17 fantastici suggerimenti per scrivere una politica di sicurezza informatica che non faccia schifo

Le polizze di sicurezza informatica sono, in un certo senso, una forma di standard legale, con il posto di responsabilità sull'autore della polizza. Ma come tutta la scrittura legale, nulla è ovviamente giusto o sbagliato. Quindi, è facile dire che hai bisogno di una politica di sicurezza informatica. È più difficile arrivarci. Ecco 17 passaggi per creare una politica di sicurezza informatica di alta qualità che non faccia schifo.

Conosciamo tutti l'importanza della sicurezza informatica, in particolare per le organizzazioni che gestiscono informazioni altamente sensibili. Dopotutto, le perdite dovute a una sola violazione dei dati possono avere un effetto paralizzante sulla tua azienda. Ma anche tenendo conto delle potenziali conseguenze di una violazione, scrivere una politica di sicurezza informatica efficace può essere una sfida.

Ci sono molti fattori da considerare quando si crea la policy, ad esempio come gestire la segnalazione di violazioni o quale dovrebbe essere la procedura se un dipendente perde il proprio dispositivo mobile. Il modo migliore per assicurarti di coprire tutte le basi è iniziare con questi 17 suggerimenti:

1. Non confonderlo!

Potresti essere tentato di saltare questo passaggio. Ma se hai intenzione di implementare una politica di sicurezza informatica, deve essere chiara e completa. Se alcune parti della politica sembrano destinate a un altro sistema o sono state scritte da qualcuno diverso da te, semplicemente non funzionerà. Assicurati che ogni sezione sia breve e risponda chiaramente a tutte le domande che i tuoi dipendenti potrebbero avere.

Consigliato per te: 7 modi in cui l'errore umano può causare violazioni della sicurezza informatica.

2. Non complicarlo troppo!

D'altra parte, se tenti di affrontare ogni possibile situazione nella tua politica di sicurezza informatica, è quasi garantito che nessuno la leggerà mai completamente. E a cosa serve una polizza se nessuno sa che ce n'è una? Mantieni le cose semplici in modo che le persone non si sentano in difficoltà.

3. Rendilo divertente!

Alcune persone potrebbero non rendersene conto. Ma se rendi divertente una politica di sicurezza informatica, più persone la leggeranno e cercheranno di imparare da essa. Non ci vuole molto; basta aggiungere un po 'di linguaggio scherzoso qua e là o includere alcune immagini sciocche di gatti nell'appendice. Questo piccolo tocco farà la differenza per assicurarsi che tutti siano d'accordo nel seguire le regole!

4. Collegalo ai premi!

Se vuoi che le persone seguano una politica di sicurezza informatica, collegala a qualcosa che vogliono veramente (come ottenere un aumento). Non limitarti a distribuire aumenti a caso, falli dipendere dal modo in cui i dipendenti hanno adottato le tue regole e linee guida. Li motiverai ancora di più rispetto a promettere loro un aumento da solo!

5. Assicurati di ottenere il consenso di tutte le persone coinvolte

Non va bene se un gruppo di persone sa che saranno ritenute responsabili per aver seguito la politica e questo li rende nervosi - se non si sentono coinvolti nella sua creazione e non sono d'accordo, allora non lo seguiranno. Includerli nel processo; assicurati che nessuno si senta escluso in modo che queste politiche funzionino al meglio per tutti.

6. Inizia con "Perché"

Annota il/i motivo/i per cui la tua azienda ha redatto questo documento. Ad esempio, se sei preoccupato di essere violato, includi "garantire la sicurezza della nostra azienda" come parte della dichiarazione d'intenti della tua azienda e poi concentrati sulla protezione della tua rete dagli hacker.

7. Conosci il tuo pubblico

Chi stai cercando di tenere al sicuro con questo documento? Stai cercando di proteggere clienti o dipendenti? Che dire di entrambi? Definire il tuo pubblico ti aiuta a sapere chi dovrebbe leggere questa politica e ti aiuterà anche a decidere quale lingua utilizzare in determinate sezioni del documento.

8. Usa "perimetro di rete" invece di "firewall"

Può sembrare un piccolo cambiamento, ma usare la parola firewall mette immediatamente il tuo pubblico sulla difensiva. Più sono tecnici, più riconosceranno firewall come un termine usato solo da chi è all'interno della rete. Per tutti gli altri, è una parola confusa che sembra appartenere a un campo diverso.

Inoltre, se vuoi evitare di entrare in discussioni complicate su ciò che costituisce esattamente la tua "rete", ti consigliamo di utilizzare un linguaggio meno definitivo di "perimetro di rete".

9. Non usare la parola "hacker"

Tranne quando ci si riferisce a qualcuno con una vasta conoscenza di computer o reti che utilizza le proprie competenze per scopi illegali. Questa parola si riferisce solo ai criminali informatici, quindi non ce n'è bisogno nel resto del tuo documento e creerà confusione per i tuoi lettori.

Usa il termine "attaccante". Dovrebbe essere ovvio che un utente malintenzionato ha cattive intenzioni, mentre un hacker si diverte semplicemente a trovare modi per sfruttare software e hardware per divertimento e profitto!

10. Usa "dati" invece di "informazioni"

Questo può sembrare controintuitivo poiché "informazioni" è tecnicamente un sottoinsieme di "dati", ma vuoi che le persone pensino ai dati come a qualcosa con un valore intrinseco mentre le informazioni non hanno valore reale fino a quando non vengono analizzate o combinate con altre informazioni.

