я швидко зрозумів, що навіть не додав цю просту фразу як тег; отже, пошук може повернути все від “політики відпустки” до “політики безпеки контенту” групи інженерів. Я додав ці слова як тег, і, як по чарівності, мої політики піднялися на верх пошукових результатів. Дякую, теги!
Зв'язування
Guru переповнений всім, що потрібно людині для виконання своєї роботи. Іноді я виявляю себе, переглядаючи інші колекції лише для того, щоб натрапити на картки, які виглядають і пахнуть як політика безпеки, і мій вузький внутрішній світ хвилюється через той факт, що це не організовано в моїй колекції безпеки.
Я зрозумів, що у світі відповідності правила є чудовим явищем, незалежно від того, де вони знаходяться. Обов’язок лежить на мені зробити їх актуальними для політики та зв’язати їх з ключовими словами у "моїх" картках.
Наприклад, якщо є вказівка менеджера IT про те, як оновити операційну систему на їхньому комп'ютері, виданому Guru, я повинен пов'язати її з моєю "політикою робочої станції" через простий гіперпосилання. Цей крок узгоджує внесок усіх і робить політику більш інклюзивною, ніби об'єднуючи планети, щоб виявити спільну безпекову сонячну систему.
Проста мова
Ви не чули цього від мене, але люди, що займаються політикою, схильні ускладнювати мову, коли можуть. Візьміть цей маленький уривок з вимоги до відповідності в галузі, яка залишиться безіменною: "Програма інформаційної безпеки, у зв'язку із захистом особистої інформації, повинна включати управління комунікаціями та управління операціями."
Ух. Це може щось означати для автора та кількох адептів безпеки, які займаються його виконанням, але простій людині важко буде зрозуміти. Управління комунікаціями?Управління операціями? Чи не може бути, що, можливо, лише можливо, той же мандат може бути спрощений до чогось простішого, як: "Ми будемо захищати особисті дані, впроваджуючи процедури, яких ми всі повинні дотримуватися?"
Ось. Ми просто зменшили риторику і не втратили нічого в процесі. Вірте чи ні, менше насправді може означати більше в програмі відповідності, де люди просто хочуть знати, що їм слід робити. Люди типу відповідності, як я, повинні уникати спокуси повторювати регламентацію та оформляти її у картки. Якщо ми самі цього не зрозуміємо, як можемо очікувати, що інші це виконуватимуть?
Робота ніколи не закінчується
Тегування, зв’язування та спрощення політики безпеки — це не речі, які можна зробити один раз і забути. Це подорож, постійні інвестиції часу та думок для менеджера з відповідності. З кількома критичними думками автори політики можуть використовувати Guru для зберігання реалізованої політики, яка не лише задовольняє регуляторів та клієнтів, але й говорить про людей, які мають найбільше значення: тих, хто повинен її виконати.
Досвідчіть силу платформи Guru особисто – пройдіть наш інтерактивний тур продуктом
