17 fajnych wskazówek dotyczących pisania polityki bezpieczeństwa cybernetycznego, która nie jest do niczego

Opublikowany: 2022-06-08

Polityki bezpieczeństwa cybernetycznego są w pewnym sensie formą prawnego szablonu, w którym miejsce odpowiedzialności spoczywa na autorze polityki. Ale jak w każdym piśmie prawniczym, nic nie jest oczywiście dobre ani złe. Łatwo więc powiedzieć, że potrzebujesz polityki bezpieczeństwa cybernetycznego. Trudniej się tam dostać. Oto 17 kroków w kierunku stworzenia wysokiej jakości polityki bezpieczeństwa cybernetycznego, która nie jest do niczego.

Wszyscy wiemy, jak ważne jest cyberbezpieczeństwo, zwłaszcza dla organizacji, które przetwarzają bardzo wrażliwe informacje. W końcu straty spowodowane tylko jednym naruszeniem danych mogą mieć wyniszczający wpływ na Twoją firmę. Ale nawet biorąc pod uwagę potencjalne konsekwencje naruszenia, napisanie skutecznej polityki bezpieczeństwa cybernetycznego może być wyzwaniem.

Podczas tworzenia polityki należy wziąć pod uwagę wiele czynników, takich jak sposób zgłaszania naruszeń lub jaka powinna być procedura w przypadku utraty urządzenia mobilnego przez pracownika. Najlepszym sposobem, aby upewnić się, że obejmujesz wszystkie podstawy, jest rozpoczęcie od tych 17 wskazówek:

Pokaż spis treści
  • 1. Nie fałszuj!
  • 2. Nie przesadzaj!
  • 3. Spraw, by było zabawnie!
  • 4. Połącz to z nagrodami!
  • 5. Upewnij się, że uzyskasz wpisowe od wszystkich zaangażowanych osób
  • 6. Zacznij od „Dlaczego”
  • 7. Poznaj swoich odbiorców
  • 8. Używaj „obwodu sieci” zamiast „zapory ogniowej”
  • 9. Nie używaj słowa „haker”
  • 10. Używaj „danych” zamiast „informacji”
  • 11. Nie używaj słów „wrażliwość i słabość”
  • 12. Używaj „oprogramowania”, a nie „aplikacji” lub „aplikacji”
  • 13. Używaj „relacyjnej bazy danych”, a nie „systemu zarządzania relacyjną bazą danych” lub (np. Oracle)
  • 14. Pozbądź się żargonu
  • 15. Zrozum swoje cele
  • 16. Zrób to krótko
  • 17. Zrozum swoje ryzyko
  • Wniosek

1. Nie fałszuj!

Punkt 1

Możesz ulec pokusie, aby pominąć ten krok. Ale jeśli zamierzasz wdrożyć politykę cyberbezpieczeństwa, musi ona być jasna i dokładna. Jeśli niektóre części zasad brzmią tak, jakby były przeznaczone dla innego systemu lub zostały napisane przez kogoś innego niż ty, to po prostu nie zadziała. Upewnij się, że każda sekcja jest krótka i jasno odpowiada na wszelkie pytania, jakie mogą mieć Twoi pracownicy.

Zalecane dla Ciebie: 7 sposobów, w jaki błąd ludzki może powodować naruszenia bezpieczeństwa cybernetycznego.

2. Nie przesadzaj!

Punkt 2

Z drugiej strony, jeśli spróbujesz odnieść się do każdej możliwej sytuacji w swojej polityce bezpieczeństwa cybernetycznego, prawie na pewno nikt nigdy nie przeczyta jej w całości. A jaki pożytek z polityki, jeśli nikt nie wie, że istnieje? Utrzymuj rzeczy w prostocie, aby ludzie nie odczuwali trudności.

3. Spraw, by było zabawnie!

Punkt 3

Niektórzy ludzie mogą nie zdawać sobie z tego sprawy. Ale jeśli sprawisz, że polityka bezpieczeństwa cybernetycznego będzie zabawna, więcej osób ją przeczyta i spróbuje się z niej uczyć. To nie zajmuje dużo; po prostu dodaj trochę żartobliwego języka tu i tam lub dołącz kilka głupich zdjęć kotów w dodatku. Ten mały akcent sprawi, że wszyscy będą przestrzegać zasad!

cyberbezpieczeństwo-internet-sieć-komputerowa-ochrona-prywatności-bezpieczeństwo

4. Połącz to z nagrodami!

Punkt 4

Jeśli chcesz, aby ludzie przestrzegali zasad bezpieczeństwa cybernetycznego, połącz je z czymś, czego naprawdę chcą (np. podwyżką). Nie rozdawaj podwyżek losowo, uzależniaj je od tego, jak dobrze pracownicy przyjęli Twoje zasady i wytyczne. Zmotywujesz ich jeszcze bardziej, niż gdybyś sam obiecał podwyżkę!

