17 Tips Keren Menulis Kebijakan Keamanan Siber yang Tidak Menyebalkan

Diterbitkan: 2022-06-08

Kebijakan keamanan siber, dalam beberapa hal, merupakan bentuk boilerplate hukum, dengan menempatkan tanggung jawab pada penulis kebijakan. Tapi seperti semua tulisan hukum, tidak ada yang jelas benar atau salah. Jadi, mudah untuk mengatakan bahwa Anda memerlukan kebijakan keamanan siber. Lebih sulit untuk sampai ke sana. Berikut adalah 17 langkah menuju pembuatan kebijakan keamanan siber berkualitas tinggi yang tidak payah.

Kita semua tahu pentingnya keamanan siber, terutama untuk organisasi yang menangani informasi yang sangat sensitif. Lagi pula, kerugian hanya dari satu pelanggaran data dapat memiliki efek melumpuhkan pada perusahaan Anda. Tetapi bahkan dengan potensi konsekuensi pelanggaran, menulis kebijakan keamanan siber yang efektif bisa menjadi tantangan.

Iklan

Ada banyak faktor yang perlu dipertimbangkan saat membuat kebijakan Anda, seperti cara menangani pelanggaran pelaporan atau prosedur apa yang harus dilakukan jika seorang karyawan kehilangan perangkat seluler mereka. Cara terbaik untuk memastikan Anda mencakup semua pangkalan adalah memulai dengan 17 tips ini:

Daftar Isi menunjukkan
  • 1. Jangan menipu!
  • 2. Jangan terlalu rumit!
  • 3. Buat itu menyenangkan!
  • 4. Tautkan ke hadiah!
  • 5. Pastikan Anda mendapatkan dukungan dari semua orang yang terlibat
  • 6. Mulailah dengan 'Mengapa'
  • 7. Kenali audiens Anda
  • 8. Gunakan "perimeter jaringan" alih-alih "firewall"
  • 9. Jangan gunakan kata “hacker”
  • 10. Gunakan "data" alih-alih "informasi"
  • 11. Jangan menggunakan kata “kerentanan dan kelemahan”
  • 12. Gunakan "perangkat lunak", bukan "aplikasi" atau "aplikasi"
  • 13. Gunakan “database relasional”, bukan “sistem manajemen basis data relasional” atau (yaitu, Oracle)
  • 14. Gunakan jargon dengan mudah
  • 15. Pahami tujuan Anda
  • 16. Buatlah singkat
  • 17. Pahami risiko Anda
  • Kesimpulan

1. Jangan menipu!

Poin 1

Anda mungkin tergoda untuk melewatkan langkah ini. Tetapi jika Anda akan menerapkan kebijakan keamanan siber, kebijakan itu harus jelas dan menyeluruh. Jika beberapa bagian dari kebijakan dibaca seolah-olah dimaksudkan untuk sistem lain atau ditulis oleh orang lain selain Anda, itu tidak akan berhasil. Pastikan bahwa setiap bagian pendek dan dengan jelas menjawab pertanyaan apa pun yang mungkin dimiliki karyawan Anda.

Direkomendasikan untuk Anda: 7 Cara Bagaimana Kesalahan Manusia Dapat Menyebabkan Pelanggaran Keamanan Siber.

2. Jangan terlalu rumit!

Poin 2

Di sisi lain, jika Anda mencoba untuk mengatasi setiap kemungkinan situasi dalam kebijakan keamanan siber Anda, hampir dijamin tidak ada yang akan membacanya sepenuhnya. Dan apa gunanya sebuah kebijakan jika tidak ada yang mengetahuinya? Buat hal-hal sederhana sehingga orang tidak merasa kesulitan.

3. Buat itu menyenangkan!

Poin 3

Beberapa orang mungkin tidak menyadarinya. Tetapi jika Anda membuat kebijakan keamanan siber menyenangkan, lebih banyak orang akan benar-benar membacanya dan mencoba belajar darinya. Tidak perlu banyak; tambahkan saja beberapa bahasa lelucon di sana-sini atau sertakan beberapa gambar kucing konyol di lampiran. Sentuhan kecil ini akan membuat semua perbedaan dalam memastikan semua orang mengikuti aturan!

cybersecurity-internet-komputer-jaringan-perlindungan-privasi-keamanan

Iklan

4. Tautkan ke hadiah!

Poin 4

Jika Anda ingin orang mengikuti kebijakan keamanan siber, tautkan ke sesuatu yang benar-benar mereka inginkan (seperti mendapatkan kenaikan gaji). Jangan hanya membagikan kenaikan gaji secara acak, buat mereka bergantung pada seberapa baik karyawan telah mengadopsi aturan dan pedoman Anda. Anda akan memotivasi mereka lebih dari sekadar menjanjikan mereka kenaikan gaji!

