17 Tips Keren untuk Menulis Kebijakan Keamanan Siber yang Tidak Menyebalkan

Diterbitkan: 2022-06-08

Kebijakan keamanan dunia maya, dalam beberapa hal, merupakan bentuk landasan hukum, dengan tanggung jawab penulis kebijakan. Tapi seperti semua tulisan hukum, tidak ada yang jelas benar atau salah. Jadi, mudah untuk mengatakan bahwa Anda memerlukan kebijakan keamanan siber. Lebih sulit untuk sampai ke sana. Berikut adalah 17 langkah menuju pembuatan kebijakan keamanan siber berkualitas tinggi yang tidak payah.

Kita semua tahu pentingnya keamanan siber, terutama untuk organisasi yang menangani informasi yang sangat sensitif. Lagi pula, kerugian dari satu pelanggaran data saja dapat berdampak melumpuhkan perusahaan Anda. Tetapi bahkan dengan konsekuensi potensial dari pelanggaran, menulis kebijakan keamanan siber yang efektif bisa menjadi tantangan.

Ada banyak faktor yang perlu dipertimbangkan saat membuat kebijakan Anda, seperti bagaimana menangani pelanggaran pelaporan atau prosedur apa yang harus dilakukan jika seorang karyawan kehilangan perangkat selulernya. Cara terbaik untuk memastikan Anda menutupi semua dasar adalah mulai dengan 17 tips ini:

Daftar Isi menunjukkan
  • 1. Jangan memalsukannya!
  • 2. Jangan terlalu rumit!
  • 3. Jadikan itu menyenangkan!
  • 4. Tautkan ke hadiah!
  • 5. Pastikan Anda mendapatkan dukungan dari semua orang yang terlibat
  • 6. Mulailah dengan 'Mengapa'
  • 7. Kenali audiens Anda
  • 8. Gunakan "perimeter jaringan", bukan "firewall"
  • 9. Jangan gunakan kata "peretas"
  • 10. Gunakan "data" daripada "informasi"
  • 11. Jangan gunakan kata “kerentanan dan kelemahan”
  • 12. Gunakan “perangkat lunak”, bukan “aplikasi” atau “aplikasi”
  • 13. Gunakan "database relasional", bukan "sistem manajemen database relasional" atau (yaitu, Oracle)
  • 14. Gunakan jargon dengan santai
  • 15. Pahami tujuan Anda
  • 16. Buatlah singkat
  • 17. Pahami risiko Anda
  • Kesimpulan

1. Jangan memalsukannya!

Poin 1

Anda mungkin tergoda untuk melewatkan langkah ini. Namun jika Anda akan menerapkan kebijakan keamanan siber, kebijakan tersebut harus jelas dan menyeluruh. Jika beberapa bagian dari kebijakan berbunyi seperti dimaksudkan untuk sistem lain atau ditulis oleh orang lain selain Anda, itu tidak akan berhasil. Pastikan bahwa setiap bagian singkat dan dengan jelas menjawab setiap pertanyaan yang mungkin dimiliki karyawan Anda.

Direkomendasikan untuk Anda: 7 Cara Bagaimana Kesalahan Manusia Dapat Menyebabkan Pelanggaran Keamanan Siber.

2. Jangan terlalu rumit!

Poin 2

Di sisi lain, jika Anda berusaha mengatasi setiap kemungkinan situasi dalam kebijakan keamanan siber Anda, hampir pasti tidak akan ada yang membacanya sepenuhnya. Dan apa gunanya sebuah kebijakan jika tidak ada yang mengetahuinya? Pertahankan hal-hal sederhana agar orang tidak merasa kesulitan.

3. Jadikan itu menyenangkan!

Poin 3

Sebagian orang mungkin tidak menyadarinya. Tetapi jika Anda membuat kebijakan keamanan siber menyenangkan, lebih banyak orang akan benar-benar membacanya dan mencoba belajar darinya. Tidak perlu banyak; tambahkan saja beberapa bahasa lucu di sana-sini atau sertakan beberapa gambar kucing konyol di lampiran. Sentuhan kecil ini akan membuat semua perbedaan dalam memastikan semua orang mengikuti aturan!

cybersecurity-internet-computer-network-protection-privacy-safety

4. Tautkan ke hadiah!

Poin 4

Jika Anda ingin orang mengikuti kebijakan keamanan siber, tautkan ke sesuatu yang benar-benar mereka inginkan (seperti kenaikan gaji). Jangan hanya membagikan kenaikan gaji secara acak, jadikan itu bergantung pada seberapa baik karyawan telah mengadopsi peraturan dan pedoman Anda. Anda akan memotivasi mereka lebih dari sekadar menjanjikan kenaikan gaji sendiri!

