17 dicas legais para escrever uma política de segurança cibernética que não seja ruim

Publicados: 2022-06-08

As políticas de segurança cibernética são, de certa forma, uma forma de clichê legal, com o lugar de responsabilidade do redator da política. Mas, como todos os escritos jurídicos, nada é obviamente certo ou errado. Portanto, é fácil dizer que você precisa de uma política de segurança cibernética. É mais difícil chegar lá. Aqui estão 17 etapas para criar uma política de segurança cibernética de alta qualidade que não seja ruim.

Todos nós sabemos da importância da segurança cibernética, especialmente para organizações que lidam com informações altamente confidenciais. Afinal, as perdas de apenas uma violação de dados podem ter um efeito incapacitante em sua empresa. Mas mesmo com as possíveis consequências de uma violação em mente, escrever uma política de segurança cibernética eficaz pode ser um desafio.

Há muitos fatores a serem considerados ao criar sua política, como como lidar com denúncias de violações ou qual deve ser o procedimento se um funcionário perder seu dispositivo móvel. A melhor maneira de garantir que você está cobrindo todas as bases é começar com estas 17 dicas:

Índice mostra
  • 1. Não falsifique!
  • 2. Não complique demais!
  • 3. Torne-o divertido!
  • 4. Vincule-o a recompensas!
  • 5. Certifique-se de obter a adesão de todos os envolvidos
  • 6. Comece com 'Por que'
  • 7. Conheça seu público
  • 8. Use “perímetro de rede” em vez de “firewall”
  • 9. Não use a palavra “hacker”
  • 10. Use “dados” em vez de “informações”
  • 11. Não use a palavra “vulnerabilidade e fraqueza”
  • 12. Use “software”, não “aplicativo” ou “aplicativo”
  • 13. Use “banco de dados relacional”, não “sistema de gerenciamento de banco de dados relacional” ou (ou seja, Oracle)
  • 14. Vá devagar com o jargão
  • 15. Entenda seus objetivos
  • 16. Seja breve
  • 17. Entenda seus riscos
  • Conclusão

1. Não falsifique!

Ponto 1

Você pode ficar tentado a pular esta etapa. Mas se você vai implementar uma política de segurança cibernética, ela precisa ser clara e completa. Se algumas partes da política parecem ter sido feitas para outro sistema ou foram escritas por alguém que não seja você, isso simplesmente não vai funcionar. Certifique-se de que cada seção seja curta e aborde claramente quaisquer dúvidas que seus funcionários possam ter.

Recomendado para você: 7 maneiras pelas quais o erro humano pode causar violações de segurança cibernética.

2. Não complique demais!

Ponto 2

Por outro lado, se você tentar abordar todas as situações possíveis em sua política de segurança cibernética, é quase certo que ninguém a lerá completamente. E de que adianta uma política se ninguém sabe que existe uma? Mantenha as coisas simples para que as pessoas não sintam dificuldade.

3. Torne-o divertido!

Ponto 3

Algumas pessoas podem não perceber. Mas se você tornar uma política de segurança cibernética divertida, mais pessoas realmente a lerão e tentarão aprender com ela. Não é preciso muito; apenas adicione alguma linguagem brincalhona aqui e ali ou inclua algumas fotos bobas de gatos no apêndice. Este pequeno toque fará toda a diferença para garantir que todos sigam as regras!

cibersegurança-internet-computador-rede-proteção-privacidade-segurança

4. Vincule-o a recompensas!

Ponto 4

Se você deseja que as pessoas sigam uma política de segurança cibernética, vincule-a a algo que elas realmente desejam (como receber um aumento). Não distribua aumentos aleatoriamente, torne-os dependentes de quão bem os funcionários adotaram suas regras e diretrizes. Você os motivará ainda mais do que apenas prometer um aumento por conta própria!

5. Certifique-se de obter a adesão de todos os envolvidos

Ponto 5

Não é bom se um monte de gente sabe que será responsabilizado por seguir a política e isso os deixa nervosos - se eles não sentem que estiveram envolvidos em sua criação e não concordam com isso, então eles não o seguirão. Inclua-os no processo; certifique-se de que ninguém se sinta excluído para que essas políticas funcionem melhor para todos.

6. Comece com 'Por que'

Ponto 6

Escreva o(s) motivo(s) pelo qual sua empresa elaborou este documento. Por exemplo, se você está preocupado em ser hackeado, inclua “garantir a segurança de nossa empresa” como parte da declaração de missão de sua empresa e, em seguida, concentre-se em manter sua rede protegida contra hackers.

7. Conheça seu público

Ponto 7

Quem você está tentando manter seguro com este documento? Você está tentando proteger clientes ou funcionários? E os dois? Definir seu público ajuda você a saber quem deve ler esta política e também a decidir qual idioma usar em determinadas seções do documento.

ransomware-malware-cibersegurança-vírus-spyware-crime-hacking-spam

8. Use “perímetro de rede” em vez de “firewall”

Ponto 8

Pode parecer uma pequena mudança, mas usar a palavra firewall imediatamente coloca seu público na defensiva. Quanto mais técnicos forem, mais reconhecerão firewall como um termo usado apenas por quem está dentro da rede. Para todos os outros, é uma palavra confusa que parece pertencer a um campo diferente.

Além disso, se você quiser evitar discussões complicadas sobre o que exatamente constitui sua “rede”, use uma linguagem menos definitiva do que “perímetro de rede”.

9. Não use a palavra “hacker”

Ponto 9

Exceto quando se referir a alguém com amplo conhecimento de computadores ou redes que usa suas habilidades para fins ilegais. Esta palavra refere-se apenas a criminosos de computador, portanto não há necessidade de usá-la no restante do documento e isso criará confusão para os leitores.

