17 coole Tipps zum Schreiben einer Cybersicherheitsrichtlinie, die nicht scheiße ist

Cybersicherheitsrichtlinien sind in gewisser Weise eine Art gesetzlicher Standard, bei dem der Haftungsort beim Verfasser der Richtlinie liegt. Aber wie bei allen juristischen Schriften ist offensichtlich nichts richtig oder falsch. Es ist also leicht zu sagen, dass Sie eine Cybersicherheitsrichtlinie benötigen. Es ist schwieriger, dorthin zu gelangen. Hier sind 17 Schritte zur Erstellung einer qualitativ hochwertigen Cybersicherheitsrichtlinie, die nicht scheiße ist.

Wir alle wissen, wie wichtig Cybersicherheit ist, insbesondere für Organisationen, die mit hochsensiblen Informationen umgehen. Schließlich können die Verluste aus nur einer Datenpanne eine lähmende Wirkung auf Ihr Unternehmen haben. Aber selbst unter Berücksichtigung der potenziellen Folgen eines Verstoßes kann das Schreiben einer effektiven Cybersicherheitsrichtlinie eine Herausforderung sein.

Bei der Erstellung Ihrer Richtlinie müssen viele Faktoren berücksichtigt werden, z. B. wie mit der Meldung von Verstößen umgegangen wird oder wie vorgegangen werden sollte, wenn ein Mitarbeiter sein Mobilgerät verliert. Der beste Weg, um sicherzustellen, dass Sie alle Grundlagen abdecken, ist, mit diesen 17 Tipps zu beginnen:

1. Fudge es nicht!

Sie könnten versucht sein, diesen Schritt zu überspringen. Aber wenn Sie eine Cybersicherheitsrichtlinie implementieren wollen, muss diese klar und gründlich sein. Wenn einige Teile der Richtlinie so aussehen, als wären sie für ein anderes System bestimmt oder von jemand anderem als Ihnen geschrieben worden, wird sie einfach nicht funktionieren. Stellen Sie sicher, dass jeder Abschnitt kurz ist und alle Fragen Ihrer Mitarbeiter klar anspricht.

Für Sie empfohlen: 7 Möglichkeiten, wie menschliches Versagen zu Cybersicherheitsverletzungen führen kann.

2. Machen Sie es nicht zu kompliziert!

Wenn Sie andererseits versuchen, jede mögliche Situation in Ihrer Cybersicherheitsrichtlinie anzusprechen, ist es fast garantiert, dass niemand sie jemals vollständig lesen wird. Und was nützt eine Police, wenn niemand weiß, dass es eine gibt? Halte die Dinge einfach, damit die Leute keine Schwierigkeiten haben.

3. Macht Spaß!

Einige Leute werden es vielleicht nicht erkennen. Aber wenn Sie eine Cybersicherheitsrichtlinie zum Spaß machen, werden sie tatsächlich von mehr Menschen gelesen und versucht, daraus zu lernen. Es braucht nicht viel; Fügen Sie einfach hier und da ein paar scherzhafte Worte hinzu oder fügen Sie ein paar alberne Bilder von Katzen in den Anhang ein. Diese kleine Geste macht den Unterschied, um sicherzustellen, dass jeder an Bord kommt und die Regeln befolgt!

4. Verknüpfen Sie es mit Prämien!

Wenn Sie möchten, dass die Leute eine Cybersicherheitsrichtlinie befolgen, verknüpfen Sie sie mit etwas, das sie wirklich wollen (z. B. eine Gehaltserhöhung). Verteilen Sie Gehaltserhöhungen nicht wahllos, sondern machen Sie davon abhängig, wie gut Ihre Mitarbeiter Ihre Regeln und Richtlinien angenommen haben. Sie werden sie noch mehr motivieren, als wenn Sie ihnen nur eine Gehaltserhöhung versprochen hätten!

5. Stellen Sie sicher, dass Sie von allen Beteiligten unterstützt werden

Es ist nicht gut, wenn ein Haufen Leute weiß, dass sie für die Einhaltung der Richtlinie verantwortlich gemacht werden, und es macht sie nervös – wenn sie nicht das Gefühl haben, an ihrer Entstehung beteiligt gewesen zu sein und nicht mit an Bord sind, dann folgen sie ihm nicht. Beziehen Sie sie in den Prozess ein; Stellen Sie sicher, dass sich niemand ausgeschlossen fühlt, damit diese Richtlinien für alle am besten funktionieren.