5. Pastikan Anda mendapatkan dukungan dari semua orang yang terlibat

Poin 5

Tidak baik jika sekelompok orang tahu bahwa mereka akan bertanggung jawab untuk mengikuti kebijakan dan itu membuat mereka gugup – jika mereka tidak merasa telah terlibat dalam pembuatannya dan mereka tidak setuju dengan itu, maka mereka tidak akan mengikutinya. Sertakan mereka dalam proses; pastikan tidak ada yang merasa tersisih sehingga kebijakan ini akan bekerja dengan baik untuk semua orang.

6. Mulailah dengan 'Mengapa'

Poin 6

Tuliskan alasan mengapa bisnis Anda menyusun dokumen ini. Misalnya, jika Anda khawatir akan diretas, sertakan "pastikan keamanan perusahaan kami" sebagai bagian dari pernyataan misi perusahaan Anda, lalu fokus untuk menjaga keamanan jaringan Anda dari peretas.

7. Kenali audiens Anda

Poin 7

Siapa yang Anda coba amankan dengan dokumen ini? Apakah Anda mencoba melindungi pelanggan atau karyawan? Bagaimana dengan keduanya? Menentukan audiens Anda membantu Anda mengetahui siapa yang harus membaca kebijakan ini dan juga akan membantu Anda memutuskan bahasa apa yang akan digunakan di bagian tertentu dari dokumen.

ransomware-malware-cybersecurity-virus-spyware-crime-hacking-spam

8. Gunakan "perimeter jaringan", bukan "firewall"

Poin 8

Ini mungkin tampak seperti perubahan kecil tetapi menggunakan kata firewall segera membuat audiens Anda bersikap defensif. Semakin teknis mereka, semakin mereka mengenali firewall sebagai istilah yang hanya digunakan oleh mereka yang berada di dalam jaringan. Untuk orang lain, itu adalah kata yang membingungkan yang terdengar seperti berasal dari bidang yang berbeda.

Selain itu, jika Anda ingin menghindari diskusi yang rumit tentang apa yang sebenarnya merupakan "jaringan" Anda, Anda akan ingin menggunakan bahasa yang kurang pasti daripada "perimeter jaringan".

9. Jangan gunakan kata "peretas"

Poin 9

Kecuali jika merujuk pada seseorang dengan pengetahuan luas tentang komputer atau jaringan yang menggunakan keahliannya untuk tujuan ilegal. Kata ini hanya mengacu pada penjahat komputer, jadi tidak perlu kata itu di bagian lain dokumen Anda dan itu akan membuat bingung pembaca Anda.

Gunakan istilah "penyerang". Harus jelas bahwa seorang penyerang memiliki niat buruk, sementara seorang peretas senang menemukan cara untuk mengeksploitasi perangkat lunak dan perangkat keras untuk kesenangan dan keuntungan!

10. Gunakan "data" daripada "informasi"

Poin 10

Ini mungkin terdengar berlawanan dengan intuisi karena "informasi" secara teknis adalah bagian dari "data", tetapi Anda ingin orang menganggap data sebagai sesuatu yang memiliki nilai intrinsik sementara informasi tidak memiliki nilai nyata hingga dianalisis atau digabungkan dengan informasi lainnya.

Data adalah kata yang lebih modern untuk informasi dan juga lebih tepat. Informasi dapat berupa data apa pun, tetapi data selalu terstruktur dalam beberapa format. Misalnya, bisa berupa angka yang disimpan dalam file spreadsheet, serangkaian file di direktori server, atau bahkan hanya teks biasa (yaitu, isi artikel ini).

Data kata lebih mudah dipahami karena secara langsung mengacu pada format tertentu tanpa menyiratkan bahwa itu harus lengkap atau kompleks.

Anda mungkin menyukai: Dokumen dan Protokol yang Dibutuhkan Bisnis Anda untuk Keamanan Siber.

11. Jangan gunakan kata “kerentanan dan kelemahan”

Poin 11

Menggunakan kata-kata yang berkonotasi negatif dapat membuat tulisan Anda terdengar tidak profesional. Kerentanan atau kelemahan dapat dianggap sebagai kata-kata negatif oleh pembaca Anda dan karenanya tidak boleh digunakan dalam kebijakan keamanan. Hal yang sama berlaku untuk kata lain yang mungkin dianggap negatif seperti kompromi atau ancaman.

password-cybersecurity-hacking-lock

Sebaiknya gunakan kata-kata yang memiliki konotasi positif seperti kekuatan atau perlindungan. Ini membantu membangun nada positif dari awal dan membantu mengarahkan perhatian pembaca Anda ke arah yang Anda ingin mereka fokuskan: aspek positif dari penulisan kebijakan keamanan.

