17 dicas legais para escrever uma política de segurança cibernética que não é ruim

As políticas de segurança cibernética são, de certa forma, uma forma de clichê legal, com o lugar da responsabilidade no redator da política. Mas, como toda escrita jurídica, nada é obviamente certo nem errado. Portanto, é fácil dizer que você precisa de uma política de segurança cibernética. É mais difícil chegar lá. Aqui estão 17 passos para criar uma política de segurança cibernética de alta qualidade que não seja ruim.

Todos sabemos a importância da segurança cibernética, especialmente para organizações que lidam com informações altamente confidenciais. Afinal, as perdas de apenas uma violação de dados podem ter um efeito paralisante em sua empresa. Mas mesmo com as possíveis consequências de uma violação em mente, escrever uma política de segurança cibernética eficaz pode ser um desafio.

Há muitos fatores a serem considerados ao criar sua política, como como lidar com violações de relatórios ou qual deve ser o procedimento se um funcionário perder seu dispositivo móvel. A melhor maneira de garantir que você está cobrindo todas as bases é começar com estas 17 dicas:

1. Não falsifique!

Você pode ficar tentado a pular esta etapa. Mas se você vai implementar uma política de segurança cibernética, ela precisa ser clara e completa. Se algumas partes da política parecerem que foram feitas para outro sistema ou foram escritas por outra pessoa que não você, simplesmente não vai funcionar. Certifique-se de que cada seção seja curta e aborde claramente quaisquer dúvidas que seus funcionários possam ter.

Recomendado para você: 7 maneiras de como o erro humano pode causar violações de segurança cibernética.

2. Não complique demais!

Por outro lado, se você tentar resolver todas as situações possíveis em sua política de segurança cibernética, é quase garantido que ninguém a lerá completamente. E de que serve uma política se ninguém sabe que ela existe? Mantenha as coisas simples para que as pessoas não sintam dificuldade.

3. Divirta-se!

Algumas pessoas podem não perceber. Mas se você tornar uma política de segurança cibernética divertida, mais pessoas realmente a lerão e tentarão aprender com ela. Não é preciso muito; apenas adicione alguma linguagem brincalhona aqui e ali ou inclua algumas fotos bobas de gatos no apêndice. Esse pequeno toque fará toda a diferença para garantir que todos sigam as regras!

4. Vincule-o a recompensas!

Se você deseja que as pessoas sigam uma política de segurança cibernética, vincule-a a algo que elas realmente desejam (como obter um aumento). Não apenas distribua aumentos aleatoriamente, torne-os dependentes de quão bem os funcionários adotaram suas regras e diretrizes. Você vai motivá-los ainda mais do que apenas prometer-lhes um aumento por conta própria!

5. Certifique-se de obter a adesão de todos os envolvidos

Não é bom se um monte de pessoas sabe que será responsabilizado por seguir a política e isso os deixa nervosos - se eles não sentem que estiveram envolvidos em sua criação e não estão de acordo com isso, então eles não vão segui-lo. Inclua-os no processo; certifique-se de que ninguém se sinta excluído para que essas políticas funcionem melhor para todos.

6. Comece com 'Por que'

Anote os motivos pelos quais sua empresa elaborou este documento. Por exemplo, se você está preocupado em ser hackeado, inclua “garantir a segurança de nossa empresa” como parte da declaração de missão de sua empresa e, em seguida, concentre-se em manter sua rede protegida contra hackers.

7. Conheça seu público

Quem você está tentando manter seguro com este documento? Você está tentando proteger clientes ou funcionários? E os dois? Definir seu público ajuda você a saber quem deve ler esta política e também o ajudará a decidir qual idioma usar em determinadas seções do documento.

8. Use “perímetro de rede” em vez de “firewall”

Pode parecer uma pequena mudança, mas usar a palavra firewall imediatamente coloca seu público na defensiva. Quanto mais técnicos forem, mais reconhecerão firewall como um termo usado apenas por quem está dentro da rede. Para todos os outros, é uma palavra confusa que parece pertencer a um campo diferente.

Além disso, se você quiser evitar discussões complicadas sobre o que exatamente constitui sua “rede”, convém usar uma linguagem menos definitiva do que “perímetro de rede”.

9. Não use a palavra “hacker”

Exceto quando se refere a alguém com amplo conhecimento de computadores ou redes que usa suas habilidades para fins ilegais. Esta palavra refere-se apenas a criminosos informáticos, pelo que não há necessidade dela no resto do seu documento e criará confusão para os seus leitores.

Use o termo “atacante”. Deve ser óbvio que um invasor tem más intenções, enquanto um hacker simplesmente gosta de encontrar maneiras de explorar software e hardware por diversão e lucro!

10. Use “dados” em vez de “informações”

Isso pode parecer contra-intuitivo, já que “informação” é tecnicamente um subconjunto de “dados”, mas você quer que as pessoas pensem em dados como algo com valor intrínseco, enquanto a informação não tem valor real até que seja analisada ou combinada com outras informações.