5. Upewnij się, że uzyskasz wpisowe od wszystkich zaangażowanych osób

Punkt 5

Nie jest dobrze, jeśli grupa ludzi wie, że zostanie pociągnięta do odpowiedzialności za przestrzeganie polityki i to ich denerwuje – jeśli nie czują, że byli zaangażowani w jej tworzenie i nie są z nią na pokładzie, wtedy nie będą za tym podążać. Włącz je w proces; upewnij się, że nikt nie czuje się pominięty, aby te zasady działały najlepiej dla wszystkich.

6. Zacznij od „Dlaczego”

Punkt 6

Zapisz powody, dla których Twoja firma przygotowała ten dokument. Na przykład, jeśli obawiasz się, że zostaniesz zhakowany, dołącz „zapewnienie bezpieczeństwa naszej firmy” jako część misji swojej firmy, a następnie skup się na ochronie sieci przed hakerami.

7. Poznaj swoich odbiorców

Punkt 7

Kogo chcesz chronić za pomocą tego dokumentu? Czy starasz się chronić klientów lub pracowników? A co z obydwoma? Zdefiniowanie odbiorców pomoże Ci wiedzieć, kto powinien czytać tę politykę, a także pomoże Ci zdecydować, jakiego języka użyć w niektórych częściach dokumentu.

ransomware-malware-wirus-cyberbezpieczeństwa-spyware-przestępczość-hakerstwo-spam

8. Używaj „obwodu sieci” zamiast „zapory ogniowej”

Punkt 8

Może się to wydawać niewielką zmianą, ale użycie słowa zapora ogniowa natychmiast stawia odbiorców w defensywie. Im bardziej są techniczni, tym lepiej rozpoznają zaporę ogniową jako termin używany tylko przez osoby znajdujące się wewnątrz sieci. Dla wszystkich innych jest to mylące słowo, które brzmi, jakby należało do innej dziedziny.

Ponadto, jeśli chcesz uniknąć wdawania się w skomplikowane dyskusje na temat tego, co dokładnie stanowi twoją „sieć”, będziesz chciał używać języka, który jest mniej definitywny niż „obwód sieci”.

9. Nie używaj słowa „haker”

Punkt 9

Z wyjątkiem sytuacji, gdy odnosi się do osoby z rozległą wiedzą na temat komputerów lub sieci, która wykorzystuje swoje umiejętności do celów niezgodnych z prawem. To słowo odnosi się tylko do przestępców komputerowych, więc nie ma potrzeby umieszczania go w pozostałej części dokumentu i spowoduje zamieszanie wśród czytelników.

Użyj terminu „atakujący”. Powinno być oczywiste, że atakujący ma złe zamiary, podczas gdy haker po prostu lubi znajdować sposoby na wykorzystanie oprogramowania i sprzętu dla zabawy i zysku!

10. Używaj „danych” zamiast „informacji”

Punkt 10

Może to zabrzmieć sprzecznie z intuicją, ponieważ „informacja” jest technicznie podzbiorem „danych”, ale chcesz, aby ludzie myśleli o danych jako o czymś z wewnętrzną wartością, podczas gdy informacja nie ma prawdziwej wartości, dopóki nie zostanie przeanalizowana lub połączona z innymi informacjami.

Dane to bardziej nowoczesne słowo określające informacje, a także bardziej precyzyjne. Informacja może być dowolnym rodzajem danych, ale dane są zawsze ustrukturyzowane w jakimś formacie. Na przykład mogą to być liczby przechowywane w pliku arkusza kalkulacyjnego, seria plików w katalogu serwera, a nawet zwykły tekst (tj. treść tego artykułu).

Dane słowne są łatwiejsze do zrozumienia, ponieważ bezpośrednio odnoszą się do określonego formatu, nie sugerując jednocześnie, że jest on koniecznie kompletny lub złożony.

Może Cię zainteresować: Dokumenty i protokoły potrzebne Twojej firmie w zakresie cyberbezpieczeństwa.

11. Nie używaj słów „wrażliwość i słabość”

Punkt 11

Używanie słów, które mają negatywne konotacje, może sprawić, że twoje pisanie zabrzmi nieprofesjonalnie. Luka w zabezpieczeniach lub słabość mogą być postrzegane przez czytelników jako słowa negatywne i dlatego nie powinny być używane w polityce bezpieczeństwa. To samo dotyczy każdego innego słowa, które można uznać za negatywne, takiego jak kompromis lub groźba.

hasło-hakowanie-hackowania-hasła

Lepiej jest używać słów, które mają pozytywne konotacje, takie jak siła czy ochrona. Pomaga to ustanowić pozytywny ton od samego początku i pomaga skierować uwagę czytelników na to, na czym chcesz, aby się skupili: na pozytywnych aspektach pisania polityki bezpieczeństwa.

