• โฮมเพจ
  • บทความ
  • บล็อก
  • 17 เคล็ดลับเด็ดสำหรับการเขียนนโยบายความปลอดภัยทางไซเบอร์ที่ไม่ห่วยแตก

17 เคล็ดลับเด็ดสำหรับการเขียนนโยบายความปลอดภัยทางไซเบอร์ที่ไม่ห่วยแตก

เผยแพร่แล้ว: 2022-06-08

ในบางแง่ นโยบายความปลอดภัยทางไซเบอร์เป็นรูปแบบหนึ่งของกฎหมายต้นแบบ โดยมีผู้รับผิดชอบเป็นผู้เขียนนโยบาย แต่ก็เหมือนกับการเขียนกฎหมายทั่วไป ไม่มีอะไรถูกหรือผิดอย่างชัดเจน พูดง่ายๆ ว่าคุณต้องการนโยบายความปลอดภัยทางไซเบอร์ มันยากที่จะไปถึงที่นั่น ต่อไปนี้เป็น 17 ขั้นตอนในการสร้างนโยบายความปลอดภัยทางไซเบอร์คุณภาพสูงที่ไม่น่าเบื่อ

เราทุกคนทราบดีถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ โดยเฉพาะอย่างยิ่งสำหรับองค์กรที่จัดการข้อมูลที่มีความละเอียดอ่อนสูง ท้ายที่สุด ความสูญเสียจากการละเมิดข้อมูลเพียงครั้งเดียวอาจส่งผลร้ายแรงต่อบริษัทของคุณได้ แต่ถึงแม้จะคำนึงถึงผลกระทบที่อาจเกิดขึ้นจากการละเมิด การเขียนนโยบายความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพอาจเป็นเรื่องที่ท้าทาย

มีหลายปัจจัยที่ต้องพิจารณาเมื่อสร้างนโยบายของคุณ เช่น วิธีจัดการกับการรายงานการละเมิดหรือสิ่งที่ควรเป็นขั้นตอนหากพนักงานทำอุปกรณ์พกพาหาย วิธีที่ดีที่สุดเพื่อให้แน่ใจว่าคุณครอบคลุมฐานทั้งหมดคือการเริ่มต้นด้วยเคล็ดลับ 17 ข้อเหล่านี้:

แสดง สารบัญ
  • 1. อย่าเหลวไหล!
  • 2. อย่าทำให้มันซับซ้อนเกินไป!
  • 3. ทำให้สนุก!
  • 4. เชื่อมโยงกับรางวัล!
  • 5. ตรวจสอบให้แน่ใจว่าคุณได้รับการสนับสนุนจากทุกคนที่เกี่ยวข้อง
  • 6. เริ่มต้นด้วย 'ทำไม'
  • 7. รู้จักผู้ชมของคุณ
  • 8. ใช้ "ขอบเขตเครือข่าย" แทน "ไฟร์วอลล์"
  • 9. อย่าใช้คำว่า “แฮ็กเกอร์”
  • 10. ใช้ “ข้อมูล” แทน “ข้อมูล”
  • 11. อย่าใช้คำว่า “เปราะบางและอ่อนแอ”
  • 12. ใช้ “ซอฟต์แวร์” ไม่ใช่ “แอปพลิเคชัน” หรือ “แอป”
  • 13. ใช้ “ฐานข้อมูลเชิงสัมพันธ์” ไม่ใช่ “ระบบจัดการฐานข้อมูลเชิงสัมพันธ์” หรือ (เช่น Oracle)
  • 14. ใช้ศัพท์แสงได้ง่าย
  • 15. เข้าใจเป้าหมายของคุณ
  • 16. ทำให้สั้น
  • 17. เข้าใจความเสี่ยงของคุณ
  • บทสรุป

1. อย่าเหลวไหล!

จุดที่ 1

คุณอาจถูกล่อลวงให้ข้ามขั้นตอนนี้ แต่ถ้าคุณจะใช้นโยบายความปลอดภัยทางไซเบอร์ นโยบายนั้นจะต้องชัดเจนและละเอียดถี่ถ้วน หากบางส่วนของนโยบายอ่านแล้วดูเหมือนว่ามีไว้สำหรับระบบอื่นหรือเขียนโดยบุคคลอื่นที่ไม่ใช่คุณ ก็จะไม่สามารถใช้งานได้ ตรวจสอบให้แน่ใจว่าแต่ละส่วนสั้นและตอบคำถามที่พนักงานของคุณอาจมีอย่างชัดเจน

แนะนำสำหรับคุณ: 7 วิธีที่ข้อผิดพลาดของมนุษย์ทำให้เกิดการละเมิดความปลอดภัยทางไซเบอร์

2. อย่าทำให้มันซับซ้อนเกินไป!

