17 ottimi suggerimenti per scrivere una politica di sicurezza informatica che non faccia schifo

Le politiche di sicurezza informatica sono, in qualche modo, una forma di standard legale, con il posto di responsabilità a carico dell'autore della politica. Ma come tutti gli scritti legali, niente è ovviamente giusto o sbagliato. Quindi, è facile dire che hai bisogno di una politica di sicurezza informatica. È più difficile arrivarci. Ecco 17 passaggi per creare una politica di sicurezza informatica di alta qualità che non faccia schifo.

Conosciamo tutti l'importanza della sicurezza informatica, in particolare per le organizzazioni che gestiscono informazioni altamente sensibili. Dopotutto, le perdite dovute a una sola violazione dei dati possono avere un effetto paralizzante sulla tua azienda. Ma anche tenendo conto delle potenziali conseguenze di una violazione, scrivere una politica di sicurezza informatica efficace può essere una sfida.

Ci sono molti fattori da considerare quando si crea la polizza, ad esempio come gestire la segnalazione delle violazioni o quale dovrebbe essere la procedura se un dipendente perde il proprio dispositivo mobile. Il modo migliore per assicurarti di coprire tutte le basi è iniziare con questi 17 suggerimenti:

1. Non esagerare!

Potresti essere tentato di saltare questo passaggio. Ma se intendi implementare una politica di sicurezza informatica, deve essere chiara e completa. Se alcune parti della politica si leggono come se fossero destinate a un altro sistema o sono state scritte da qualcuno diverso da te, semplicemente non funzionerà. Assicurati che ogni sezione sia breve e risponda chiaramente a tutte le domande che i tuoi dipendenti potrebbero avere.

Consigliato per te: 7 modi in cui l'errore umano può causare violazioni della sicurezza informatica.

2. Non complicare eccessivamente!

D'altra parte, se tenti di affrontare ogni possibile situazione nella tua politica di sicurezza informatica, è quasi garantito che nessuno la leggerà mai completamente. E a che serve una politica se nessuno sa che ce n'è una? Mantieni le cose semplici in modo che le persone non si sentano in difficoltà.

3. Rendilo divertente!

Alcune persone potrebbero non rendersene conto. Ma se rendi divertente una politica di sicurezza informatica, più persone la leggeranno e cercheranno di imparare da essa. Non ci vuole molto; aggiungi semplicemente un linguaggio scherzoso qua e là o includi alcune immagini sciocche di gatti nell'appendice. Questo piccolo tocco farà la differenza nell'assicurarsi che tutti salgano a bordo seguendo le regole!

4. Collegalo ai premi!

Se vuoi che le persone seguano una politica di sicurezza informatica, collegala a qualcosa che vogliono veramente (come ottenere un aumento). Non limitarti a distribuire aumenti a caso, rendili dipendenti da quanto bene i dipendenti hanno adottato le tue regole e linee guida. Li motiverai ancora di più che promettere loro un aumento da solo!

5. Assicurati di ottenere il consenso di tutte le persone coinvolte

Non va bene se un gruppo di persone sa che sarà ritenuto responsabile di seguire la politica e questo li rende nervosi - se non si sentono coinvolti nella sua creazione e non sono d'accordo con essa, allora non lo seguiranno. Includerli nel processo; assicurati che nessuno si senta escluso in modo che queste politiche funzionino meglio per tutti.

6. Inizia con "Perché"

Annota i motivi per cui la tua azienda ha messo insieme questo documento. Ad esempio, se sei preoccupato di essere violato, includi "garantire la sicurezza della nostra azienda" come parte della dichiarazione di intenti della tua azienda e quindi concentrati sulla protezione della tua rete dagli hacker.

7. Conosci il tuo pubblico

Chi stai cercando di proteggere con questo documento? Stai cercando di proteggere clienti o dipendenti? E per entrambi? Definire il tuo pubblico ti aiuta a sapere chi dovrebbe leggere questa politica e ti aiuterà anche a decidere quale lingua utilizzare in alcune sezioni del documento.

8. Usa "perimetro di rete" invece di "firewall"

Può sembrare un piccolo cambiamento, ma l'uso della parola firewall mette immediatamente il pubblico sulla difensiva. Più sono tecnici, più riconosceranno firewall come un termine utilizzato solo da coloro che si trovano all'interno della rete. Per tutti gli altri, è una parola confusa che suona come se appartenesse a un campo diverso.

Inoltre, se vuoi evitare di entrare in discussioni complicate su cosa costituisce esattamente la tua "rete", ti consigliamo di utilizzare un linguaggio meno definitivo del "perimetro di rete".

9. Non usare la parola "hacker"

Tranne quando si fa riferimento a qualcuno con una vasta conoscenza di computer o reti che utilizza le proprie competenze per scopi illegali. Questa parola si riferisce solo a criminali informatici, quindi non ce n'è bisogno nel resto del tuo documento e creerà confusione per i tuoi lettori.

Usa il termine "attaccante". Dovrebbe essere ovvio che un attaccante ha cattive intenzioni, mentre un hacker si diverte semplicemente a trovare modi per sfruttare software e hardware per divertimento e profitto!

10. Usa "dati" invece di "informazioni"

Questo può sembrare controintuitivo poiché "informazione" è tecnicamente un sottoinsieme di "dati", ma vuoi che le persone pensino ai dati come a qualcosa con un valore intrinseco mentre le informazioni non hanno alcun valore reale finché non vengono analizzate o combinate con altre informazioni.

