17 fajnych wskazówek dotyczących pisania polityki bezpieczeństwa cybernetycznego, która nie jest do niczego

Opublikowany: 2022-06-08

Polityki cyberbezpieczeństwa są pod pewnymi względami formą prawnego wzorca, w którym miejsce odpowiedzialności spoczywa na autorze polityki. Ale jak wszystkie pisma prawnicze, nic nie jest oczywiście dobre ani złe. Łatwo więc powiedzieć, że potrzebujesz polityki bezpieczeństwa cybernetycznego. Trudniej się tam dostać. Oto 17 kroków w kierunku stworzenia wysokiej jakości polityki bezpieczeństwa cybernetycznego, która nie jest do niczego.

Wszyscy wiemy, jak ważne jest cyberbezpieczeństwo, zwłaszcza dla organizacji, które przetwarzają bardzo wrażliwe informacje. W końcu straty spowodowane tylko jednym naruszeniem danych mogą mieć wyniszczający wpływ na Twoją firmę. Ale nawet biorąc pod uwagę potencjalne konsekwencje naruszenia, napisanie skutecznej polityki cyberbezpieczeństwa może być wyzwaniem.

Reklama

Podczas tworzenia polityki należy wziąć pod uwagę wiele czynników, takich jak sposób postępowania ze zgłaszaniem naruszeń lub procedura postępowania w przypadku utraty urządzenia mobilnego przez pracownika. Najlepszym sposobem, aby upewnić się, że pokrywasz wszystkie podstawy, jest rozpoczęcie od tych 17 wskazówek:

Spis treści pokaż
  • 1. Nie marnuj tego!
  • 2. Nie komplikuj tego zbytnio!
  • 3. Spraw, by było zabawnie!
  • 4. Połącz to z nagrodami!
  • 5. Upewnij się, że otrzymujesz wpisowe od wszystkich zaangażowanych
  • 6. Zacznij od „Dlaczego”
  • 7. Poznaj swoich odbiorców
  • 8. Użyj „obwodu sieci” zamiast „zapory”
  • 9. Nie używaj słowa „haker”
  • 10. Użyj „danych” zamiast „informacji”
  • 11. Nie używaj słowa „podatność i słabość”
  • 12. Używaj „oprogramowania”, a nie „aplikacji” lub „aplikacji”
  • 13. Używaj „relacyjnej bazy danych”, a nie „relacyjnego systemu zarządzania bazą danych” lub (np. Oracle)
  • 14. Pozbądź się żargonu
  • 15. Zrozum swoje cele
  • 16. Zrób to krótko
  • 17. Zrozum swoje ryzyko
  • Wniosek

1. Nie marnuj tego!

Punkt 1

Możesz ulec pokusie pominięcia tego kroku. Ale jeśli zamierzasz wdrożyć politykę cyberbezpieczeństwa, musi ona być jasna i dokładna. Jeśli niektóre części polityki brzmią tak, jakby były przeznaczone dla innego systemu lub zostały napisane przez kogoś innego niż ty, to po prostu nie zadziała. Upewnij się, że każda sekcja jest krótka i jasno odpowiada na wszelkie pytania, jakie mogą mieć Twoi pracownicy.

Zalecane dla Ciebie: 7 sposobów, w jakie błąd ludzki może powodować naruszenia bezpieczeństwa cybernetycznego.

2. Nie komplikuj tego zbytnio!

Punkt 2

Z drugiej strony, jeśli spróbujesz zająć się każdą możliwą sytuacją w swojej polityce bezpieczeństwa cybernetycznego, jest prawie pewne, że nikt nigdy nie przeczyta jej w całości. A jaki jest pożytek z polityki, jeśli nikt nie wie, że istnieje? Zachowaj prostotę, aby ludzie nie odczuwali trudności.

3. Spraw, by było zabawnie!

Punkt 3

Niektórzy ludzie mogą nie zdawać sobie z tego sprawy. Ale jeśli sprawisz, że polityka bezpieczeństwa cybernetycznego będzie zabawna, więcej osób ją przeczyta i spróbuje się z niej wyciągnąć. Nie zajmuje to dużo; po prostu dodaj trochę żartobliwego języka tu i tam lub dołącz kilka głupich zdjęć kotów w dodatku. Ten drobny akcent sprawi, że wszyscy wezmą udział w przestrzeganiu zasad!

cyberbezpieczeństwo-internet-komputer-ochrona-sieci-prywatność-bezpieczeństwo

Reklama

4. Połącz to z nagrodami!

Punkt 4

Jeśli chcesz, aby ludzie przestrzegali polityki bezpieczeństwa cybernetycznego, połącz ją z czymś, czego naprawdę chcą (na przykład z podwyżką). Nie rozdawaj podwyżek losowo, uzależniaj je od tego, jak dobrze pracownicy przyjęli Twoje zasady i wytyczne. Zmotywujesz ich nawet bardziej niż samo obiecywanie im podwyżki!

