17 เคล็ดลับเด็ดสำหรับการเขียนนโยบายความปลอดภัยทางไซเบอร์ที่ไม่เลว

เผยแพร่แล้ว: 2022-06-08

ในบางวิธี นโยบายความปลอดภัยทางไซเบอร์เป็นรูปแบบของกฎหมาย โดยมีจุดรับผิดอยู่ที่ผู้เขียนนโยบาย แต่เช่นเดียวกับการเขียนทางกฎหมายอื่นๆ ไม่มีอะไรถูกหรือผิดอย่างชัดเจน ดังนั้นจึงง่ายที่จะบอกว่าคุณต้องการนโยบายความปลอดภัยทางไซเบอร์ มันยากกว่าที่จะไปถึงที่นั่น ต่อไปนี้เป็น 17 ขั้นตอนในการสร้างนโยบายความปลอดภัยทางไซเบอร์คุณภาพสูงที่ไม่เสียหาย

เราทุกคนทราบถึงความสำคัญของความปลอดภัยทางไซเบอร์ โดยเฉพาะอย่างยิ่งสำหรับองค์กรที่จัดการข้อมูลที่มีความละเอียดอ่อนสูง อย่างไรก็ตาม ความสูญเสียจากการละเมิดข้อมูลเพียงครั้งเดียวอาจส่งผลกระทบร้ายแรงต่อบริษัทของคุณ แต่ถึงแม้จะคำนึงถึงผลกระทบที่อาจเกิดขึ้นจากการละเมิด การเขียนนโยบายความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพก็อาจเป็นเรื่องที่ท้าทาย

โฆษณา

มีหลายปัจจัยที่ต้องพิจารณาเมื่อสร้างนโยบายของคุณ เช่น วิธีจัดการกับการรายงานการละเมิด หรือขั้นตอนควรเป็นอย่างไรหากพนักงานทำอุปกรณ์เคลื่อนที่หาย วิธีที่ดีที่สุดเพื่อให้แน่ใจว่าคุณกำลังครอบคลุมฐานทั้งหมดคือการเริ่มต้นด้วย 17 เคล็ดลับเหล่านี้:

สารบัญ แสดง

1. อย่าเหลวไหล!
2. อย่าซับซ้อนเกินไป!
3. ทำให้มันสนุก!
4. ลิงก์เพื่อรับรางวัล!
5. ตรวจสอบให้แน่ใจว่าคุณได้รับการซื้อจากทุกคนที่เกี่ยวข้อง
6. เริ่มต้นด้วย 'ทำไม'
7. รู้จักผู้ฟังของคุณ
8. ใช้ "ขอบเขตเครือข่าย" แทน "ไฟร์วอลล์"
9. อย่าใช้คำว่าแฮ็กเกอร์
10. ใช้ “ข้อมูล” แทน “ข้อมูล”
11. อย่าใช้คำว่า “ความอ่อนแอและความอ่อนแอ”
12. ใช้ “ซอฟต์แวร์” ไม่ใช่ “แอพพลิเคชั่น” หรือ “แอพ”
13. ใช้ “ฐานข้อมูลเชิงสัมพันธ์” ไม่ใช่ “ระบบจัดการฐานข้อมูลเชิงสัมพันธ์” หรือ (เช่น Oracle)
14. ใช้ศัพท์แสงง่ายๆ
15. เข้าใจเป้าหมายของคุณ
16. ทำให้สั้น
17. เข้าใจความเสี่ยงของคุณ
บทสรุป

1. อย่าเหลวไหล!

คุณอาจถูกล่อลวงให้ข้ามขั้นตอนนี้ แต่ถ้าคุณจะใช้นโยบายความปลอดภัยทางไซเบอร์ นโยบายนั้นต้องมีความชัดเจนและทั่วถึง หากบางส่วนของนโยบายอ่านดูเหมือนว่ามีไว้สำหรับระบบอื่นหรือเขียนโดยบุคคลอื่นที่ไม่ใช่คุณ ก็จะใช้ไม่ได้ผล ตรวจสอบให้แน่ใจว่าแต่ละส่วนสั้นและตอบคำถามที่พนักงานของคุณอาจมีอย่างชัดเจน

แนะนำสำหรับคุณ: 7 วิธีที่ข้อผิดพลาดของมนุษย์ทำให้เกิดการละเมิดความปลอดภัยทางไซเบอร์

2. อย่าซับซ้อนเกินไป!