จุดที่ 2

ในทางกลับกัน หากคุณพยายามที่จะแก้ไขทุกสถานการณ์ที่เป็นไปได้ในนโยบายความปลอดภัยทางไซเบอร์ของคุณ ก็แทบจะรับประกันได้ว่าจะไม่มีใครอ่านมันทั้งหมด แล้วนโยบายจะมีประโยชน์อะไรถ้าไม่มีใครรู้ว่ามี? ทำเรื่องง่ายๆ ให้คนไม่รู้สึกลำบาก

3. ทำให้สนุก!

จุดที่ 3

บางคนอาจนึกไม่ถึง แต่ถ้าคุณทำให้นโยบายความปลอดภัยทางไซเบอร์เป็นเรื่องสนุก ผู้คนจำนวนมากจะอ่านและพยายามเรียนรู้จากนโยบายนั้น ใช้เวลาไม่มาก เพียงเพิ่มภาษาตลกที่นี่และที่นั่นหรือรวมภาพแมวโง่ ๆ ในภาคผนวก สัมผัสเล็ก ๆ น้อย ๆ นี้จะสร้างความแตกต่างในการทำให้แน่ใจว่าทุกคนปฏิบัติตามกฎ!

ความปลอดภัยทางไซเบอร์ - อินเทอร์เน็ต - คอมพิวเตอร์ - เครือข่าย - การป้องกัน - ความเป็นส่วนตัว - ความปลอดภัย

4. เชื่อมโยงกับรางวัล!

จุดที่ 4

หากคุณต้องการให้ผู้คนปฏิบัติตามนโยบายความปลอดภัยทางไซเบอร์ ให้เชื่อมโยงนโยบายนั้นกับสิ่งที่พวกเขาต้องการจริงๆ (เช่น การขอขึ้นเงินเดือน) อย่าเพียงแค่แจกรางวัลแบบสุ่ม ให้ขึ้นอยู่กับว่าพนักงานนำกฎและแนวทางของคุณไปใช้ได้ดีเพียงใด คุณจะกระตุ้นพวกเขาได้มากกว่าแค่สัญญาว่าพวกเขาจะขึ้นเงินเอง!

5. ตรวจสอบให้แน่ใจว่าคุณได้รับการสนับสนุนจากทุกคนที่เกี่ยวข้อง

จุดที่ 5

ไม่ดีเลยหากคนจำนวนมากรู้ว่าพวกเขาจะต้องรับผิดชอบในการปฏิบัติตามนโยบายและทำให้พวกเขาประหม่า หากพวกเขาไม่รู้สึกว่าพวกเขามีส่วนร่วมในการสร้างนโยบายและพวกเขาไม่ได้มีส่วนร่วมกับมัน แล้วพวกเขาจะไม่ปฏิบัติตาม รวมไว้ในกระบวนการ ตรวจสอบให้แน่ใจว่าไม่มีใครรู้สึกว่าถูกทอดทิ้ง เพื่อให้นโยบายเหล่านี้ได้ผลดีที่สุดสำหรับทุกคน

6. เริ่มต้นด้วย 'ทำไม'

จุดที่ 6

เขียนเหตุผลว่าทำไมธุรกิจของคุณจึงรวบรวมเอกสารนี้ ตัวอย่างเช่น หากคุณกังวลว่าจะถูกแฮ็ก ให้ใส่คำว่า "ตรวจสอบความปลอดภัยของบริษัทของเรา" เป็นส่วนหนึ่งของพันธกิจของบริษัทของคุณ จากนั้นเน้นที่การรักษาเครือข่ายของคุณให้ปลอดภัยจากแฮกเกอร์

7. รู้จักผู้ชมของคุณ

จุดที่ 7

คุณกำลังพยายามปกป้องใครด้วยเอกสารนี้ คุณกำลังพยายามปกป้องลูกค้าหรือพนักงานหรือไม่? แล้วทั้งคู่ล่ะ? การกำหนดผู้ชมของคุณช่วยให้คุณรู้ว่าใครควรอ่านนโยบายนี้ และยังช่วยให้คุณตัดสินใจได้ว่าจะใช้ภาษาใดในบางส่วนของเอกสาร