5. Upewnij się, że otrzymujesz wpisowe od wszystkich zaangażowanych

Punkt 5

Nie jest dobrze, jeśli garstka ludzi wie, że poniosą odpowiedzialność za przestrzeganie polityki i to ich denerwuje – jeśli nie czują, że byli zaangażowani w jej tworzenie i nie są z nią na pokładzie, wtedy nie pójdą za nim. Włącz je w proces; upewnij się, że nikt nie czuje się pominięty, aby te zasady działały najlepiej dla wszystkich.

6. Zacznij od „Dlaczego”

Punkt 6

Zapisz powody, dla których Twoja firma przygotowała ten dokument. Na przykład, jeśli obawiasz się, że zostaniesz zhakowany, dołącz „zapewnij bezpieczeństwo naszej firmy” jako część misji swojej firmy, a następnie skoncentruj się na ochronie sieci przed hakerami.

7. Poznaj swoich odbiorców

Punkt 7

Kogo starasz się zabezpieczyć za pomocą tego dokumentu? Czy starasz się chronić klientów lub pracowników? A co z obydwoma? Zdefiniowanie odbiorców pomoże Ci dowiedzieć się, kto powinien czytać te zasady, a także pomoże Ci zdecydować, jakiego języka użyć w niektórych sekcjach dokumentu.

ransomware-malware-cybersecurity-virus-spyware-przestępczość-hacking-spam

Reklama

8. Użyj „obwodu sieci” zamiast „zapory”

Punkt 8

Może się to wydawać drobną zmianą, ale użycie słowa zapora natychmiast stawia odbiorców w defensywie. Im bardziej są techniczne, tym bardziej rozpoznają firewall jako termin używany tylko przez osoby znajdujące się w sieci. Dla wszystkich innych jest to mylące słowo, które brzmi, jakby należało do innej dziedziny.

Ponadto, jeśli chcesz uniknąć wdawania się w skomplikowane dyskusje na temat tego, co dokładnie składa się na twoją „sieć”, będziesz chciał użyć języka, który jest mniej definitywny niż „obwód sieci”.

9. Nie używaj słowa „haker”

Punkt 9

Z wyjątkiem odnoszenia się do osoby posiadającej rozległą wiedzę na temat komputerów lub sieci, która wykorzystuje swoje umiejętności do nielegalnych celów. To słowo odnosi się tylko do przestępców komputerowych, więc nie ma potrzeby umieszczania go w pozostałej części dokumentu i spowoduje zamieszanie wśród czytelników.

Użyj terminu „atakujący”. Powinno być oczywiste, że atakujący ma złe intencje, podczas gdy haker po prostu lubi znajdować sposoby na wykorzystanie oprogramowania i sprzętu dla przyjemności i zysku!

10. Użyj „danych” zamiast „informacji”

Punkt 10

Może to brzmieć sprzecznie z intuicją, ponieważ „informacja” jest technicznie podzbiorem „danych”, ale chcesz, aby ludzie myśleli o danych jako o czymś o wartości wewnętrznej, podczas gdy informacja nie ma prawdziwej wartości, dopóki nie zostanie przeanalizowana lub połączona z innymi fragmentami informacji.

Dane są nowocześniejszym określeniem informacji i są też bardziej precyzyjne. Informacjami może być dowolny rodzaj danych, ale dane są zawsze ustrukturyzowane w jakimś formacie. Na przykład mogą to być liczby przechowywane w pliku arkusza kalkulacyjnego, seria plików w katalogu serwera, a nawet zwykły tekst (tj. treść tego artykułu).

Reklama

Słowo dane jest łatwiejsze do zrozumienia, ponieważ odnosi się bezpośrednio do konkretnego formatu, nie sugerując, że jest on kompletny lub złożony.

Możesz polubić: Dokumenty i protokoły Twoje potrzeby biznesowe w zakresie cyberbezpieczeństwa.

11. Nie używaj słowa „podatność i słabość”

Punkt 11

Używanie słów, które mają negatywne konotacje, może sprawić, że Twoje pisanie zabrzmi nieprofesjonalnie. Luka w zabezpieczeniach lub słabość mogą być postrzegane przez czytelników jako negatywne słowa i dlatego nie powinny być wykorzystywane w polityce bezpieczeństwa. To samo dotyczy każdego innego słowa, które można uznać za słowo negatywne, takie jak kompromis lub groźba.

hasło-cyberbezpieczeństwo-blokada-hacking

Lepiej używać słów, które mają pozytywne konotacje, takie jak siła lub ochrona. Pomaga to nawiązać pozytywny ton od samego początku i pomaga skierować uwagę czytelników na to, na czym chcesz, aby się skupili: pozytywne aspekty pisania polityki bezpieczeństwa.