Dati è una parola più moderna per informazioni ed è anche più precisa. Le informazioni possono essere qualsiasi tipo di dati, ma i dati sono sempre strutturati in un formato. Ad esempio, potrebbero essere numeri memorizzati in un foglio di calcolo, una serie di file su una directory del server o anche solo testo semplice (ad esempio, il contenuto di questo articolo).

La parola dati è più facile da capire perché si riferisce direttamente al formato specifico senza implicare che sia necessariamente completo o complesso.

Potrebbe interessarti: Documenti e protocolli di cui la tua azienda ha bisogno per la sicurezza informatica.

11. Non usare la parola "vulnerabilità e debolezza"

L'uso di parole con connotazioni negative può rendere la tua scrittura poco professionale. Vulnerabilità o debolezza possono essere percepite come parole negative dai tuoi lettori e quindi non dovrebbero essere utilizzate in una politica di sicurezza. Lo stesso vale per qualsiasi altra parola che potrebbe essere considerata una parola negativa come compromesso o minaccia.

È meglio usare parole che hanno connotazioni positive come forza o protezione. Questo aiuta a stabilire un tono positivo fin dall'inizio e aiuta a dirigere l'attenzione dei tuoi lettori verso ciò su cui vuoi che si concentrino: gli aspetti positivi della scrittura di una politica di sicurezza.

12. Usa "software", non "applicazione" o "app"

La parola "software" è più professionale e ha meno probabilità di essere usata in modo improprio rispetto a qualsiasi altro termine, che spesso crea confusione. Ad esempio, un'applicazione viene utilizzata sul tuo computer per eseguire programmi, mentre un'app è qualcosa di simile a un'app per telefoni cellulari che usi per giocare o tenere traccia delle calorie (che NON è ciò a cui vuoi pensare quando consideri i problemi di sicurezza informatica).

13. Utilizzare "database relazionale", non "sistema di gestione del database relazionale" o (ad esempio, Oracle)

Non lasciare che marchi specifici si impadroniscano del tuo documento! L'idea qui è di essere descrittivo piuttosto che specifico del marchio. E fidati di noi, se stai scrivendo questa politica per un ufficio in una scuola o in un complesso aziendale con molti dipendenti, sarai contento di averlo fatto perché tutti capiranno cosa intendi per database relazionale anche se usano marchi diversi nella loro vita lavorativa quotidiana.

14. Vacci piano con il gergo

La maggior parte delle politiche è pensata per il personale e la direzione non tecnici, quindi cerca di spiegare i termini tecnici in parole povere quando possibile. Non costringere le persone a cercare parole che non conoscono per capire cosa stai cercando di dire. La politica dovrebbe essere abbastanza accessibile da poterla semplicemente leggere senza dover consultare una fonte esterna ogni poche frasi.

15. Comprendi i tuoi obiettivi

Se stai cercando di proteggerti da perdite finanziarie o essere citato in giudizio, allora ha senso implementare alcune restrizioni. Tuttavia, se stai cercando di proteggerti da azioni legali dovute a negligenza o azione dei dipendenti (ad esempio, qualcuno ha avuto accesso a dati che hanno causato danni a terzi), è meno probabile che tu abbia bisogno di quante più restrizioni possibili.

16. Rendilo breve

Gli utenti hanno tempi di attenzione brevi. Se la tua politica è più di una pagina, è troppo lunga; e se è più di cinque pagine, probabilmente è troppo lungo perché la maggior parte delle persone si preoccupi di leggerlo. Nessuno vuole leggere un'enciclopedia quando sta cercando di imparare qualcosa di nuovo, anche se stai cercando di istruirlo su qualcosa di veramente importante! Mantieni le cose semplici e facili da leggere mantenendo la tua politica il più concisa possibile.

17. Comprendi i tuoi rischi

Per progettare una politica di sicurezza informatica efficace, un'organizzazione deve capire quali dati sono più importanti per loro. Preparati allo scenario peggiore riguardo a come i dati potrebbero essere influenzati da un attacco informatico. Ogni azienda è diversa. Ad esempio, una piccola impresa potrebbe non avere accesso a segreti commerciali o informazioni finanziarie sensibili; sebbene sia comunque importante per loro proteggere le informazioni che possiedono.

Potrebbe interessarti anche: Come viene utilizzato l'apprendimento automatico nella sicurezza informatica?

Conclusione

Una volta messi in pratica, questi suggerimenti dovrebbero aiutare a rendere il processo di scrittura di una politica formale di sicurezza informatica molto meno intimidatorio e stressante. Dalla creazione di un tema al mantenerlo semplice e facile da capire. Si spera che facciano la differenza. Quindi, quando sei pronto per affrontare la tua politica di sicurezza informatica, assicurati di prendere in considerazione questi 17 suggerimenti; dovrebbero migliorare notevolmente il tuo prodotto finale.

 Questo articolo è stato scritto da Jasmine Pope. Jasmine è una scrittrice molto competente, nota per la sua capacità di creare contenuti avvincenti. Scrive di attualità e conduce studi approfonditi su temi rilevanti. Molti aspiranti scrittori sono stati incoraggiati dalla sua devozione e dalla sua prospettiva ottimista. È rimasta attiva su vari siti web accademici come Perfect Essay Writing, dove ha condiviso le sue conoscenze con studenti e professori.