แรนซัมแวร์-มัลแวร์-ความปลอดภัยทางไซเบอร์-ไวรัส-สปายแวร์-อาชญากรรม-แฮ็ค-สแปม

8. ใช้ "ขอบเขตเครือข่าย" แทน "ไฟร์วอลล์"

จุดที่ 8

อาจดูเหมือนเป็นการเปลี่ยนแปลงเล็กน้อย แต่การใช้คำว่าไฟร์วอลล์จะทำให้ผู้ชมของคุณตั้งรับทันที ยิ่งพวกเขามีความรู้ด้านเทคนิคมากเท่าไหร่ พวกเขาก็จะยิ่งรู้จักไฟร์วอลล์เป็นคำที่ใช้โดยผู้ที่อยู่ภายในเครือข่ายเท่านั้น สำหรับคนอื่นๆ มันเป็นคำที่ทำให้สับสนซึ่งฟังดูเหมือนอยู่ในสาขาอื่น

นอกจากนี้ หากคุณต้องการหลีกเลี่ยงการอภิปรายที่ซับซ้อนเกี่ยวกับสิ่งที่ประกอบเป็น "เครือข่าย" ของคุณ คุณต้องใช้ภาษาที่มีความหมายน้อยกว่า "ขอบเขตเครือข่าย"

9. อย่าใช้คำว่า “แฮ็กเกอร์”

จุดที่ 9

ยกเว้นเมื่อกล่าวถึงบุคคลที่มีความรู้กว้างขวางเกี่ยวกับคอมพิวเตอร์หรือเครือข่ายที่ใช้ทักษะของตนเพื่อวัตถุประสงค์ที่ผิดกฎหมาย คำนี้หมายถึงอาชญากรคอมพิวเตอร์เท่านั้น ดังนั้นจึงไม่จำเป็นต้องใช้คำนี้ในส่วนที่เหลือของเอกสารของคุณ และมันจะสร้างความสับสนให้กับผู้อ่านของคุณ

ใช้คำว่า "โจมตี" ควรเห็นได้ชัดว่าผู้โจมตีมีเจตนาร้าย ในขณะที่แฮ็กเกอร์สนุกกับการค้นหาวิธีใช้ประโยชน์จากซอฟต์แวร์และฮาร์ดแวร์เพื่อความสนุกสนานและผลกำไร!

10. ใช้ “ข้อมูล” แทน “ข้อมูล”

จุดที่ 10

สิ่งนี้อาจฟังดูขัดกับสัญชาตญาณ เนื่องจากในทางเทคนิคแล้ว "ข้อมูล" เป็นส่วนย่อยของ "ข้อมูล" แต่คุณต้องการให้ผู้คนคิดว่าข้อมูลเป็นสิ่งที่มีคุณค่าในตัว ในขณะที่ข้อมูลไม่มีมูลค่าที่แท้จริงจนกว่าจะมีการวิเคราะห์หรือรวมกับข้อมูลส่วนอื่นๆ

ข้อมูลเป็นคำที่ทันสมัยกว่าสำหรับข้อมูลและยังแม่นยำยิ่งขึ้น ข้อมูลสามารถเป็นข้อมูลลักษณะใดก็ได้ แต่ข้อมูลจะมีโครงสร้างในรูปแบบใดรูปแบบหนึ่งเสมอ ตัวอย่างเช่น อาจเป็นตัวเลขที่จัดเก็บไว้ในไฟล์สเปรดชีต ชุดของไฟล์ในไดเร็กทอรีเซิร์ฟเวอร์ หรือแม้แต่ข้อความธรรมดา (เช่น เนื้อหาของบทความนี้)

คำว่า data เข้าใจได้ง่ายกว่าเพราะอ้างอิงถึงรูปแบบเฉพาะโดยตรง โดยไม่ได้หมายความว่าจำเป็นต้องสมบูรณ์หรือซับซ้อน

คุณอาจชอบ: เอกสารและโปรโตคอลที่ธุรกิจของคุณต้องการสำหรับความปลอดภัยทางไซเบอร์

11. อย่าใช้คำว่า “เปราะบางและอ่อนแอ”