ในทางกลับกัน หากคุณพยายามจัดการกับทุกสถานการณ์ที่เป็นไปได้ในนโยบายความปลอดภัยทางไซเบอร์ของคุณ แทบจะรับประกันได้เลยว่าจะไม่มีใครอ่านมันทั้งหมด แล้วนโยบายจะดีอะไรถ้าไม่มีใครรู้ว่ามี? ทำสิ่งต่าง ๆ ให้เรียบง่ายเพื่อไม่ให้ผู้คนรู้สึกลำบาก

3. ทำให้มันสนุก!

บางคนอาจนึกไม่ถึง แต่ถ้าคุณทำให้นโยบายความปลอดภัยทางไซเบอร์เป็นเรื่องสนุก ผู้คนจำนวนมากขึ้นจะอ่านและพยายามเรียนรู้จากมัน ใช้เวลาไม่มาก แค่เพิ่มภาษาตลกๆ ลงไป หรือใส่ภาพตลกๆ ของแมวในภาคผนวก สัมผัสเล็กๆ น้อยๆ นี้จะสร้างความแตกต่างเพื่อให้แน่ใจว่าทุกคนจะเข้าร่วมโดยทำตามกฎ!

ความปลอดภัยทางไซเบอร์-อินเทอร์เน็ต-คอมพิวเตอร์-เครือข่าย-การป้องกัน-ความเป็นส่วนตัว-ความปลอดภัย

โฆษณา

4. ลิงก์เพื่อรับรางวัล!

หากคุณต้องการให้ผู้คนปฏิบัติตามนโยบายความปลอดภัยทางไซเบอร์ ให้เชื่อมโยงกับสิ่งที่พวกเขาต้องการจริงๆ (เช่น การขึ้นเงินเดือน) อย่าเพิ่งแจกเงินเพิ่มโดยสุ่ม ให้ขึ้นอยู่กับว่าพนักงานใช้กฎเกณฑ์และแนวทางปฏิบัติของคุณได้ดีเพียงใด คุณจะจูงใจพวกเขามากกว่าแค่สัญญาว่าจะเพิ่มเงินเดือนให้พวกเขาด้วยตัวมันเอง!

5. ตรวจสอบให้แน่ใจว่าคุณได้รับการซื้อจากทุกคนที่เกี่ยวข้อง

ไม่ใช่เรื่องดีถ้าคนจำนวนมากรู้ว่าพวกเขาจะต้องรับผิดชอบต่อการปฏิบัติตามนโยบายและทำให้พวกเขากังวล – หากพวกเขาไม่รู้สึกว่าพวกเขามีส่วนร่วมในการสร้างและพวกเขาไม่ได้เข้าร่วมด้วย แล้วพวกเขาจะไม่ปฏิบัติตาม รวมไว้ในกระบวนการ ตรวจสอบให้แน่ใจว่าไม่มีใครรู้สึกถูกทอดทิ้งเพื่อให้นโยบายเหล่านี้ใช้ได้ผลดีที่สุดสำหรับทุกคน

6. เริ่มต้นด้วย 'ทำไม'

จดเหตุผลที่ธุรกิจของคุณจัดทำเอกสารนี้ ตัวอย่างเช่น หากคุณกังวลว่าจะถูกแฮ็ก ให้ใส่คำว่า “รักษาความปลอดภัยของบริษัทเรา” ให้เป็นส่วนหนึ่งของพันธกิจของบริษัท แล้วเน้นที่การรักษาเครือข่ายของคุณให้ปลอดภัยจากแฮกเกอร์