6. Beginnen Sie mit dem „Warum“

Schreiben Sie den Grund/die Gründe auf, warum Ihr Unternehmen dieses Dokument erstellt hat. Wenn Sie beispielsweise befürchten, gehackt zu werden, nehmen Sie „Gewährleistung der Sicherheit unseres Unternehmens“ in das Leitbild Ihres Unternehmens auf und konzentrieren Sie sich dann darauf, Ihr Netzwerk vor Hackern zu schützen.

7. Kennen Sie Ihr Publikum

Wen wollen Sie mit diesem Dokument beschützen? Versuchen Sie, Kunden oder Mitarbeiter zu schützen? Was ist mit beiden? Das Definieren Ihrer Zielgruppe hilft Ihnen zu wissen, wer diese Richtlinie lesen sollte, und hilft Ihnen auch bei der Entscheidung, welche Sprache in bestimmten Abschnitten des Dokuments verwendet werden soll.

8. Verwenden Sie „Netzwerkperimeter“ anstelle von „Firewall“

Es mag wie eine kleine Änderung erscheinen, aber die Verwendung des Wortes Firewall bringt Ihr Publikum sofort in die Defensive. Je technischer sie sind, desto mehr werden sie Firewall als einen Begriff erkennen, der nur von Personen innerhalb des Netzwerks verwendet wird. Für alle anderen ist es ein verwirrendes Wort, das sich anhört, als würde es in ein anderes Fachgebiet gehören.

Wenn Sie außerdem vermeiden möchten, in komplizierte Diskussionen darüber zu geraten, was genau Ihr „Netzwerk“ ausmacht, sollten Sie eine Sprache verwenden, die weniger eindeutig ist als „Netzwerkperimeter“.

9. Verwenden Sie nicht das Wort „Hacker“

Es sei denn, es handelt sich um jemanden mit umfassenden Kenntnissen von Computern oder Netzwerken, der seine Fähigkeiten für illegale Zwecke einsetzt. Dieses Wort bezieht sich nur auf Computerkriminelle, daher ist es im Rest Ihres Dokuments nicht erforderlich und es wird Ihre Leser verwirren.

Verwenden Sie den Begriff „Angreifer“. Es sollte offensichtlich sein, dass ein Angreifer böse Absichten hat, während ein Hacker es einfach genießt, Wege zu finden, um Software und Hardware zum Spaß und zum Profit auszunutzen!

10. Verwenden Sie „Daten“ statt „Informationen“

Dies mag kontraintuitiv klingen, da „Informationen“ technisch gesehen eine Teilmenge von „Daten“ sind, aber Sie möchten, dass die Leute Daten als etwas mit intrinsischem Wert betrachten, während Informationen keinen wirklichen Wert haben, bis sie analysiert oder mit anderen Informationen kombiniert werden.

Daten sind ein moderneres Wort für Informationen und auch präziser. Informationen können jede Art von Daten sein, aber Daten sind immer in einem bestimmten Format strukturiert. Beispielsweise könnten es Zahlen sein, die in einer Tabellenkalkulationsdatei gespeichert sind, eine Reihe von Dateien in einem Serververzeichnis oder sogar nur einfacher Text (dh der Inhalt dieses Artikels).

Das Wort Daten ist leichter zu verstehen, da es sich direkt auf das spezifische Format bezieht, ohne zu implizieren, dass es notwendigerweise vollständig oder komplex ist.

Das könnte Ihnen gefallen: Dokumente und Protokolle, die Ihr Unternehmen für die Cybersicherheit benötigt.

11. Verwenden Sie nicht das Wort „Verwundbarkeit und Schwäche“

Die Verwendung von Wörtern mit negativer Konnotation kann dazu führen, dass Ihr Schreiben unprofessionell klingt. Verwundbarkeit oder Schwäche können von Ihren Lesern als negative Wörter wahrgenommen werden und sollten daher nicht in einer Sicherheitsrichtlinie verwendet werden. Dasselbe gilt für jedes andere Wort, das als negatives Wort angesehen werden könnte, wie Kompromiss oder Bedrohung.

Es ist besser, Wörter zu verwenden, die positiv konnotiert sind, wie Stärke oder Schutz. Dies trägt dazu bei, von Anfang an einen positiven Ton zu erzeugen und die Aufmerksamkeit Ihrer Leser auf das zu lenken, worauf sie sich konzentrieren sollen: die positiven Aspekte beim Schreiben einer Sicherheitsrichtlinie.

12. Verwenden Sie „Software“, nicht „Anwendung“ oder „App“

Das Wort „Software“ ist professioneller und weniger anfällig für Missbrauch als jeder dieser anderen Begriffe, die oft verwirrend sind. Beispielsweise wird eine Anwendung auf Ihrem Computer verwendet, um Programme auszuführen, während eine App so etwas wie eine Handy-App ist, die Sie zum Spielen von Spielen oder zum Verfolgen von Kalorien verwenden (daran sollten Sie NICHT denken, wenn Sie sich mit Cybersicherheitsproblemen befassen).

