吸い込まないサイバーセキュリティポリシーを書くための17のクールなヒント

公開: 2022-06-08

サイバーセキュリティポリシーは、ある意味では、法定責任の形式であり、ポリシー作成者に責任があります。 しかし、すべての合法的な執筆のように、明らかに正しいことも間違っていることもありません。 したがって、サイバーセキュリティポリシーが必要であると言うのは簡単です。 そこにたどり着くのは難しい。 ここでは、無駄のない高品質のサイバーセキュリティポリシーを作成するための17のステップを紹介します。

特に機密情報を扱う組織にとって、サイバーセキュリティの重要性は誰もが知っています。 結局のところ、たった1回のデータ侵害による損失は、会社に壊滅的な影響を与える可能性があります。 しかし、侵害の潜在的な結果を念頭に置いたとしても、効果的なサイバーセキュリティポリシーを作成することは困難な場合があります。

広告

レポート違反の処理方法や、従業員がモバイルデバイスを紛失した場合の手順など、ポリシーを作成する際に考慮すべき多くの要素があります。 すべての拠点を確実にカバーするための最良の方法は、次の17のヒントから始めることです。

目次に表示
  • 1.それをごまかさないでください!
  • 2.それを過度に複雑にしないでください!
  • 3.楽しくしましょう!
  • 4.それを報酬にリンクします!
  • 5.関係者全員から賛同を得られるようにします
  • 6.「なぜ」から始める
  • 7.あなたの聴衆を知る
  • 8.「ファイアウォール」の代わりに「ネットワーク境界」を使用します
  • 9.「ハッカー」という言葉は使用しないでください
  • 10.「情報」の代わりに「データ」を使用する
  • 11.「脆弱性と弱点」という言葉を使用しないでください
  • 12.「アプリケーション」や「アプリ」ではなく「ソフトウェア」を使用する
  • 13.「リレーショナルデータベース管理システム」や(つまり、Oracle)ではなく、「リレーショナルデータベース」を使用します。
  • 14.専門用語で気楽に
  • 15.あなたの目標を理解する
  • 16.短くする
  • 17.リスクを理解する
  • 結論

1.それをごまかさないでください!

ポイント1

このステップをスキップしたくなるかもしれません。 ただし、サイバーセキュリティポリシーを実装する場合は、明確かつ徹底する必要があります。 ポリシーの一部が別のシステム向けであるかのように読み取られた場合、またはあなた以外の誰かによって作成された場合、それは機能しません。 各セクションが短く、従業員からの質問に明確に対応していることを確認してください。

おすすめ:ヒューマンエラーがサイバーセキュリティ違反を引き起こす7つの方法。

2.それを過度に複雑にしないでください!

ポイント2

一方、サイバーセキュリティポリシーで考えられるすべての状況に対処しようとすると、誰もそれを完全に読まないことがほぼ保証されます。 そして、誰もそれが存在することを知らない場合、ポリシーはどのようなメリットがありますか? 人々が困難を感じないように、物事をシンプルにしてください。

3.楽しくしましょう!

ポイント3

気づかない人もいるかもしれません。 しかし、サイバーセキュリティポリシーを面白くすると、実際にそれを読んで、そこから学ぼうとする人が増えるでしょう。 それほど時間はかかりません。 あちこちに冗談の言葉を追加するか、付録に猫のばかげた写真を含めてください。 この小さなタッチは、すべての人がルールに従うことを確実にする上ですべての違いを生むでしょう!

サイバーセキュリティ-インターネット-コンピュータ-ネットワーク-保護-プライバシー-安全

広告

4.それを報酬にリンクします!

ポイント4

人々にサイバーセキュリティポリシーを遵守してもらいたい場合は、それを彼らが本当に望んでいるものにリンクします(昇給など)。 昇給をランダムに配るだけでなく、従業員があなたのルールとガイドラインをどれだけうまく採用しているかに依存させます。 あなたは彼らにそれ自体で昇給を約束する以上の動機を与えるでしょう!