จุดที่ 11

การใช้คำที่มีความหมายเชิงลบอาจทำให้งานเขียนของคุณดูไม่เป็นมืออาชีพ ผู้อ่านของคุณอาจมองว่าช่องโหว่หรือจุดอ่อนเป็นคำเชิงลบ ดังนั้นจึงไม่ควรใช้ในนโยบายความปลอดภัย เช่นเดียวกับคำอื่นๆ ที่อาจถือเป็นคำเชิงลบ เช่น การประนีประนอมหรือการคุกคาม

รหัสผ่าน - ความปลอดภัยทางไซเบอร์ - แฮ็ค - ล็อค

ควรใช้คำที่มีความหมายเชิงบวก เช่น ความแข็งแกร่งหรือการปกป้อง วิธีนี้ช่วยสร้างบรรยากาศเชิงบวกตั้งแต่เริ่มต้น และช่วยดึงความสนใจของผู้อ่านไปสู่สิ่งที่คุณต้องการให้พวกเขาโฟกัส: ด้านบวกของการเขียนนโยบายความปลอดภัย

12. ใช้ “ซอฟต์แวร์” ไม่ใช่ “แอปพลิเคชัน” หรือ “แอป”

จุดที่ 12

คำว่า "ซอฟต์แวร์" มีความเป็นมืออาชีพมากกว่าและมีโอกาสถูกนำไปใช้ในทางที่ผิดน้อยกว่าคำอื่นๆ ซึ่งมักจะทำให้เกิดความสับสน ตัวอย่างเช่น มีการใช้แอปพลิเคชันบนคอมพิวเตอร์ของคุณเพื่อเรียกใช้โปรแกรม ในขณะที่แอปเป็นเหมือนแอปโทรศัพท์มือถือที่คุณใช้สำหรับเล่นเกมหรือติดตามแคลอรี่ (ซึ่งไม่ใช่สิ่งที่คุณต้องคิดเมื่อพิจารณาถึงปัญหาด้านความปลอดภัยทางไซเบอร์)

13. ใช้ “ฐานข้อมูลเชิงสัมพันธ์” ไม่ใช่ “ระบบจัดการฐานข้อมูลเชิงสัมพันธ์” หรือ (เช่น Oracle)

จุดที่ 13

อย่าปล่อยให้แบรนด์ใดแบรนด์หนึ่งครอบครองเอกสารของคุณ! แนวคิดในที่นี้คือการอธิบายมากกว่าเจาะจงแบรนด์ และเชื่อเราเถอะว่า หากคุณกำลังเขียนนโยบายนี้สำหรับสำนักงานในโรงเรียนหรือคอมเพล็กซ์ธุรกิจที่มีพนักงานจำนวนมาก คุณจะดีใจที่ได้ทำ เพราะทุกคนจะเข้าใจว่าคุณหมายถึงอะไรโดยฐานข้อมูลเชิงสัมพันธ์ แม้ว่าพวกเขาจะใช้แบรนด์ที่แตกต่างกันในพวกเขาก็ตาม ชีวิตการทำงานในแต่ละวัน

14. ใช้ศัพท์แสงได้ง่าย

จุดที่ 14

นโยบายส่วนใหญ่มีไว้สำหรับเจ้าหน้าที่และผู้บริหารที่ไม่ใช่ด้านเทคนิค ดังนั้น พยายามอธิบายคำศัพท์ทางเทคนิคในข้อกำหนดของคนธรรมดาทุกครั้งที่ทำได้ อย่าทำให้คนอื่นต้องค้นหาคำศัพท์ที่พวกเขาไม่รู้เพื่อที่จะเข้าใจสิ่งที่คุณพยายามจะพูด นโยบายควรสามารถเข้าถึงได้เพียงพอที่พวกเขาสามารถอ่านได้โดยง่ายโดยไม่ต้องปรึกษาแหล่งข้อมูลภายนอกทุกๆ 2-3 ประโยค

ความปลอดภัยทางไซเบอร์ - การป้องกัน - ความเป็นส่วนตัว - การเข้ารหัส - ความปลอดภัย - รหัสผ่าน - ไฟร์วอลล์ - การเข้าถึง

