役に立たないサイバーセキュリティ ポリシーを作成するための 17 の優れたヒント

公開: 2022-06-08

サイバーセキュリティ ポリシーは、ある意味、法的な定型文のようなものであり、ポリシー作成者に責任が課せられます。 しかし、すべての法律文書と同様に、明らかに正しいか間違っているかというものはありません。 したがって、サイバーセキュリティポリシーが必要であると言うのは簡単です。 そこに到達するのはさらに困難です。 ここでは、つまらないものではない高品質のサイバーセキュリティ ポリシーを作成するための 17 のステップを紹介します。

特に機密性の高い情報を扱う組織にとって、サイバーセキュリティの重要性は誰もが知っています。 結局のところ、たった 1 回のデータ侵害による損失が会社に壊滅的な影響を与える可能性があります。 しかし、侵害による潜在的な影響を念頭に置いたとしても、効果的なサイバーセキュリティ ポリシーを作成するのは困難な場合があります。

ポリシーを作成する際には、報告違反への対処方法や従業員がモバイル デバイスを紛失した場合の手順など、考慮すべき要素が数多くあります。 すべての基本を確実にカバーするための最善の方法は、次の 17 のヒントから始めることです。

目次の表示
  • 1. ごまかさないでください。
  • 2. 複雑にしすぎないでください。
  • 3. 楽しくしましょう!
  • 4. 特典につなげましょう!
  • 5. 関係者全員の賛同を得られるようにする
  • 6.「なぜ」から始める
  • 7. 聴衆を知る
  • 8.「ファイアウォール」の代わりに「ネットワーク境界」を使用する
  • 9. 「ハッカー」という言葉を使わないでください
  • 10.「情報」の代わりに「データ」を使用する
  • 11.「脆弱性と弱さ」という言葉を使わない
  • 12.「アプリケーション」や「アプリ」ではなく「ソフトウェア」を使用する
  • 13. 「リレーショナル データベース管理システム」や (Oracle など) ではなく、「リレーショナル データベース」を使用します。
  • 14. 専門用語は控えめに扱う
  • 15. 自分の目標を理解する
  • 16.短くする
  • 17. リスクを理解する
  • 結論

1. ごまかさないでください。

ポイント1

このステップをスキップしたくなるかもしれません。 ただし、サイバーセキュリティ ポリシーを導入する場合は、明確かつ徹底する必要があります。 ポリシーの一部が別のシステムを対象としたものであるか、自分以外の誰かによって作成されたように見える場合、それは機能しません。 各セクションは短く、従業員が持つ可能性のある質問に明確に対応するようにしてください。

あなたにおすすめ:人的エラーがサイバーセキュリティ侵害を引き起こす 7 つの方法。

2. 複雑にしすぎないでください。

ポイント2

一方で、サイバーセキュリティ ポリシーで考えられるすべての状況に対処しようとすると、誰もそのポリシーを完全に読むことができないことがほぼ保証されます。 そして、政策の存在を誰も知らなければ、その政策に何の意味があるでしょうか? 人々が難しいと感じないように、物事をシンプルにしてください。

3. 楽しくしましょう!

ポイント3

気づかない人もいるかもしれません。 しかし、サイバーセキュリティポリシーを楽しいものにすれば、より多くの人が実際にそれを読み、そこから学ぼうとするでしょう。 それほど時間はかかりません。 ところどころに冗談めいた言葉を追加したり、付録に猫のばかげた写真を追加したりするだけです。 この小さな工夫が、全員がルールに従っていることを確認する上で大きな違いを生みます。

サイバーセキュリティ-インターネット-コンピュータ-ネットワーク-保護-プライバシー-安全性

4. 特典につなげましょう!