Dati è una parola più moderna per informazione ed è anche più precisa. Le informazioni possono essere qualsiasi tipo di dati, ma i dati sono sempre strutturati in un formato. Ad esempio, potrebbero essere numeri memorizzati in un file di foglio di calcolo, una serie di file su una directory del server o anche solo testo normale (ad esempio, il contenuto di questo articolo).

La parola data è più facile da capire perché si riferisce direttamente al formato specifico senza implicare che sia necessariamente completo o complesso.

Potrebbe piacerti: Documenti e protocolli di cui la tua azienda ha bisogno per la sicurezza informatica.

11. Non usare la parola "vulnerabilità e debolezza"

Usare parole che hanno connotazioni negative può rendere la tua scrittura poco professionale. Vulnerabilità o debolezza possono essere percepite come parole negative dai tuoi lettori e quindi non dovrebbero essere utilizzate in una politica di sicurezza. Lo stesso vale per qualsiasi altra parola che potrebbe essere considerata una parola negativa come compromesso o minaccia.

È meglio usare parole che hanno connotazioni positive come forza o protezione. Questo aiuta a stabilire un tono positivo fin dall'inizio e aiuta a dirigere l'attenzione dei tuoi lettori verso ciò su cui vuoi che si concentrino: gli aspetti positivi della stesura di una politica di sicurezza.

12. Utilizzare "software", non "applicazione" o "app"

La parola "software" è più professionale e ha meno probabilità di essere utilizzata in modo improprio rispetto a qualsiasi di questi altri termini, che spesso creano confusione. Ad esempio, un'applicazione viene utilizzata sul tuo computer per eseguire programmi, mentre un'app è qualcosa come un'app per telefoni cellulari che usi per giocare o monitorare le calorie (che NON è ciò a cui vuoi pensare quando consideri problemi di sicurezza informatica).

13. Utilizzare "database relazionale", non "sistema di gestione di database relazionali" o (es. Oracle)

Non lasciare che marchi specifici prendano il controllo del tuo documento! L'idea qui è di essere descrittiva piuttosto che specifica per il marchio. E fidati di noi, se stai scrivendo questa polizza per un ufficio in un complesso scolastico o aziendale con molti dipendenti, sarai felice di averlo fatto perché tutti capiranno cosa intendi per database relazionale anche se utilizzano marchi diversi nel loro vita lavorativa quotidiana.

14. Vai piano con il gergo

La maggior parte delle politiche sono pensate per il personale e la direzione non tecnici, quindi cerca di spiegare i termini tecnici in termini semplici, quando possibile. Non costringere le persone a cercare parole che non conoscono per capire cosa stai cercando di dire. La politica dovrebbe essere sufficientemente accessibile da poterla semplicemente leggere senza dover consultare una fonte esterna ogni poche frasi.

15. Comprendi i tuoi obiettivi

Se stai cercando di proteggerti da perdite finanziarie o di essere citato in giudizio, ha senso implementare determinate restrizioni. Tuttavia, se stai cercando di proteggerti da azioni legali dovute a negligenza o azione dei dipendenti (ad esempio, qualcuno ha avuto accesso a dati che hanno causato danni a terzi), è meno probabile che tu abbia bisogno di quante più restrizioni possibili.

16. Fallo breve

Gli utenti hanno tempi di attenzione brevi. Se la tua polizza è più di una pagina, è troppo lunga; e se sono più di cinque pagine, probabilmente è troppo lungo perché la maggior parte delle persone si preoccupi di leggere. Nessuno vuole leggere un'enciclopedia quando sta cercando di imparare qualcosa di nuovo, anche se stai cercando di educarlo su qualcosa di veramente importante! Mantieni le cose semplici e facili da leggere mantenendo la tua politica il più concisa possibile.

17. Comprendi i tuoi rischi

Per progettare una politica di sicurezza informatica efficace, un'organizzazione deve capire quali dati sono più importanti per loro. Preparati allo scenario peggiore per quanto riguarda il modo in cui i dati potrebbero essere influenzati da un attacco informatico. Ogni azienda è diversa. Ad esempio, una piccola impresa potrebbe non avere accesso a segreti commerciali o informazioni finanziarie sensibili; sebbene sia comunque importante per loro proteggere le informazioni in loro possesso.

Potrebbe piacerti anche: Come viene utilizzato l'apprendimento automatico nella sicurezza informatica?

Conclusione

Quando messi in pratica, questi suggerimenti dovrebbero aiutare a rendere il processo di scrittura di una politica di sicurezza informatica formale molto meno intimidatorio e stressante. Dalla creazione di un tema al mantenerlo semplice e facile da capire. Si spera che faranno la differenza. Quindi, quando sei pronto per affrontare la tua politica di sicurezza informatica, assicurati di prendere in considerazione questi 17 suggerimenti; dovrebbero migliorare notevolmente il tuo prodotto finale.

 Questo articolo è stato scritto da Jasmine Pope. Jasmine è una scrittrice molto competente, nota per la sua capacità di creare contenuti avvincenti. Scrive di attualità e conduce studi approfonditi su argomenti rilevanti. Molti aspiranti scrittori sono stati incoraggiati dalla sua devozione e dal suo atteggiamento ottimista. È rimasta attiva su vari siti accademici come Perfect Essay Writing, dove ha condiviso le sue conoscenze con studenti e professori.