12. Używaj „oprogramowania”, a nie „aplikacji” lub „aplikacji”

Punkt 12

Słowo „oprogramowanie” jest bardziej profesjonalne i mniej prawdopodobne, że będzie nadużywane niż którykolwiek z tych innych terminów, które często są mylące. Na przykład aplikacja jest używana na twoim komputerze do uruchamiania programów, podczas gdy aplikacja jest czymś w rodzaju aplikacji na telefon komórkowy, której używasz do grania w gry lub śledzenia kalorii (co NIE jest tym, o czym chcesz myśleć, rozważając kwestie bezpieczeństwa cybernetycznego).

13. Używaj „relacyjnej bazy danych”, a nie „systemu zarządzania relacyjną bazą danych” lub (np. Oracle)

Punkt 13

Nie pozwól, aby określone marki przejęły kontrolę nad Twoim dokumentem! Chodzi o to, aby był opisowy, a nie specyficzny dla marki. I zaufaj nam, jeśli piszesz tę politykę dla biura w szkole lub kompleksie biznesowym z wieloma pracownikami, będziesz zadowolony, że to zrobiłeś, ponieważ wszyscy zrozumieją, co masz na myśli, mówiąc o relacyjnej bazie danych, nawet jeśli używają różnych marek w swoich codzienne życie zawodowe.

14. Pozbądź się żargonu

Punkt 14

Większość zasad jest przeznaczona dla personelu nietechnicznego i kadry kierowniczej, więc staraj się wyjaśniać terminy techniczne w sposób zrozumiały dla laika, kiedy tylko jest to możliwe. Nie zmuszaj ludzi do szukania słów, których nie znają, aby zrozumieć, co próbujesz powiedzieć. Polityka powinna być na tyle dostępna, aby mogli ją po prostu przeczytać bez konieczności co kilka zdań konsultowania się z zewnętrznym źródłem.

cyberbezpieczeństwo-ochrona-prywatności-szyfrowanie-bezpieczeństwo-hasło-firewall-dostęp

15. Zrozum swoje cele

Punkt 15

Jeśli próbujesz uchronić się przed stratami finansowymi lub byciem pozwanym, warto wprowadzić pewne ograniczenia. Jeśli jednak próbujesz chronić się przed procesami sądowymi z powodu zaniedbania lub działania pracownika (tj. ktoś uzyskał dostęp do danych, które wyrządziły szkodę osobom trzecim), jest mniej prawdopodobne, że będziesz potrzebować jak największej liczby ograniczeń.

16. Zrób to krótko

Punkt 16

Użytkownicy mają krótkie okresy uwagi. Jeśli Twoja polityka obejmuje więcej niż jedną stronę, oznacza to, że jest za długa; a jeśli ma więcej niż pięć stron, prawdopodobnie jest zbyt długa, aby większość ludzi w ogóle zadawała sobie trud czytania. Nikt nie chce czytać encyklopedii, gdy próbuje dowiedzieć się czegoś nowego – nawet jeśli próbujesz przekazać mu wiedzę na temat czegoś naprawdę ważnego! Staraj się, aby wszystko było proste i łatwe do odczytania, zachowując jak najbardziej zwięzłe zasady.

17. Zrozum swoje ryzyko

Punkt 17

Aby zaprojektować skuteczną politykę cyberbezpieczeństwa, organizacja musi zrozumieć, które dane są dla niej najważniejsze. Przygotuj się na najgorszy scenariusz dotyczący wpływu cyberataku na te dane. Każda firma jest inna. Na przykład mała firma może nie mieć dostępu do tajemnic handlowych lub poufnych informacji finansowych; chociaż nadal ważne jest, aby chronili informacje, które posiadają.

Może Cię również zainteresować: W jaki sposób uczenie maszynowe jest wykorzystywane w cyberbezpieczeństwie?

Wniosek

biznes-cloud-cyberbezpieczeństwo-technologia-laptop-biuro-programista-praca

W praktyce wskazówki te powinny sprawić, że proces pisania formalnej polityki bezpieczeństwa cybernetycznego będzie mniej zastraszający i stresujący. Od stworzenia motywu po utrzymanie go w prostocie i łatwości zrozumienia. Miejmy nadzieję, że zrobią różnicę. Kiedy więc będziesz gotowy zająć się swoją polityką bezpieczeństwa cybernetycznego, pamiętaj o uwzględnieniu tych 17 wskazówek; powinny znacznie poprawić twój produkt końcowy. 

 Ten artykuł został napisany przez Jasmine Pope. Jasmine jest bardzo kompetentną pisarką, znaną ze swojej zdolności do tworzenia atrakcyjnych treści. Pisze o bieżących wydarzeniach i prowadzi pogłębione studia na istotne tematy. Jej oddanie i optymistyczne nastawienie zachęciło wielu początkujących pisarzy. Pozostała aktywna na różnych portalach akademickich, takich jak Perfect Essay Writing, gdzie dzieliła się swoją wiedzą ze studentami i profesorami.