5. Pastikan Anda mendapatkan dukungan dari semua orang yang terlibat

Poin 5

Tidak baik jika sekelompok orang tahu bahwa mereka akan bertanggung jawab untuk mengikuti kebijakan dan itu membuat mereka gugup – jika mereka tidak merasa terlibat dalam pembuatannya dan mereka tidak setuju dengannya, maka mereka tidak akan mengikutinya. Sertakan mereka dalam proses; pastikan tidak ada yang merasa ditinggalkan sehingga kebijakan ini akan bekerja paling baik untuk semua orang.

6. Mulailah dengan 'Mengapa'

Poin 6

Tuliskan alasan mengapa bisnis Anda menyusun dokumen ini. Misalnya, jika Anda khawatir akan diretas, sertakan "pastikan keamanan perusahaan kami" sebagai bagian dari pernyataan misi perusahaan Anda dan kemudian fokuslah untuk menjaga keamanan jaringan Anda dari peretas.

7. Kenali audiens Anda

Poin 7

Siapa yang Anda coba amankan dengan dokumen ini? Apakah Anda mencoba melindungi pelanggan atau karyawan? Bagaimana dengan keduanya? Menentukan audiens Anda membantu Anda mengetahui siapa yang harus membaca kebijakan ini dan juga akan membantu Anda memutuskan bahasa apa yang akan digunakan di bagian dokumen tertentu.

ransomware-malware-cybersecurity-virus-spyware-crime-hacking-spam

Iklan

8. Gunakan "perimeter jaringan" alih-alih "firewall"

Poin 8

Ini mungkin tampak seperti perubahan kecil tetapi menggunakan kata firewall segera menempatkan audiens Anda pada posisi defensif. Semakin teknis mereka, semakin mereka akan mengenali firewall sebagai istilah yang hanya digunakan oleh mereka yang berada di dalam jaringan. Untuk semua orang, itu adalah kata yang membingungkan yang terdengar seperti milik bidang yang berbeda.

Juga, jika Anda ingin menghindari diskusi yang rumit tentang apa yang sebenarnya merupakan "jaringan" Anda, Anda akan ingin menggunakan bahasa yang kurang definitif daripada "perimeter jaringan".

9. Jangan gunakan kata “hacker”

Poin 9

Kecuali jika merujuk pada seseorang dengan pengetahuan luas tentang komputer atau jaringan yang menggunakan keahliannya untuk tujuan ilegal. Kata ini hanya mengacu pada penjahat komputer, jadi tidak perlu untuk itu di sisa dokumen Anda dan itu akan membuat kebingungan bagi pembaca Anda.

Gunakan istilah "penyerang". Seharusnya jelas bahwa penyerang memiliki niat buruk, sementara peretas hanya senang menemukan cara untuk mengeksploitasi perangkat lunak dan perangkat keras untuk kesenangan dan keuntungan!

10. Gunakan "data" alih-alih "informasi"

Poin 10

Ini mungkin terdengar berlawanan dengan intuisi karena "informasi" secara teknis adalah bagian dari "data", tetapi Anda ingin orang menganggap data sebagai sesuatu dengan nilai intrinsik sementara informasi tidak memiliki nilai nyata sampai dianalisis atau digabungkan dengan bagian informasi lainnya.

Data adalah kata yang lebih modern untuk informasi dan juga lebih tepat. Informasi dapat berupa data apa saja, tetapi data selalu terstruktur dalam beberapa format. Misalnya, itu bisa berupa angka yang disimpan dalam file spreadsheet, serangkaian file di direktori server, atau bahkan hanya teks biasa (yaitu, isi artikel ini).

Iklan

Kata data lebih mudah dipahami karena secara langsung mengacu pada format tertentu tanpa menyiratkan bahwa itu harus lengkap atau kompleks.

Anda mungkin menyukai: Dokumen dan Protokol Kebutuhan Bisnis Anda untuk Keamanan Siber.

11. Jangan menggunakan kata “kerentanan dan kelemahan”

Poin 11

Menggunakan kata-kata yang berkonotasi negatif dapat membuat tulisan Anda terdengar tidak profesional. Kerentanan atau kelemahan dapat dianggap sebagai kata-kata negatif oleh pembaca Anda dan karenanya tidak boleh digunakan dalam kebijakan keamanan. Hal yang sama berlaku untuk kata lain yang mungkin dianggap sebagai kata negatif seperti kompromi atau ancaman.

kata sandi-keamanan-peretasan-kunci

Sebaiknya gunakan kata-kata yang berkonotasi positif seperti kekuatan atau perlindungan. Ini membantu membangun nada positif dari awal dan membantu mengarahkan perhatian pembaca Anda pada apa yang Anda ingin mereka fokuskan: aspek positif dari penulisan kebijakan keamanan.