15. เข้าใจเป้าหมายของคุณ

จุดที่ 15

หากคุณกำลังพยายามปกป้องตัวเองจากการสูญเสียทางการเงินหรือถูกฟ้องร้อง คุณควรปฏิบัติตามข้อจำกัดบางประการ อย่างไรก็ตาม หากคุณกำลังพยายามปกป้องตัวเองจากการถูกฟ้องร้องเนื่องจากความประมาทเลินเล่อของพนักงานหรือการกระทำของพนักงาน (เช่น มีคนเข้าถึงข้อมูลที่ก่อให้เกิดอันตรายต่อบุคคลที่สาม) ก็เป็นไปได้น้อยที่คุณจะต้องใช้ข้อจำกัดมากที่สุดเท่าที่จะเป็นไปได้

16. ทำให้สั้น

จุดที่ 16

ผู้ใช้มีสมาธิสั้น หากนโยบายของคุณมีมากกว่าหนึ่งหน้า แสดงว่ายาวเกินไป และถ้ามันมากกว่าห้าหน้า มันอาจจะยาวเกินไปสำหรับคนส่วนใหญ่ที่จะอ่านเลย ไม่มีใครอยากอ่านสารานุกรมเมื่อพวกเขาพยายามเรียนรู้สิ่งใหม่ ๆ แม้ว่าคุณจะพยายามให้ความรู้แก่พวกเขาเกี่ยวกับสิ่งที่สำคัญจริง ๆ ก็ตาม! ทำให้ทุกอย่างเรียบง่ายและอ่านง่ายโดยทำให้นโยบายของคุณกระชับที่สุด

17. เข้าใจความเสี่ยงของคุณ

จุดที่ 17

ในการออกแบบนโยบายความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพ องค์กรจำเป็นต้องเข้าใจว่าข้อมูลใดมีความสำคัญต่อพวกเขามากที่สุด เตรียมพร้อมสำหรับสถานการณ์ที่เลวร้ายที่สุดเกี่ยวกับผลกระทบของข้อมูลดังกล่าวจากการโจมตีทางไซเบอร์ ทุกบริษัทมีความแตกต่างกัน ตัวอย่างเช่น ธุรกิจขนาดเล็กอาจไม่สามารถเข้าถึงความลับทางการค้าหรือข้อมูลทางการเงินที่ละเอียดอ่อนได้ แม้ว่าจะยังคงมีความสำคัญสำหรับพวกเขาในการปกป้องข้อมูลที่พวกเขามีอยู่

คุณอาจชอบ: การเรียนรู้ของเครื่องใช้ในความปลอดภัยทางไซเบอร์อย่างไร

บทสรุป

ธุรกิจ-คลาวด์-ความปลอดภัยทางไซเบอร์-เทคโนโลยี-แล็ปท็อป-สำนักงาน-โปรแกรมเมอร์-ทำงาน

เมื่อนำไปใช้จริง เคล็ดลับเหล่านี้ควรช่วยให้กระบวนการเขียนนโยบายความปลอดภัยทางไซเบอร์อย่างเป็นทางการมีความน่ากลัวและตึงเครียดน้อยลงมาก ตั้งแต่การสร้างธีมไปจนถึงการทำให้มันเรียบง่ายและเข้าใจง่าย หวังว่าพวกเขาจะสร้างความแตกต่างได้ ดังนั้น เมื่อคุณพร้อมที่จะรับมือกับนโยบายความปลอดภัยทางไซเบอร์ อย่าลืมนำเคล็ดลับ 17 ข้อเหล่านี้ไปพิจารณาด้วย พวกเขาควรปรับปรุงผลิตภัณฑ์ขั้นสุดท้ายของคุณอย่างมาก 

 บทความนี้เขียนโดย Jasmine Pope จัสมินเป็นนักเขียนที่มีความสามารถมากซึ่งมีชื่อเสียงในด้านความสามารถในการสร้างเนื้อหาที่น่าสนใจ เธอเขียนเกี่ยวกับเหตุการณ์ปัจจุบันและทำการศึกษาเชิงลึกเกี่ยวกับหัวข้อที่เกี่ยวข้อง นักเขียนหลายคนได้รับการสนับสนุนจากความทุ่มเทและทัศนคติที่ดีของเธอ เธอใช้งานเว็บไซต์วิชาการต่างๆ เช่น Perfect Essay Writing ซึ่งเธอได้แบ่งปันความรู้กับนักศึกษาและอาจารย์