13. Verwenden Sie „relationale Datenbank“, nicht „relationales Datenbankverwaltungssystem“ oder (d. h. Oracle)

Lassen Sie Ihr Dokument nicht von bestimmten Marken übernehmen! Die Idee hier ist, eher beschreibend als markenspezifisch zu sein. Und vertrauen Sie uns, wenn Sie diese Richtlinie für ein Büro in einer Schule oder einem Geschäftskomplex mit vielen Mitarbeitern schreiben, werden Sie froh sein, dass Sie das getan haben, denn jeder wird verstehen, was Sie mit einer relationalen Datenbank meinen, selbst wenn sie verschiedene Marken in ihrer verwenden Arbeitsalltag.

14. Gehen Sie sparsam mit dem Jargon um

Die meisten Richtlinien sind für nichttechnisches Personal und Management gedacht, versuchen Sie also, Fachbegriffe nach Möglichkeit in Laiensprache zu erklären. Zwingen Sie die Leute nicht, Wörter nachzuschlagen, die sie nicht kennen, um zu verstehen, was Sie sagen wollen. Die Richtlinie sollte so zugänglich sein, dass sie einfach durchgelesen werden kann, ohne alle paar Sätze eine externe Quelle konsultieren zu müssen.

15. Verstehen Sie Ihre Ziele

Wenn Sie versuchen, sich vor finanziellen Verlusten oder Klagen zu schützen, ist es sinnvoll, bestimmte Einschränkungen zu implementieren. Wenn Sie jedoch versuchen, sich vor Klagen aufgrund von Fahrlässigkeit oder Handlungen von Mitarbeitern zu schützen (dh jemand hat auf Daten zugegriffen, die Dritten Schaden zugefügt haben), ist es weniger wahrscheinlich, dass Sie so viele Einschränkungen wie möglich benötigen.

16. Machen Sie es kurz

Benutzer haben kurze Aufmerksamkeitsspannen. Wenn Ihre Richtlinie mehr als eine Seite umfasst, ist sie zu lang; und wenn es mehr als fünf Seiten sind, ist es wahrscheinlich zu lang für die meisten Leute, um sich überhaupt die Mühe zu machen, es zu lesen. Niemand möchte eine Enzyklopädie lesen, wenn er versucht, etwas Neues zu lernen – selbst wenn Sie versuchen, ihm etwas wirklich Wichtiges beizubringen! Halten Sie die Dinge einfach und leicht lesbar, indem Sie Ihre Police so kurz wie möglich halten.

17. Verstehen Sie Ihre Risiken

Um eine effektive Cybersicherheitsrichtlinie zu entwerfen, muss ein Unternehmen verstehen, welche Daten für es am wichtigsten sind. Seien Sie auf das Worst-Case-Szenario vorbereitet, wie diese Daten durch einen Cyberangriff beeinträchtigt werden könnten. Jedes Unternehmen ist anders. Beispielsweise hat ein kleines Unternehmen möglicherweise keinen Zugang zu Geschäftsgeheimnissen oder sensiblen Finanzinformationen; obwohl es für sie immer noch wichtig ist, die Informationen zu schützen, die sie besitzen.

Das könnte Ihnen auch gefallen: Wie wird maschinelles Lernen in der Cybersicherheit eingesetzt?

Fazit

Wenn sie in die Praxis umgesetzt werden, sollten diese Tipps dazu beitragen, den Prozess des Schreibens einer formellen Cybersicherheitsrichtlinie viel weniger einschüchternd und stressig zu gestalten. Von der Erstellung eines Themas bis hin zur einfachen und leicht verständlichen Gestaltung. Sie werden hoffentlich den Unterschied machen. Wenn Sie also bereit sind, Ihre Cybersicherheitsrichtlinie anzugehen, stellen Sie sicher, dass Sie diese 17 Tipps berücksichtigen; Sie sollten Ihr Endprodukt erheblich verbessern.

 Dieser Artikel wurde von Jasmine Pope geschrieben. Jasmine ist eine sehr kompetente Autorin, die für ihre Fähigkeit bekannt ist, überzeugende Inhalte zu erstellen. Sie schreibt über aktuelle Ereignisse und führt vertiefte Studien zu relevanten Themen durch. Viele aufstrebende Schriftsteller wurden durch ihre Hingabe und ihre optimistische Einstellung ermutigt. Sie blieb auf verschiedenen akademischen Websites wie Perfect Essay Writing aktiv, wo sie ihr Wissen mit Studenten und Professoren teilte.