5.関係者全員から賛同を得られるようにします

ポイント5

多くの人がポリシーに従う責任があることを知っていて、それが彼らを緊張させるのは良くありません–彼らがその作成に関与していると感じず、彼らがそれに参加していない場合、その後、彼らはそれに従わないでしょう。 それらをプロセスに含めます。 これらのポリシーがすべての人にとって最適に機能するように、誰も取り残されていると感じないようにしてください。

6.「なぜ」から始める

ポイント6

あなたのビジネスがこの文書をまとめた理由を書き留めてください。 たとえば、ハッキングが心配な場合は、会社のミッションステートメントの一部に「当社のセキュリティを確保する」を含めてから、ネットワークをハッカーから保護することに重点を置いてください。

7.あなたの聴衆を知る

ポイント7

この文書で誰を安全に保とうとしていますか? 顧客や従業員を保護しようとしていますか? 両方についてはどうですか? 対象読者を定義すると、このポリシーを誰が読むべきかを知るのに役立ち、ドキュメントの特定のセクションで使用する言語を決定するのにも役立ちます。

ランサムウェア-マルウェア-サイバーセキュリティ-ウイルス-スパイウェア-犯罪-ハッキング-スパム

広告

8.「ファイアウォール」の代わりに「ネットワーク境界」を使用します

ポイント8

小さな変更のように思えるかもしれませんが、ファイアウォールという言葉を使用すると、すぐに視聴者を防御することができます。 技術的であればあるほど、ファイアウォールはネットワーク内部の人々だけが使用する用語として認識されます。 他のすべての人にとって、それは別の分野に属しているように聞こえる紛らわしい言葉です。

また、「ネットワーク」を正確に構成するものについて複雑な議論を避けたい場合は、「ネットワーク境界」よりも明確ではない言語を使用することをお勧めします。

9.「ハッカー」という言葉は使用しないでください

ポイント9

コンピュータやネットワークに関する幅広い知識を持ち、そのスキルを違法な目的で使用している人を指す場合を除きます。 この単語はコンピュータ犯罪者のみを指しているため、ドキュメントの残りの部分でこの単語を使用する必要はなく、読者を混乱させる可能性があります。

「攻撃者」という用語を使用します。 攻撃者が悪意を持っていることは明らかですが、ハッカーは単にソフトウェアとハ​​ードウェアを利用して楽しみと利益を得る方法を見つけることを楽しんでいます。

10.「情報」の代わりに「データ」を使用する

ポイント10

「情報」は技術的には「データ」のサブセットであるため、これは直感に反するように聞こえるかもしれませんが、分析するか他の情報と組み合わせるまで、情報には真の価値がないのに、データを本質的な価値のあるものと考えてもらいたいと考えています。

データは情報を表すより現代的な言葉であり、より正確でもあります。 情報はどのような種類のデータでもかまいませんが、データは常に何らかの形式で構造化されています。 たとえば、スプレッドシートファイルに保存されている数値、サーバーディレクトリ上の一連のファイル、または単なるテキスト(つまり、この記事の内容)である可能性があります。

広告

データという単語は、必ずしも完全または複雑であることを意味するのではなく、特定の形式を直接参照しているため、理解しやすくなっています。

あなたは好きかもしれません:サイバーセキュリティのためにあなたのビジネスが必要とする文書とプロトコル。

11.「脆弱性と弱点」という言葉を使用しないでください

ポイント11

否定的な意味を持つ単語を使用すると、文章を専門的でないものにする可能性があります。 脆弱性または弱点は、読者によって否定的な言葉として認識される可能性があるため、セキュリティポリシーで使用しないでください。 妥協や脅迫など、否定的な言葉と見なされる可能性のある他の言葉についても同じことが言えます。

パスワード-サイバーセキュリティ-ハッキング-ロック

強さや保護などの肯定的な意味を持つ言葉を使用することをお勧めします。 これは、最初から前向きな姿勢を確立するのに役立ち、読者の注意をあなたが焦点を合わせてほしいもの、つまりセキュリティポリシーを書くことの前向きな側面に向けるのに役立ちます。