ポイント4

人々にサイバーセキュリティポリシーに従ってもらいたい場合は、それを彼らが本当に望んでいること (昇給など) に結び付けてください。 昇給をただ無作為に与えるのではなく、従業員がルールやガイドラインをどの程度採用しているかに応じて昇給を決定します。 単に昇給を約束するよりもさらにやる気を引き出すことができます。

5. 関係者全員の賛同を得られるようにする

ポイント5

ポリシーに従うと自分たちが責任を負うことになると多くの人が知っていて不安になるのは良くありません。ポリシーの作成に自分が関与していると感じず、ポリシーに賛同していないのであれば、そうすれば彼らはそれに従わないだろう。 彼らをプロセスに含めてください。 これらの政策がすべての人にとって最善の効果をもたらすように、誰も疎外感を感じないようにする必要があります。

6.「なぜ」から始める

ポイント6

貴社がこの文書を作成した理由を書き留めてください。 たとえば、ハッキングされるのが心配な場合は、会社のミッション ステートメントの一部として「会社のセキュリティを確保する」を含め、ネットワークをハッカーから守ることに重点を置きます。

7. 聴衆を知る

ポイント7

この文書で誰を安全に守ろうとしているのですか? 顧客や従業員を守ろうとしていますか? 両方についてはどうでしょうか? 対象読者を定義すると、このポリシーを誰が読むべきかを知ることができ、文書の特定のセクションでどのような言語を使用するかを決定することにも役立ちます。

ランサムウェア、マルウェア、サイバーセキュリティ、ウイルス、スパイウェア、犯罪、ハッキング、スパム

8.「ファイアウォール」の代わりに「ネットワーク境界」を使用する

ポイント8

小さな変化のように思えるかもしれませんが、ファイアウォールという言葉を使用すると、視聴者はすぐに守りの姿勢になってしまいます。 彼らが技術的であればあるほど、ファイアウォールはネットワーク内部の人々だけが使用する用語として認識されるようになります。 他の人にとっては、別の分野に属するように聞こえる、紛らわしい言葉です。

また、「ネットワーク」を正確に構成するものについて複雑な議論に巻き込まれることを避けたい場合は、「ネットワーク境界」よりも明確ではない表現を使用することをお勧めします。

9. 「ハッカー」という言葉を使わないでください

ポイント9

ただし、コンピュータやネットワークに関する豊富な知識を持ち、そのスキルを違法な目的に使用する人を指す場合は除きます。 この単語はコンピューター犯罪者のみを指すため、文書の残りの部分ではこの単語を使用する必要はなく、読者に混乱をもたらす可能性があります。

「攻撃者」という用語を使用します。 攻撃者には悪意があることは明らかですが、ハッカーは単に楽しみと利益のためにソフトウェアやハードウェアを悪用する方法を見つけることを楽しんでいます。

10.「情報」の代わりに「データ」を使用する

ポイント10

「情報」は技術的には「データ」のサブセットであるため、これは直感に反するように聞こえるかもしれませんが、情報は分析されるか他の情報と結合されるまで実際の価値を持たない一方で、データは本質的な価値を持つものであると人々に考えてもらいたいのです。

データは情報を表すより現代的な言葉であり、より正確でもあります。 情報はあらゆる形式のデータにすることができますが、データは常に何らかの形式で構造化されています。 たとえば、スプレッドシート ファイルに保存されている数値、サーバー ディレクトリ上の一連のファイル、または単なるプレーン テキスト (つまり、この記事の内容) である可能性があります。

「データ」という言葉は、特定の形式を直接指しますが、必ずしも完全であるか複雑であることを意味するものではないため、理解しやすいです。

あなたも好きかもしれません:ビジネスでサイバーセキュリティに必要なドキュメントとプロトコル。

11.「脆弱性と弱さ」という言葉を使わない

ポイント11

否定的な意味を持つ言葉を使用すると、文章がプロフェッショナルではないように聞こえる可能性があります。 脆弱性や弱さは読者に否定的な言葉として認識される可能性があるため、セキュリティ ポリシーでは使用しないでください。 妥協や脅しなど、否定的な言葉とみなされる可能性のある他の言葉にも同じことが当てはまります。

パスワード-サイバーセキュリティ-ハッキング-ロック

強さや保護など、ポジティブな意味を持つ言葉を使用する方が良いでしょう。 これは、最初からポジティブな雰囲気を確立するのに役立ち、読者に注目してもらいたいこと、つまりセキュリティ ポリシー作成のポジティブな側面に読者の注意を向けるのに役立ちます。