7. รู้จักผู้ฟังของคุณ

คุณพยายามรักษาใครให้ปลอดภัยด้วยเอกสารนี้ คุณกำลังพยายามปกป้องลูกค้าหรือพนักงานหรือไม่? แล้วทั้งสองล่ะ? การกำหนดผู้ชมของคุณจะช่วยให้คุณรู้ว่าใครควรอ่านนโยบายนี้ และจะช่วยให้คุณตัดสินใจได้ว่าจะใช้ภาษาใดในบางส่วนของเอกสาร

ransomware-malware-cybersecurity-virus-spyware-crime-hacking-spam

โฆษณา

8. ใช้ "ขอบเขตเครือข่าย" แทน "ไฟร์วอลล์"

อาจดูเหมือนเป็นการเปลี่ยนแปลงเล็กน้อย แต่การใช้คำว่าไฟร์วอลล์จะทำให้ผู้ชมของคุณเป็นฝ่ายรับทันที ยิ่งใช้เทคนิคมากเท่าไหร่ ก็ยิ่งรู้จักไฟร์วอลล์เป็นคำที่ใช้เฉพาะภายในเครือข่ายเท่านั้น สำหรับคนอื่นๆ คำนี้ทำให้เกิดความสับสนซึ่งฟังดูเหมือนอยู่ในเขตข้อมูลอื่น

นอกจากนี้ ถ้าคุณต้องการหลีกเลี่ยงการอภิปรายที่ซับซ้อนเกี่ยวกับสิ่งที่เป็น "เครือข่าย" ของคุณอย่างแท้จริง คุณจะต้องใช้ภาษาที่มีความชัดเจนน้อยกว่า "ขอบเขตของเครือข่าย"

9. อย่าใช้คำว่าแฮ็กเกอร์

ยกเว้นเมื่อกล่าวถึงบุคคลที่มีความรู้กว้างขวางเกี่ยวกับคอมพิวเตอร์หรือเครือข่ายที่ใช้ทักษะของตนเพื่อวัตถุประสงค์ที่ผิดกฎหมาย คำนี้หมายถึงอาชญากรคอมพิวเตอร์เท่านั้น ดังนั้นจึงไม่มีความจำเป็นในส่วนที่เหลือของเอกสารและจะสร้างความสับสนให้กับผู้อ่านของคุณ

ใช้คำว่า "ผู้โจมตี" เห็นได้ชัดว่าผู้โจมตีมีเจตนาร้าย ในขณะที่แฮ็กเกอร์เพียงแค่สนุกกับการหาวิธีใช้ประโยชน์จากซอฟต์แวร์และฮาร์ดแวร์เพื่อความสนุกสนานและผลกำไร!

10. ใช้ “ข้อมูล” แทน “ข้อมูล”

สิ่งนี้อาจฟังดูขัดกับสัญชาตญาณ เนื่องจาก “ข้อมูล” เป็นเซตย่อยของ “ข้อมูล” ในทางเทคนิค แต่คุณต้องการให้ผู้คนคิดว่าข้อมูลเป็นสิ่งที่มีคุณค่าที่แท้จริงในขณะที่ข้อมูลไม่มีค่าจริงจนกว่าจะมีการวิเคราะห์หรือรวมเข้ากับข้อมูลอื่นๆ

Data เป็นคำที่ทันสมัยกว่าสำหรับข้อมูล และแม่นยำกว่าด้วย ข้อมูลสามารถเป็นข้อมูลรูปแบบใดก็ได้ แต่ข้อมูลมีโครงสร้างอยู่ในรูปแบบใดรูปแบบหนึ่งเสมอ ตัวอย่างเช่น อาจเป็นตัวเลขที่จัดเก็บไว้ในไฟล์สเปรดชีต ชุดของไฟล์ในไดเร็กทอรีเซิร์ฟเวอร์ หรือแม้แต่ข้อความธรรมดา (เช่น เนื้อหาของบทความนี้)

โฆษณา

ข้อมูลคำนั้นเข้าใจง่ายขึ้น เพราะมันหมายถึงรูปแบบเฉพาะโดยตรง โดยไม่ได้หมายความว่าจำเป็นต้องสมบูรณ์หรือซับซ้อน

คุณอาจชอบ: เอกสารและโปรโตคอลที่ธุรกิจของคุณต้องการสำหรับการรักษาความปลอดภัยทางไซเบอร์