12.「アプリケーション」や「アプリ」ではなく「ソフトウェア」を使用する

ポイント12

「ソフトウェア」という言葉は、他のどの用語よりも専門的で誤用される可能性が低く、混乱を招くことがよくあります。 たとえば、アプリケーションはプログラムを実行するためにコンピューターで使用されますが、アプリはゲームをプレイしたりカロリーを追跡したりするために使用する携帯電話アプリのようなものです(サイバーセキュリティの問題を検討するときに考えたいことではありません)。

13.「リレーショナルデータベース管理システム」や(つまり、Oracle)ではなく、「リレーショナルデータベース」を使用します。

ポイント13

特定のブランドにドキュメントを引き継がせないでください。 ここでの考え方は、ブランド固有ではなく説明的なものにすることです。 そして、私たちを信頼してください。多くの従業員がいる学校や複合施設のオフィス向けにこのポリシーを作成している場合は、異なるブランドを使用している場合でも、リレーショナルデータベースの意味を誰もが理解できるので、喜んで作成できます。日々の仕事は生きています。

広告

14.専門用語で気楽に

ポイント14

ほとんどのポリシーは、技術者以外のスタッフと管理者を対象としているため、可能な限り、技術用語を素人の用語で説明するようにしてください。 あなたが何を言おうとしているのかを理解するために、人々に知らない単語を調べさせないでください。 ポリシーは、数文ごとに外部の情報源に相談することなく、ポリシーを簡単に読むことができるように十分にアクセス可能である必要があります。

サイバーセキュリティ-保護-プライバシー-暗号化-安全性-パスワード-ファイアウォール-アクセス

15.あなたの目標を理解する

ポイント15

経済的損失や訴訟から身を守ろうとしている場合は、特定の制限を実装するのが理にかなっています。 ただし、従業員の過失または行動による訴訟から身を守ろうとしている場合(つまり、誰かが第三者に危害を加えたデータにアクセスした場合)、可能な限り多くの制限が必要になる可能性は低くなります。

16.短くする

ポイント16

ユーザーの注意力は短いです。 ポリシーが複数のページである場合は、長すぎます。 また、5ページを超える場合は、ほとんどの人がわざわざ読むには長すぎる可能性があります。 彼らが何か新しいことを学ぼうとしているとき、たとえあなたが本当に重要なことについて彼らを教育しようとしているとしても、誰も百科事典を読みたがりません! ポリシーをできるだけ簡潔にすることで、物事をシンプルで読みやすくします。

17.リスクを理解する

ポイント17

効果的なサイバーセキュリティポリシーを設計するには、組織はどのデータが最も重要であるかを理解する必要があります。 そのデータがサイバー攻撃によってどのように影響を受ける可能性があるかに関する最悪のシナリオに備えてください。 会社はそれぞれ異なります。 たとえば、中小企業は企業秘密や機密性の高い財務情報にアクセスできない場合があります。 ただし、所有している情報を保護することは依然として重要です。

広告
あなたも好きかもしれません:サイバーセキュリティで機械学習はどのように使用されていますか?

結論

business-cloud-cybersecurity-technology-laptop-office-programmer-work

これらのヒントを実践すると、正式なサイバーセキュリティポリシーを作成するプロセスの威圧感やストレスを大幅に軽減できます。 テーマの作成から、シンプルでわかりやすいテーマの維持まで。 彼らはうまくいけばすべての違いを生むでしょう。 したがって、サイバーセキュリティポリシーに取り組む準備ができたら、これらの17のヒントを考慮に入れてください。 彼らはあなたの最終製品を大幅に改善するはずです。

 この記事はジャスミン教皇によって書かれました。 ジャスミンは、説得力のあるコンテンツを作成する能力で有名な非常に有能な作家です。 彼女は現在の出来事について書き、関連するトピックについて詳細な研究を行っています。 多くの意欲的な作家は、彼女の献身と明るい見通しに勇気づけられてきました。 彼女はパーフェクトエッセイライティングのようなさまざまな学術ウェブサイトで活動を続け、そこで彼女は学生や教授と知識を共有しました。