12. Używaj „oprogramowania”, a nie „aplikacji” lub „aplikacji”

Punkt 12

Słowo „oprogramowanie” jest bardziej profesjonalne i rzadziej nadużywane niż którykolwiek z tych innych, często mylących terminów. Na przykład aplikacja jest używana na komputerze do uruchamiania programów, podczas gdy aplikacja jest czymś w rodzaju aplikacji na telefon komórkowy, której używasz do grania w gry lub śledzenia kalorii (o czym NIE chcesz myśleć, rozważając problemy z cyberbezpieczeństwem).

13. Używaj „relacyjnej bazy danych”, a nie „relacyjnego systemu zarządzania bazą danych” lub (np. Oracle)

Punkt 13

Nie pozwól konkretnym markom przejąć Twojego dokumentu! Chodzi o to, aby być opisowym, a nie specyficznym dla marki. I zaufaj nam, jeśli piszesz tę politykę dla biura w szkole lub kompleksie biznesowym z wieloma pracownikami, będziesz zadowolony, ponieważ to zrobiłeś, ponieważ wszyscy zrozumieją, co masz na myśli przez relacyjną bazę danych, nawet jeśli używają różnych marek w swoich codzienne życie zawodowe.

Reklama

14. Pozbądź się żargonu

Punkt 14

Większość polityk jest przeznaczona dla personelu nietechnicznego i kierownictwa, więc staraj się wyjaśniać terminy techniczne w terminach dla laików, gdy tylko jest to możliwe. Nie zmuszaj ludzi do wyszukiwania słów, których nie znają, aby zrozumieć, co próbujesz powiedzieć. Polityka powinna być na tyle przystępna, aby mogli po prostu ją przeczytać bez konieczności sprawdzania co kilka zdań zewnętrznego źródła.

cyberbezpieczeństwo-ochrona-prywatności-szyfrowanie-hasło-bezpieczeństwa-dostęp do zapory

15. Zrozum swoje cele

Punkt 15

Jeśli próbujesz uchronić się przed stratą finansową lub pozwem, warto wprowadzić pewne ograniczenia. Jeśli jednak próbujesz uchronić się przed procesami sądowymi wynikającymi z zaniedbań lub działań pracowników (tj. ktoś uzyskał dostęp do danych, które wyrządziły szkodę osobom trzecim), to mniej prawdopodobne jest, że będziesz potrzebować jak największej liczby ograniczeń.

16. Zrób to krótko

Punkt 16

Użytkownicy mają krótki czas skupienia uwagi. Jeśli Twoja polisa obejmuje więcej niż jedną stronę, jest za długa; a jeśli ma więcej niż pięć stron, jest prawdopodobnie zbyt długi, aby większość ludzi w ogóle zawracała sobie głowę czytaniem. Nikt nie chce czytać encyklopedii, gdy próbuje nauczyć się czegoś nowego – nawet jeśli próbujesz edukować go o czymś naprawdę ważnym! Zachowaj prostotę i czytelność, zachowując politykę tak zwięzłą, jak to tylko możliwe.

17. Zrozum swoje ryzyko

Punkt 17

Aby zaprojektować skuteczną politykę cyberbezpieczeństwa, organizacja musi zrozumieć, które dane są dla niej najważniejsze. Przygotuj się na najgorszy scenariusz dotyczący wpływu cyberataku na dane. Każda firma jest inna. Na przykład mała firma może nie mieć dostępu do tajemnic handlowych lub poufnych informacji finansowych; chociaż nadal ważne jest, aby chronić posiadane przez nich informacje.

Reklama
Możesz również chcieć: W jaki sposób uczenie maszynowe jest wykorzystywane w cyberbezpieczeństwie?

Wniosek

biznes-chmura-cyberbezpieczeństwo-technologia-laptop-biurowy-programista-praca

W praktyce, wskazówki te powinny sprawić, że proces pisania formalnej polityki bezpieczeństwa cybernetycznego będzie mniej zastraszający i stresujący. Od tworzenia motywu do prostoty i łatwości zrozumienia. Miejmy nadzieję, że zrobią różnicę. Tak więc, gdy jesteś gotowy, aby zająć się swoją polityką cyberbezpieczeństwa, upewnij się, że bierzesz pod uwagę te 17 wskazówek; powinny znacznie poprawić Twój produkt końcowy.

 Ten artykuł został napisany przez Jasmine Pope. Jasmine jest bardzo kompetentną pisarką, znaną z umiejętności tworzenia atrakcyjnych treści. Pisze o bieżących wydarzeniach i prowadzi pogłębione studia na istotne tematy. Jej oddanie i optymistyczne spojrzenie zachęciło wielu początkujących pisarzy. Pozostała aktywna na różnych akademickich stronach internetowych, takich jak Perfect Essay Writing, gdzie dzieliła się swoją wiedzą ze studentami i profesorami.