11. อย่าใช้คำว่า “ความอ่อนแอและความอ่อนแอ”

การใช้คำที่มีความหมายเชิงลบอาจทำให้งานเขียนของคุณฟังดูไม่เป็นมืออาชีพ ผู้อ่านของคุณอาจมองว่าจุดอ่อนหรือจุดอ่อนนั้นเป็นคำเชิงลบ ดังนั้นจึงไม่ควรใช้ในนโยบายความปลอดภัย เช่นเดียวกับคำอื่นๆ ที่อาจถือเป็นคำเชิงลบ เช่น การประนีประนอมหรือการคุกคาม

รหัสผ่าน-ความปลอดภัยทางไซเบอร์-การแฮ็ค-ล็อค

ควรใช้คำที่มีความหมายเชิงบวก เช่น ความแข็งแกร่งหรือการป้องกัน ซึ่งช่วยสร้างน้ำเสียงที่เป็นบวกตั้งแต่ต้น และช่วยนำความสนใจของผู้อ่านไปสู่สิ่งที่คุณต้องการให้พวกเขามุ่งเน้น: แง่บวกของการเขียนนโยบายความปลอดภัย

12. ใช้ “ซอฟต์แวร์” ไม่ใช่ “แอพพลิเคชั่น” หรือ “แอพ”

คำว่า "ซอฟต์แวร์" มีความเป็นมืออาชีพมากกว่าและมีโอกาสถูกใช้ในทางที่ผิดน้อยกว่าคำอื่นๆ เหล่านี้ ซึ่งมักทำให้เกิดความสับสน ตัวอย่างเช่น คอมพิวเตอร์ของคุณใช้แอปพลิเคชันเพื่อเรียกใช้โปรแกรม ในขณะที่แอปเป็นเหมือนแอปในโทรศัพท์มือถือที่คุณใช้สำหรับเล่นเกมหรือติดตามแคลอรี่ (ซึ่งไม่ใช่สิ่งที่คุณอยากจะนึกถึงเมื่อพิจารณาถึงปัญหาด้านความปลอดภัยในโลกไซเบอร์)

13. ใช้ “ฐานข้อมูลเชิงสัมพันธ์” ไม่ใช่ “ระบบจัดการฐานข้อมูลเชิงสัมพันธ์” หรือ (เช่น Oracle)

อย่าให้แบรนด์ใดแบรนด์หนึ่งเข้าครอบงำเอกสารของคุณ! แนวคิดในที่นี้ควรเป็นคำอธิบายมากกว่าเฉพาะแบรนด์ และเชื่อเราเถอะว่า หากคุณกำลังเขียนนโยบายนี้สำหรับสำนักงานในโรงเรียนหรืออาคารธุรกิจที่มีพนักงานจำนวนมาก คุณจะดีใจที่ได้ทำ เพราะทุกคนจะเข้าใจความหมายของคุณโดยฐานข้อมูลเชิงสัมพันธ์ แม้ว่าพวกเขาจะใช้แบรนด์ที่แตกต่างกันใน ชีวิตการทำงานในแต่ละวัน

โฆษณา

14. ใช้ศัพท์แสงง่ายๆ

นโยบายส่วนใหญ่มีไว้สำหรับพนักงานและผู้บริหารที่ไม่ใช่ด้านเทคนิค ดังนั้นพยายามอธิบายข้อกำหนดทางเทคนิคในเงื่อนไขของคนธรรมดาทุกครั้งที่ทำได้ อย่าทำให้คนอื่นต้องค้นหาคำที่พวกเขาไม่รู้จักเพื่อที่จะเข้าใจสิ่งที่คุณพยายามจะพูด นโยบายควรสามารถเข้าถึงได้มากพอที่จะสามารถอ่านได้โดยไม่ต้องปรึกษาแหล่งภายนอกทุกสองสามประโยค

cybersecurity-protection-privacy-encryption-safety-password-firewall-access

15. เข้าใจเป้าหมายของคุณ

หากคุณกำลังพยายามปกป้องตนเองจากการสูญเสียทางการเงินหรือถูกฟ้องร้อง คุณควรปฏิบัติตามข้อจำกัดบางประการ อย่างไรก็ตาม หากคุณพยายามปกป้องตัวเองจากการถูกฟ้องร้องเนื่องจากความประมาทเลินเล่อหรือการกระทำของพนักงาน (เช่น มีคนเข้าถึงข้อมูลที่ก่อให้เกิดอันตรายต่อบุคคลที่สาม) โอกาสที่คุณจะต้องจำกัดให้มากที่สุดก็เป็นไปได้น้อยลง