12.「アプリケーション」や「アプリ」ではなく「ソフトウェア」を使用する

ポイント12

「ソフトウェア」という言葉は、混乱を招きやすい他の用語よりも専門的であり、誤用される可能性が低くなります。 たとえば、アプリケーションはコンピュータ上でプログラムを実行するために使用されますが、アプリはゲームをしたりカロリーを追跡したりするために使用する携帯電話アプリのようなものです (これはサイバーセキュリティの問題を考えるときに考慮すべきことではありません)。

13. 「リレーショナル データベース管理システム」や (Oracle など) ではなく、「リレーショナル データベース」を使用します。

ポイント13

特定のブランドにドキュメントを乗っ取られないようにしてください。 ここでの考え方は、ブランド固有ではなく説明的なものにすることです。 そして、信じてください。もしあなたが、多くの従業員がいる学校や複合商業施設内のオフィス向けにこのポリシーを作成しているのであれば、作成してよかったと思うでしょう。たとえ自分のデータベースで異なるブランドを使用していたとしても、誰もがリレーショナル データベースの意味を理解できるからです。日々の仕事生活。

14. 専門用語は控えめに扱う

ポイント14

ほとんどのポリシーは技術者以外のスタッフや管理者を対象としているため、可能な限り専門用語を素人の言葉で説明するようにしてください。 あなたが言おうとしていることを理解するために、人々が知らない単語を調べなければならないようにしないでください。 ポリシーは、数文ごとに外部の情報源を参照することなく、簡単に読み進めることができるほどアクセスしやすいものである必要があります。

サイバーセキュリティ-保護-プライバシー-暗号化-安全性-パスワード-ファイアウォール-アクセス

15. 自分の目標を理解する

ポイント15

経済的損失や訴訟から身を守りたい場合は、一定の制限を設けるのが合理的です。 ただし、従業員の過失や行為 (つまり、誰かがデータにアクセスして第三者に損害を与えた場合) による訴訟から身を守ろうとする場合は、できる限り多くの制限が必要になる可能性は低くなります。

16.短くする

ポイント16

ユーザーの注意持続時間は短いです。 ポリシーが複数ページある場合は長すぎます。 また、5 ページを超える場合は、おそらくほとんどの人にとって長すぎて読む気にもなれません。 新しいことを学ぼうとしているときに、たとえ本当に重要なことについて教育しようとしているとしても、百科事典を読みたい人はいません。 ポリシーをできるだけ簡潔にして、物事をシンプルかつ読みやすく保ちます。

17. リスクを理解する

ポイント17

効果的なサイバーセキュリティ ポリシーを設計するには、組織にとってどのデータが最も重要かを理解する必要があります。 サイバー攻撃によってデータがどのような影響を受ける可能性があるかについて、最悪のシナリオに備えてください。 どの企業も異なります。 たとえば、中小企業は企業秘密や機密の財務情報にアクセスできない場合があります。 ただし、自分が所有する情報を保護することは依然として重要です。

こちらもお勧めです:機械学習はサイバーセキュリティでどのように使用されますか?

結論

ビジネス-クラウド-サイバーセキュリティ-テクノロジー-ラップトップ-オフィス-プログラマー-仕事

これらのヒントを実践すると、正式なサイバーセキュリティ ポリシーを作成するプロセスの怖さやストレスが大幅に軽減されるはずです。 テーマの作成からシンプルで理解しやすいものにするまで。 彼らが大きな変化をもたらすことを期待しています。 したがって、サイバーセキュリティ ポリシーに取り組む準備ができたら、次の 17 のヒントを必ず考慮してください。 最終製品は大幅に改善されるはずです。 

 この記事は Jasmine Pope によって書かれています。 ジャスミンは、魅力的なコンテンツを作成する能力で知られる、非常に有能なライターです。 彼女は時事問題について執筆し、関連するトピックについて徹底的な調査を行っています。 多くの意欲的な作家が彼女の献身と明るい見通しに励まされてきました。 彼女は、Perfect Essay Writing などのさまざまな学術 Web サイトで積極的に活動を続け、そこで学生や教授と知識を共有しました。