Dados é uma palavra mais moderna para informação e também mais precisa. A informação pode ser qualquer tipo de dado, mas os dados são sempre estruturados em algum formato. Por exemplo, podem ser números armazenados em um arquivo de planilha, uma série de arquivos em um diretório de servidor ou até mesmo texto simples (ou seja, o conteúdo deste artigo).

A palavra dados é mais fácil de entender porque se refere diretamente ao formato específico, sem implicar que seja necessariamente completo ou complexo.

Você pode gostar: Documentos e protocolos que sua empresa precisa para segurança cibernética.

11. Não use a palavra “vulnerabilidade e fraqueza”

Usar palavras com conotações negativas pode fazer com que sua escrita pareça pouco profissional. Vulnerabilidade ou fraqueza podem ser percebidas como palavras negativas por seus leitores e, portanto, não devem ser usadas em uma política de segurança. O mesmo vale para qualquer outra palavra que possa ser considerada uma palavra negativa, como compromisso ou ameaça.

É melhor usar palavras que tenham conotações positivas como força ou proteção. Isso ajuda a estabelecer um tom positivo desde o início e ajuda a direcionar a atenção de seus leitores para o que você deseja que eles se concentrem: os aspectos positivos de escrever uma política de segurança.

12. Use “software”, não “aplicativo” ou “aplicativo”

A palavra “software” é mais profissional e menos propensa a ser mal utilizada do que qualquer um desses outros termos, que muitas vezes são confusos. Por exemplo, um aplicativo é usado em seu computador para executar programas, enquanto um aplicativo é algo como um aplicativo de celular que você usa para jogar ou rastrear calorias (o que NÃO é o que você quer pensar ao considerar problemas de segurança cibernética).

13. Use “banco de dados relacional”, não “sistema de gerenciamento de banco de dados relacional” ou (ou seja, Oracle)

Não deixe que marcas específicas tomem conta do seu documento! A ideia aqui é ser descritivo e não específico da marca. E confie em nós, se você estiver escrevendo esta política para um escritório em uma escola ou complexo comercial com muitos funcionários, ficará feliz por ter feito isso, porque todos entenderão o que você quer dizer com um banco de dados relacional, mesmo que usem marcas diferentes em seus vida diária do trabalho.

14. Vá com calma no jargão

A maioria das políticas destina-se a funcionários e gerentes não técnicos, portanto, tente explicar os termos técnicos em termos leigos sempre que possível. Não faça as pessoas procurarem palavras que não conhecem para entender o que você está tentando dizer. A política deve ser acessível o suficiente para que eles possam simplesmente lê-la sem ter que consultar uma fonte externa a cada poucas frases.

15. Entenda seus objetivos

Se você está tentando se proteger de perdas financeiras ou de ser processado, faz sentido implementar certas restrições. No entanto, se você estiver tentando se proteger de ações judiciais devido à negligência ou ação do funcionário (ou seja, alguém acessou dados que causaram danos a terceiros), é menos provável que você precise de tantas restrições quanto possível.

16. Curta

Os usuários têm períodos curtos de atenção. Se sua política tiver mais de uma página, ela é muito longa; e se for mais de cinco páginas, provavelmente é muito longo para a maioria das pessoas se dar ao trabalho de ler. Ninguém quer ler uma enciclopédia quando está tentando aprender algo novo – mesmo que você esteja tentando educá-lo sobre algo realmente importante! Mantenha as coisas simples e fáceis de ler, mantendo sua política o mais concisa possível.

17. Entenda seus riscos

Para projetar uma política de segurança cibernética eficaz, uma organização precisa entender quais dados são mais importantes para ela. Esteja preparado para o pior cenário de como esses dados podem ser afetados por um ataque cibernético. Cada empresa é diferente. Por exemplo, uma pequena empresa pode não ter acesso a segredos comerciais ou informações financeiras confidenciais; embora ainda seja importante para eles proteger as informações que possuem.

Você também pode gostar: Como o aprendizado de máquina é usado na segurança cibernética?

Conclusão

Quando colocadas em prática, essas dicas devem ajudar a tornar o processo de redação de uma política formal de segurança cibernética muito menos intimidante e estressante. Desde criar um tema até mantê-lo simples e fácil de entender. Espero que façam toda a diferença. Portanto, quando você estiver pronto para lidar com sua política de segurança cibernética, leve em consideração essas 17 dicas; eles devem melhorar muito o seu produto final.

 Este artigo foi escrito por Jasmine Pope. Jasmine é uma escritora muito competente, conhecida por sua capacidade de criar conteúdo atraente. Ela escreve sobre eventos atuais e realiza estudos aprofundados sobre temas relevantes. Muitos aspirantes a escritores foram encorajados por sua devoção e perspectiva otimista. Ela permaneceu ativa em vários sites acadêmicos como Perfect Essay Writing, onde compartilhou seu conhecimento com alunos e professores.