12. Gunakan "perangkat lunak", bukan "aplikasi" atau "aplikasi"

Poin 12

Kata "perangkat lunak" lebih profesional dan lebih kecil kemungkinannya untuk disalahgunakan daripada istilah lain mana pun, yang sering membingungkan. Misalnya, aplikasi digunakan di komputer Anda untuk menjalankan program, sementara aplikasi adalah sesuatu seperti aplikasi ponsel yang Anda gunakan untuk bermain game atau melacak kalori (yang BUKAN yang ingin Anda pikirkan saat mempertimbangkan masalah keamanan siber).

13. Gunakan “database relasional”, bukan “sistem manajemen basis data relasional” atau (yaitu, Oracle)

Poin 13

Jangan biarkan merek tertentu mengambil alih dokumen Anda! Idenya di sini adalah untuk menjadi deskriptif daripada merek tertentu. Dan percayalah kepada kami, jika Anda menulis kebijakan ini untuk kantor di sekolah atau kompleks bisnis dengan banyak karyawan, Anda akan senang melakukannya karena semua orang akan mengerti apa yang Anda maksud dengan basis data relasional meskipun mereka menggunakan merek yang berbeda dalam kehidupan kerja sehari-hari.

Iklan

14. Gunakan jargon dengan mudah

Poin 14

Sebagian besar kebijakan dimaksudkan untuk staf dan manajemen non-teknis, jadi cobalah untuk menjelaskan istilah teknis dalam istilah awam bila memungkinkan. Jangan membuat orang harus mencari kata-kata yang tidak mereka ketahui untuk memahami apa yang Anda coba katakan. Kebijakan tersebut harus cukup dapat diakses sehingga mereka dapat dengan mudah membacanya tanpa harus berkonsultasi dengan sumber luar setiap beberapa kalimat.

cybersecurity-protection-privacy-encryption-safety-password-firewall-akses

15. Pahami tujuan Anda

Poin 15

Jika Anda mencoba melindungi diri dari kerugian finansial atau dituntut, maka masuk akal untuk menerapkan batasan tertentu. Namun, jika Anda mencoba untuk melindungi diri Anda dari tuntutan hukum karena kelalaian atau tindakan karyawan (yaitu, seseorang mengakses data yang menyebabkan kerugian bagi pihak ketiga), maka kemungkinan Anda akan memerlukan pembatasan sebanyak mungkin menjadi kecil.

16. Buatlah singkat

Poin 16

Pengguna memiliki rentang perhatian yang pendek. Jika kebijakan Anda lebih dari satu halaman, itu terlalu panjang; dan jika lebih dari lima halaman, mungkin terlalu panjang bagi kebanyakan orang untuk repot membaca sama sekali. Tidak seorang pun ingin membaca ensiklopedia ketika mereka mencoba mempelajari sesuatu yang baru – bahkan jika Anda mencoba mendidik mereka tentang sesuatu yang sangat penting! Buat semuanya tetap sederhana dan mudah dibaca dengan menjaga kebijakan Anda sesingkat mungkin.

17. Pahami risiko Anda

Poin 17

Untuk merancang kebijakan keamanan siber yang efektif, organisasi perlu memahami data mana yang paling penting bagi mereka. Bersiaplah untuk skenario terburuk tentang bagaimana data tersebut dapat terpengaruh oleh serangan siber. Setiap perusahaan berbeda. Misalnya, usaha kecil mungkin tidak memiliki akses ke rahasia dagang atau informasi keuangan yang sensitif; meskipun tetap penting bagi mereka untuk melindungi informasi yang mereka miliki.

Iklan
Anda mungkin juga menyukai: Bagaimana Pembelajaran Mesin Digunakan dalam Keamanan Siber?

Kesimpulan

bisnis-cloud-cybersecurity-teknologi-laptop-kantor-programmer-kerja

Ketika dipraktikkan, kiat-kiat ini akan membantu membuat proses penulisan kebijakan keamanan siber formal jauh lebih tidak menakutkan dan membuat stres. Dari membuat tema hingga membuatnya sederhana dan mudah dimengerti. Mereka diharapkan akan membuat semua perbedaan. Jadi, ketika Anda siap untuk menangani kebijakan keamanan siber Anda, pastikan Anda mempertimbangkan 17 tips ini; mereka harus sangat meningkatkan produk akhir Anda.

 Artikel ini ditulis oleh Jasmine Pope. Jasmine adalah seorang penulis yang sangat kompeten yang terkenal karena kemampuannya untuk membuat konten yang menarik. Dia menulis tentang peristiwa terkini dan melakukan studi mendalam tentang topik yang relevan. Banyak calon penulis telah didorong oleh pengabdian dan pandangan optimisnya. Dia tetap aktif di berbagai situs akademik seperti Perfect Essay Writing, di mana dia berbagi pengetahuannya dengan mahasiswa dan profesor.