Là Giám đốc Quản lý Rủi ro và Tuân thủ của Guru, tôi dành khá nhiều thời gian để sử dụng ứng dụng Guru để tạo và tổ chức các chính sách điều chỉnh các thực tiễn bảo mật của công ty chúng tôi.  Bạn biết đấy... đặt dấu chấm cho I... gạch chéo T... cập nhật từ ngữ và nhiều thứ khác.  Trong thế giới bảo mật, đó là điều cần làm, đúng không?  Chính sách là phần thiết yếu của hầu như bất kỳ chương trình tuân thủ nào.  Nếu không có quy tắc, chúng ta chỉ là một lũ trẻ con chạy quanh bể bơi mang tính ẩn dụ một cách bất cẩn.   

Gần đây, tôi phải suy nghĩ lại thói quen tốt đẹp của mình với tư cách là một người quản lý tuân thủ và xem xét bức tranh toàn cảnh hơn. Một đồng nghiệp của tôi nghi ngờ rằng anh ấy có thể không hoàn toàn theo đúng một thực tiễn bảo mật cụ thể, vì vậy anh ấy đã liên hệ để nói rằng anh ấy không thể tìm thấy chính sách về quản lý nhà cung cấp. 

Tôi có chút ngạc nhiên, vì tôi đã làm nhiều điều để viết một chính sách hoàn hảo về “mối quan hệ với nhà cung cấp” và đăng nó lên Guru để mọi người đọc.  Ý tôi là, thực sự mà nói, có gì khó hiểu, đúng không?  Nhà cung cấp?  Nhà cung cấp?  Mối quan hệ? Và, um, uh...      

Được rồi, tôi đã hiểu.  Thực tế, câu hỏi của anh ấy là một lời nhắc nhở cho người quản lý tuân thủ đứng trên cao, người cảm thấy rằng chúng ta có các chính sách rõ ràng và thuyết phục để tất cả mọi người đọc.  Trong khoảnh khắc tồn tại này, tôi đã suy nghĩ về thực tế rằng thư viện trực tuyến của tôi đầy những ngôn từ lạ lùng.

Nếu mọi người không thể liên hệ với các từ ngữ, làm sao họ có thể được hướng dẫn bởi chúng?

Điều này khiến tôi nghĩ về những cách tốt hơn để tổ chức chính sách trong Guru. Chúng tôi cần một chương trình tuân thủ không chỉ đáp ứng hình thức cần thiết bởi các kiểm toán viên, khách hàng và đối tác mà còn thực sự phục vụ những người mà nó áp dụng.  Nó đã thôi thúc tôi bắt đầu một chiến dịch chậm rãi về việc bổ sung độ liên quan cho chính sách, một công việc dựa trên ba cải tiến: gán thẻ, liên kết và đơn giản hóa chính sách với ngôn ngữ đơn giản.             

Nghệ thuật gán thẻ đã mất

Quá trình tạo một thẻ Guru thì khá đơn giản, nhưng có một chút suy nghĩ bên trái não đi kèm với việc tổ chức thẻ đó và thiết lập nó để khám phá - bộ sưu tập nào, bảng nào, v.v.  Là người tạo chính sách, tôi có một chút lợi thế vì thẻ của tôi có cấu trúc phân cấp và được tổ chức theo cách tự hiển nhiên.  Nhưng điều đó cũng là một công thức cho sự cô lập, một ống khói nếu bạn thích, tồn tại vì lý do của riêng nó chứ không phải để phát tán giữa các độc giả.