Use o termo “atacante”. Deveria ser óbvio que um invasor tem más intenções, enquanto um hacker simplesmente gosta de encontrar maneiras de explorar software e hardware por diversão e lucro!

10. Use “dados” em vez de “informações”

Ponto 10

Isso pode parecer contra-intuitivo, já que “informação” é tecnicamente um subconjunto de “dados”, mas você quer que as pessoas pensem nos dados como algo com valor intrínseco, enquanto a informação não tem valor real até que seja analisada ou combinada com outras informações.

Dados é uma palavra mais moderna para informação e também mais precisa. A informação pode ser qualquer tipo de dados, mas os dados são sempre estruturados em algum formato. Por exemplo, podem ser números armazenados em um arquivo de planilha, uma série de arquivos em um diretório do servidor ou até mesmo texto simples (ou seja, o conteúdo deste artigo).

A palavra dados é mais fácil de entender porque se refere diretamente ao formato específico sem implicar que seja necessariamente completo ou complexo.

Você pode gostar de: Documentos e protocolos que sua empresa precisa para segurança cibernética.

11. Não use a palavra “vulnerabilidade e fraqueza”

Ponto 11

Usar palavras com conotações negativas pode fazer com que sua escrita pareça pouco profissional. Vulnerabilidade ou fraqueza podem ser percebidas como palavras negativas por seus leitores e, portanto, não devem ser usadas em uma política de segurança. O mesmo vale para qualquer outra palavra que possa ser considerada uma palavra negativa, como compromisso ou ameaça.

senha-cibersegurança-hacking-bloqueio

É melhor usar palavras que tenham conotações positivas, como força ou proteção. Isso ajuda a estabelecer um tom positivo desde o início e ajuda a direcionar a atenção de seus leitores para o que você deseja que eles foquem: os aspectos positivos de escrever uma política de segurança.

12. Use “software”, não “aplicativo” ou “aplicativo”

Ponto 12

A palavra “software” é mais profissional e menos propensa a ser mal utilizada do que qualquer um desses outros termos, que geralmente são confusos. Por exemplo, um aplicativo é usado em seu computador para executar programas, enquanto um aplicativo é algo como um aplicativo de telefone celular que você usa para jogar ou rastrear calorias (que NÃO é o que você deve pensar ao considerar questões de segurança cibernética).

13. Use “banco de dados relacional”, não “sistema de gerenciamento de banco de dados relacional” ou (ou seja, Oracle)

Ponto 13

Não deixe que marcas específicas tomem conta do seu documento! A ideia aqui é ser descritivo e não específico da marca. E confie em nós, se você estiver escrevendo esta política para um escritório em uma escola ou complexo comercial com muitos funcionários, ficará feliz porque todos entenderão o que você quer dizer com banco de dados relacional, mesmo que usem marcas diferentes em seus vida de trabalho do dia-a-dia.

14. Vá devagar com o jargão

Ponto 14

A maioria das políticas destina-se a funcionários e gerentes não técnicos; portanto, tente explicar os termos técnicos em termos leigos sempre que possível. Não faça as pessoas procurarem palavras que não conhecem para entender o que você está tentando dizer. A política deve ser acessível o suficiente para que eles possam simplesmente lê-la sem ter que consultar uma fonte externa a cada poucas sentenças.

cibersegurança-proteção-privacidade-criptografia-segurança-senha-firewall-acesso

15. Entenda seus objetivos

Ponto 15

Se você está tentando se proteger de perdas financeiras ou de ser processado, faz sentido implementar certas restrições. No entanto, se você está tentando se proteger de processos judiciais devido à negligência ou ação de um funcionário (ou seja, alguém acessou dados que causaram danos a terceiros), é menos provável que você precise de tantas restrições quanto possível.

16. Seja breve

Ponto 16

Os usuários têm períodos curtos de atenção. Se sua apólice tiver mais de uma página, ela é muito longa; e se tiver mais de cinco páginas, provavelmente é muito longo para que a maioria das pessoas se dê ao trabalho de ler. Ninguém quer ler uma enciclopédia quando está tentando aprender algo novo – mesmo que você esteja tentando educá-los sobre algo realmente importante! Mantenha as coisas simples e fáceis de ler, mantendo sua política o mais concisa possível.

17. Entenda seus riscos

Ponto 17

Para projetar uma política de segurança cibernética eficaz, uma organização precisa entender quais dados são mais importantes para ela. Esteja preparado para o pior cenário em relação a como esses dados podem ser afetados por um ataque cibernético. Cada empresa é diferente. Por exemplo, uma pequena empresa pode não ter acesso a segredos comerciais ou informações financeiras confidenciais; embora ainda seja importante para eles proteger as informações que possuem.

Você também pode gostar: Como o aprendizado de máquina é usado na segurança cibernética?

Conclusão

negócios-nuvem-cibersegurança-tecnologia-laptop-escritório-programador-trabalho

Quando colocadas em prática, essas dicas devem ajudar a tornar o processo de redação de uma política formal de segurança cibernética muito menos intimidante e estressante. Desde a criação de um tema até mantê-lo simples e fácil de entender. Espero que eles façam toda a diferença. Então, quando você estiver pronto para lidar com sua política de segurança cibernética, certifique-se de levar essas 17 dicas em consideração; eles devem melhorar muito o seu produto final. 

 Este artigo foi escrito por Jasmine Pope. Jasmine é uma escritora muito competente, conhecida por sua capacidade de criar conteúdo atraente. Ela escreve sobre eventos atuais e realiza estudos aprofundados sobre temas relevantes. Muitos escritores aspirantes foram encorajados por sua devoção e perspectiva otimista. Ela permaneceu ativa em vários sites acadêmicos como o Perfect Essay Writing, onde compartilhou seu conhecimento com alunos e professores.