Field notes

Come scrivere policy che le persone seguono davvero

Because “In accordance with applicable legal requirements…” is not how humans talk. Therefore, not your policies should not include this.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min di lettura
How to Write Policies People Actually Follow

(Because “In accordance with applicable legal requirements…” is not how humans talk.)

L'ha vista cento volte.La Policy sulla Sicurezza delle Informazioniche vive su SharePoint e che nessuno ha aperto dal 2019.La Acceptable Use Policy che inizia con “It is strictly forbidden…” e finisce con un sospiro.Il PDF di 12 pagine che supera l'audit ma non dice nulla alle persone che dovrebbe guidare.

Diciamoci la verità: la maggior parte delle policy fallisce non perché le persone non si preoccupino, ma perché sono scritte per gli auditor, non per gli esseri umani.

Se il suo obiettivo è che le persone seguano davvero una policy, non che si limitino a prenderne atto una volta all'anno, ecco come rimediare.

1. Ricordare perché esistono le policy

Una policy non è un artefatto di compliance. È una bussola decisionale.

Esiste per garantire che le persone agiscano in modo coerente quando nessuno le osserva.

Quando si avvia un progetto di policy con la frase:

“We need this for ISO,”

si è già perso.

La mentalità corretta è:

“We need this so people stop guessing what’s expected.”

Questo piccolo cambiamento (da orientato all'auditor a orientato al comportamento) cambia tutto nel modo in cui si scrivono, strutturano e mantengono le policy.

2. Smettere di scrivere per l'auditor

Se la prima frase include “in accordance with applicable legal, regulatory, and contractual obligations,” complimenti: ha appena fatto smettere di leggere chiunque.

Non è chiarezza, è mimetismo.

Scriva come spiegherebbe le cose a un nuovo collega il primo giorno di lavoro.

  • Usi frasi brevi.
  • Usi verbi attivi.
  • Say “you” or “we,” not “the user” or “the organization.”

Esempio:

❌ Tutti i dipendenti sono tenuti a garantire la salvaguardia delle informazioni sensibili in conformità con gli obblighi interni ed esterni.
✅ Proteggi i dati sensibili. Non condividerli al di fuori dell'azienda senza autorizzazione.

Vede? Ancora conforme. Ma ora suona come una persona che parla a un'altra persona.

3. Conoscere la differenza: Policy ≠ Procedura ≠ Processo

Questa confusione rovina metà di tutti i progetti di documentazione.

Ecco la distinzione:

LivelloScopoEsempioPolicyDefines the rule (the “what”)“All information must be classified before storage.”ProceduraSpiega come applicarla“Use the company’s 4-level classification model.”ProcessoDescrive il flusso operativo“System automatically tags files by classification level.”

Smettere di inserire le procedure nelle policy.

Le policy indicano cosa fare, non come fare clic sul pulsante.

4. Assegnare un owner, altrimenti la policy muore

Ogni policy ha bisogno di un nome associato, qualcuno responsabile di tenerla in vita.

Altrimenti, si decomporrà lentamente in una cartella condivisa finché il prossimo audit ISO non la dissotterrerà.

Governance minima indispensabile:

  • Policy Owner – mantiene il contenuto aggiornato.
  • Approvatore – valida e firma.
  • Frequenza di revisione – di solito annuale, o ogni volta che qualcosa cambia.

Se una policy non indica un owner, è uno zombie. Esiste, ma non è viva.

5. Tenerla breve (davvero breve)

Se la sua Policy sulla Sicurezza delle Informazioni è lunga 12 pagine, non è una policy, è un saggio.

Punti a una pagina per argomento.

E per amor di chiarezza: niente forma passiva, niente riempitivi, niente linguaggio legale.

Esempio di riscrittura rapida:

❌ “The organization reserves the right to monitor employee internet usage as deemed appropriate.”
✅ “We monitor network activity to keep systems safe. Don’t use corporate internet for personal stuff.”

Una riga. Chiara, trasparente, difendibile.

6. Darle una casa (e visibilità)

Le policy muoiono nei PDF.

Portarle in vita:

  • Pubblicarle sull'intranet.
  • Collegarle all'onboarding.
  • Trasformare le regole chiave in infografiche o post su Teams.
  • Fare un breve quiz una volta all'anno.

Non si tratta di campagne di sensibilizzazione, si tratta di ripetizione e visibilità.

Le persone non possono seguire ciò che non vedono mai.

7. Usare il framework per policy a 6 elementi

Ecco la struttura che utilizziamo nella formazione e nei progetti reali.

Ogni buona policy dovrebbe includere:

  1. Scopo – Perché esiste.
  2. Ambito – A chi e a cosa si applica.
  3. Principi / Regole – Cosa deve essere fatto.
  4. Responsabilità – Chi fa cosa.
  5. Eccezioni / Applicazione – Come gestire le deviazioni.
  6. Riferimenti – Procedure, standard o linee guida collegate.

Tutto qui.

Niente preamboli, niente gergo. Solo un documento pulito, verificabile e leggibile.

👉 Se il suo template di policy non include questi sei elementi, ricomincia da capo.

8. Renderla umana

Se vuole che le persone seguano le policy, devono riconoscersi in esse.

Usi il loro linguaggio.

Mostri empatia.

And remember: “tone of voice” is also governance.

Si può essere seri senza essere robotici.

Si può essere conformi senza essere noiosi.

Perché in definitiva, la compliance non riguarda i documenti, riguarda le persone che fanno la cosa giusta quando nessuno le guarda.

9. Cheatsheet per la scrittura di policy

✅ Da fare❌ Da evitareScrivere per gli esseri umaniScrivere per gli auditorTenerla sotto 1 paginaCopiare e incollare testo ISOUsare verbi, non sostantiviHide behind “appropriate measures”Assegnare un ownerLeave it to “the organization”Revisionare ogni annoLasciarla marcire fino al prossimo audit

10. La cultura batte la compliance

Si può avere la migliore policy del mondo: se i leader la ignorano, la ignorerà chiunque altro.

Le policy non impongono la cultura; la riflettono.

Quindi prima di pubblicare la prossima policy, si faccia una domanda:

“Would I personally follow this?”

If the answer is “not really,” rewrite it.

Se la sua policy ha bisogno di un agente di polizia per funzionare, non è una policy, è una minaccia.

👇 In sintesi

Scrivere policy che le persone seguano davvero non riguarda la creatività, riguarda la chiarezza, la responsabilità e il rispetto per il lettore.

La buona notizia? Si può imparare la struttura, il tono e il formato che funzionano.

È esattamente ciò che insegniamo in:

E sì, includiamo un Policy Template Pack che utilizziamo in progetti di consulenza reali.

👉 Contatti il team e unisca al prossimo gruppo live

Vuoi la prossima nota dal campo nella tua casella di posta?

La newsletter The GRC Brief. Cinque link e un breve commento, ogni lunedì alle 8:00 CET. Tre minuti di lettura.