16. ทำให้สั้น

ผู้ใช้มีสมาธิสั้น หากนโยบายของคุณมีมากกว่าหนึ่งหน้า แสดงว่ายาวเกินไป และถ้ามันมากกว่าห้าหน้า ก็อาจจะนานเกินไปสำหรับคนส่วนใหญ่ที่จะอ่านเลย ไม่มีใครอยากอ่านสารานุกรมเมื่อพวกเขากำลังพยายามเรียนรู้สิ่งใหม่ แม้ว่าคุณจะพยายามให้ความรู้พวกเขาเกี่ยวกับสิ่งที่สำคัญจริงๆ! ทำสิ่งต่างๆ ให้เรียบง่ายและอ่านง่ายโดยทำให้นโยบายของคุณกระชับที่สุด

17. เข้าใจความเสี่ยงของคุณ

ในการออกแบบนโยบายความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพ องค์กรจำเป็นต้องเข้าใจว่าข้อมูลใดที่สำคัญที่สุดสำหรับพวกเขา เตรียมพร้อมสำหรับสถานการณ์ที่เลวร้ายที่สุดเกี่ยวกับวิธีที่ข้อมูลดังกล่าวอาจได้รับผลกระทบจากการโจมตีทางไซเบอร์ ทุกบริษัทมีความแตกต่างกัน ตัวอย่างเช่น ธุรกิจขนาดเล็กอาจไม่สามารถเข้าถึงความลับทางการค้าหรือข้อมูลทางการเงินที่ละเอียดอ่อนได้ แม้ว่าการปกป้องข้อมูลที่พวกเขาครอบครองยังคงเป็นสิ่งสำคัญ

โฆษณา

คุณอาจชอบ: การเรียนรู้ของเครื่องใช้ในความปลอดภัยทางไซเบอร์เป็นอย่างไร?

บทสรุป

Business-cloud-cybersecurity-technology-laptop-office-programmer-work

เมื่อนำไปปฏิบัติ คำแนะนำเหล่านี้ควรช่วยทำให้กระบวนการเขียนนโยบายความปลอดภัยทางไซเบอร์ที่เป็นทางการนั้นไม่น่ากลัวและเครียดมากนัก ตั้งแต่การสร้างธีมไปจนถึงการรักษาความเรียบง่ายและเข้าใจง่าย หวังว่าพวกเขาจะสร้างความแตกต่าง ดังนั้น เมื่อคุณพร้อมที่จะจัดการกับนโยบายความปลอดภัยในโลกไซเบอร์ อย่าลืมพิจารณา 17 เคล็ดลับเหล่านี้ พวกเขาควรปรับปรุงผลิตภัณฑ์ขั้นสุดท้ายของคุณอย่างมาก

 บทความนี้เขียนโดย จัสมิน โป๊ป จัสมินเป็นนักเขียนที่มีความสามารถมาก และมีชื่อเสียงในด้านความสามารถของเธอในการสร้างเนื้อหาที่น่าสนใจ เธอเขียนเกี่ยวกับเหตุการณ์ปัจจุบันและดำเนินการศึกษาเชิงลึกในหัวข้อที่เกี่ยวข้อง นักเขียนผู้ทะเยอทะยานหลายคนได้รับกำลังใจจากความทุ่มเทและทัศนคติที่มองโลกในแง่ดีของเธอ เธอยังคงใช้งานเว็บไซต์วิชาการต่างๆ เช่น Perfect Essay Writing ซึ่งเธอได้แบ่งปันความรู้กับนักเรียนและอาจารย์