12. Gunakan “perangkat lunak”, bukan “aplikasi” atau “aplikasi”

Poin 12

Kata "perangkat lunak" lebih profesional dan lebih kecil kemungkinannya untuk disalahgunakan daripada istilah-istilah lain ini, yang seringkali membingungkan. Misalnya, aplikasi digunakan di komputer Anda untuk menjalankan program, sedangkan aplikasi adalah sesuatu seperti aplikasi ponsel yang Anda gunakan untuk bermain game atau melacak kalori (yang BUKAN yang ingin Anda pikirkan saat mempertimbangkan masalah keamanan siber).

13. Gunakan "database relasional", bukan "sistem manajemen database relasional" atau (yaitu, Oracle)

Poin 13

Jangan biarkan merek tertentu mengambil alih dokumen Anda! Idenya di sini adalah untuk menjadi deskriptif daripada spesifik merek. Dan percayalah kepada kami, jika Anda menulis kebijakan ini untuk kantor di sekolah atau kompleks bisnis dengan banyak karyawan, Anda akan senang melakukannya karena semua orang akan memahami apa yang Anda maksud dengan basis data relasional bahkan jika mereka menggunakan merek yang berbeda dalam bisnis mereka. kehidupan kerja sehari-hari.

14. Gunakan jargon dengan santai

Poin 14

Sebagian besar kebijakan dimaksudkan untuk staf dan manajemen non-teknis, jadi cobalah untuk menjelaskan istilah teknis dalam istilah awam jika memungkinkan. Jangan membuat orang harus mencari kata-kata yang tidak mereka ketahui untuk memahami apa yang ingin Anda katakan. Kebijakan harus cukup mudah diakses sehingga mereka dapat membacanya tanpa harus berkonsultasi dengan sumber luar setiap beberapa kalimat.

cybersecurity-protection-privacy-encryption-safety-password-firewall-access

15. Pahami tujuan Anda

Poin 15

Jika Anda mencoba melindungi diri dari kerugian finansial atau dituntut, masuk akal untuk menerapkan batasan tertentu. Namun, jika Anda mencoba melindungi diri Anda dari tuntutan hukum karena kelalaian atau tindakan karyawan (yaitu, seseorang mengakses data yang menyebabkan kerugian bagi pihak ketiga), kemungkinan kecil Anda akan memerlukan pembatasan sebanyak mungkin.

16. Buatlah singkat

Poin 16

Pengguna memiliki rentang perhatian yang pendek. Jika polis Anda lebih dari satu halaman, itu terlalu panjang; dan jika lebih dari lima halaman, mungkin terlalu panjang bagi kebanyakan orang untuk membaca sama sekali. Tidak ada yang mau membaca ensiklopedia ketika mereka mencoba mempelajari sesuatu yang baru – bahkan jika Anda mencoba mendidik mereka tentang sesuatu yang sangat penting! Pertahankan hal-hal sederhana dan mudah dibaca dengan menjaga kebijakan Anda sesingkat mungkin.

17. Pahami risiko Anda

Poin 17

Untuk merancang kebijakan keamanan siber yang efektif, organisasi perlu memahami data mana yang paling penting bagi mereka. Bersiaplah untuk skenario terburuk terkait bagaimana data tersebut dapat terpengaruh oleh serangan dunia maya. Setiap perusahaan berbeda. Misalnya, bisnis kecil mungkin tidak memiliki akses ke rahasia dagang atau informasi keuangan yang sensitif; meskipun tetap penting bagi mereka untuk melindungi informasi yang mereka miliki.

Anda mungkin juga menyukai: Bagaimana Pembelajaran Mesin Digunakan dalam Keamanan Siber?

Kesimpulan

bisnis-cloud-cybersecurity-technology-laptop-office-programmer-work

Ketika dipraktikkan, tip-tip ini akan membantu membuat proses penulisan kebijakan keamanan siber formal menjadi tidak terlalu mengintimidasi dan membuat stres. Mulai dari membuat tema hingga membuatnya sederhana dan mudah dipahami. Mudah-mudahan mereka akan membuat semua perbedaan. Jadi, ketika Anda siap menangani kebijakan keamanan siber, pastikan Anda mempertimbangkan 17 tip ini; mereka harus sangat meningkatkan produk akhir Anda. 

 Artikel ini ditulis oleh Jasmine Pope. Jasmine adalah seorang penulis yang sangat kompeten yang terkenal karena kemampuannya membuat konten yang menarik. Dia menulis tentang peristiwa terkini dan melakukan studi mendalam tentang topik yang relevan. Banyak penulis yang bercita-cita tinggi didorong oleh pengabdian dan pandangannya yang optimis. Dia tetap aktif di berbagai situs akademik seperti Perfect Essay Writing, di mana dia berbagi ilmunya dengan mahasiswa dan profesor.