Tôi đặt mình vào tâm trí của bất kỳ ai có thể tò mò về trách nhiệm bảo mật của họ, giả sử cuộc tìm kiếm trên Guru của họ có thể sẽ bao gồm “chính sách bảo mật.”  Nhìn lướt qua một trong những chính sách của tôi một cách ngẫu nhiên, tôi nhanh chóng phát hiện ra rằng tôi thậm chí đã không thêm cụm từ đơn giản này như một thẻ; do đó, một tìm kiếm có thể trả về bất kỳ thứ gì từ “chính sách nghỉ phép” đến “chính sách bảo mật nội dung” của nhóm kỹ thuật.  Tôi đã thêm các từ như một thẻ, và, như phép màu, các chính sách của tôi đã nổi lên trên đầu kết quả tìm kiếm.  Cảm ơn, thẻ! 

Liên kết

Guru đầy đủ những gì mà mọi người cần để làm việc.  Đôi khi tôi thấy mình duyệt qua các bộ sưu tập khác chỉ để vấp phải những thẻ trông và cảm giác giống như chính sách bảo mật, và tôi lo lắng rằng chúng không được tổ chức trong bộ sưu tập bảo mật của tôi. 

Tôi đã nhận ra rằng trong thế giới tuân thủ, quy tắc là điều tuyệt vời dù chúng sống ở đâu.  Trách nhiệm là của tôi để biến chúng thành người có liên quan đến chính sách và liên kết chúng với các từ khóa trong “các” thẻ của tôi.  

Ví dụ, nếu có hướng dẫn từ Quản lý CNTT về cách cập nhật hệ điều hành trên máy tính xách tay do Guru cấp phát, tôi nên liên kết lại với “chính sách trạm làm việc” của mình qua một liên kết đơn giản.  Bước này liên kết đóng góp của mọi người và làm cho chính sách trở nên bao gồm hơn, sắp xếp các hành tinh, như nó vậy, để tiết lộ một hệ mặt trời an ninh chung.  

Ngôn ngữ rõ ràng

Bạn không nghe điều này từ tôi, nhưng những người làm chính sách có xu hướng làm phức tạp hóa ngôn ngữ khi họ có thể. Lấy đoạn ngắn này từ một yêu cầu tuân thủ ngành mà sẽ vẫn được giữ tên:  “Chương trình bảo mật thông tin, liên quan đến việc bảo vệ thông tin cá nhân, nên bao gồm quản lý giao tiếp và quản lý hoạt động.”

Ôi xề.  Điều đó có thể có nghĩa là gì đó đối với tác giả và một vài những chuyên gia bảo mật được giao trách nhiệm thực hiện nó, nhưng người bình thường có thể sẽ phải vò đầu bứt tai.  Quản lý giao tiếp?  Quản lý hoạt động?  Có thể rằng có thể, chỉ có có thể, rằng nhiệm vụ đó có thể được tinh giản xuống thành một điều gì đó đơn giản hơn, như là, “Chúng tôi sẽ bảo mật dữ liệu cá nhân bằng cách thực hiện các quy trình mà tất cả chúng ta phải tuân theo?”  

Có đấy.  Chúng ta vừa hạ thấp ngữ điệu và không mất đi điều gì trong quá trình này.  Tin hay không, ít hơn thực sự có thể có nghĩa là nhiều hơn trong một chương trình tuân thủ mà mọi người chỉ muốn biết điều gì họ nên làm.  Những người làm tuân thủ như tôi nên tránh cám dỗ truyền đạt quy định và đóng gói nó trong các thẻ.  Nếu chúng ta không hiểu nó, làm sao chúng ta có thể mong đợi người khác thực hiện nó?  

Công việc không bao giờ dừng lại  

Gán thẻ, liên kết và đơn giản hóa chính sách an ninh không phải là những việc làm một lần và quên đi.  Đây là một hành trình, một khoản đầu tư liên tục về thời gian và suy nghĩ cho nhà quản lý tuân thủ.  Với một chút tư duy phản biện, các tác giả chính sách có thể tận dụng Guru để chứa đựng các chính sách có thể thực thi mà không chỉ thỏa mãn các cơ quan quản lý và khách hàng mà còn nói lên những người quan trọng nhất: những người phải thực hiện chúng.