17 крутых советов по написанию политики кибербезопасности, которая не будет отстойной

Опубликовано: 2022-06-08

Политики кибербезопасности в некотором смысле представляют собой форму юридического шаблона, в котором ответственность лежит на разработчике политик. Но, как и во всех юридических документах, нет ничего очевидного правильного или неправильного. Итак, легко сказать, что вам нужна политика кибербезопасности. Туда сложнее добраться. Вот 17 шагов к созданию качественной политики кибербезопасности, которая не будет отстойной.

Мы все знаем о важности кибербезопасности, особенно для организаций, которые работают с конфиденциальной информацией. В конце концов, потери всего лишь от одной утечки данных могут нанести непоправимый ущерб вашей компании. Но даже с учетом потенциальных последствий нарушения, написание эффективной политики кибербезопасности может оказаться сложной задачей.

При создании политики необходимо учитывать множество факторов, например, как обрабатывать отчеты о нарушениях или какая должна быть процедура, если сотрудник потеряет свое мобильное устройство. Лучший способ убедиться, что вы охватываете все основы, — это начать с этих 17 советов:

Оглавление показать

1. Не обманывайте!
2. Не усложняйте!
3. Сделайте это весело!
4. Свяжите это с наградами!
5. Убедитесь, что вы получаете поддержку от всех участников
6. Начните с «Почему»
7. Знайте свою аудиторию
8. Используйте «сетевой периметр» вместо «брандмауэр»
9. Не используйте слово «хакер»
10. Используйте «данные» вместо «информации»
11. Не используйте слово «уязвимость и слабость»
12. Используйте «программное обеспечение», а не «приложение» или «приложение»
13. Используйте «реляционную базу данных», а не «систему управления реляционной базой данных» или (например, Oracle)
14. Осторожнее с жаргоном
15. Поймите свои цели
16. Сделайте это коротким
17. Поймите свои риски
Заключение

1. Не обманывайте!

У вас может возникнуть соблазн пропустить этот шаг. Но если вы собираетесь внедрить политику кибербезопасности, она должна быть четкой и тщательной. Если некоторые части политики читаются так, как будто они предназначались для другой системы или были написаны кем-то другим, кроме вас, это просто не сработает. Убедитесь, что каждый раздел краток и четко отвечает на любые вопросы, которые могут возникнуть у ваших сотрудников.

Рекомендуется для вас: 7 способов, как человеческая ошибка может привести к нарушениям кибербезопасности.

2. Не усложняйте!

С другой стороны, если вы попытаетесь рассмотреть все возможные ситуации в своей политике кибербезопасности, почти гарантировано, что никто никогда не прочитает ее полностью. И что хорошего в политике, если никто не знает, что она есть? Делайте вещи простыми, чтобы люди не чувствовали трудности.

3. Сделайте это весело!

Некоторые люди могут этого не осознавать. Но если вы сделаете политику кибербезопасности забавной, больше людей действительно прочитают ее и попытаются извлечь из нее уроки. Это не займет много времени; просто добавьте немного шутливого языка здесь и там или включите в приложение несколько глупых изображений кошек. Это небольшое прикосновение будет иметь решающее значение для того, чтобы все соблюдали правила!

кибербезопасность-интернет-компьютер-сетевая-защита-конфиденциальность-безопасность

4. Свяжите это с наградами!

Если вы хотите, чтобы люди следовали политике кибербезопасности, свяжите ее с чем-то, чего они действительно хотят (например, с повышением зарплаты). Не раздавайте повышения наугад, ставьте их в зависимость от того, насколько хорошо сотрудники усвоили ваши правила и рекомендации. Вы мотивируете их даже больше, чем простое обещание повышения зарплаты!

5. Убедитесь, что вы получаете поддержку от всех участников

Плохо, если группа людей знает, что они будут нести ответственность за соблюдение политики, и это заставляет их нервничать — если они не чувствуют, что участвовали в ее создании и не согласны с ней, тогда они не будут следовать этому. Включите их в процесс; убедитесь, что никто не чувствует себя обделенным, чтобы эти политики работали наилучшим образом для всех.

6. Начните с «Почему»

Запишите причины, по которым ваша компания составила этот документ. Например, если вы беспокоитесь о том, что вас могут взломать, включите «обеспечить безопасность нашей компании» как часть заявления о миссии вашей компании, а затем сосредоточьтесь на защите вашей сети от хакеров.

7. Знайте свою аудиторию

Кого вы пытаетесь обезопасить с помощью этого документа? Вы пытаетесь защитить клиентов или сотрудников? Как насчет обоих? Определение вашей аудитории поможет вам узнать, кто должен читать эту политику, а также поможет вам решить, какой язык использовать в определенных разделах документа.

программа-вымогатель-вредоносное ПО-кибербезопасность-вирус-шпионское-преступление-взлом-спам

8. Используйте «сетевой периметр» вместо «брандмауэр»

Это может показаться небольшим изменением, но использование слова «брандмауэр» сразу же заставляет вашу аудиторию защищаться. Чем более техническими они являются, тем больше они будут признавать брандмауэр как термин, используемый только теми, кто находится внутри сети. Для всех остальных это сбивающее с толку слово, которое звучит так, будто оно принадлежит другой области.

Кроме того, если вы хотите избежать запутанных дискуссий о том, что именно представляет собой ваша «сеть», вам следует использовать формулировку, которая менее определенна, чем «сетевой периметр».

9. Не используйте слово «хакер»

За исключением тех случаев, когда речь идет о ком-то, обладающем обширными знаниями о компьютерах или сетях, который использует свои навыки в незаконных целях. Это слово относится только к компьютерным преступникам, поэтому в остальной части вашего документа оно не нужно, и это создаст путаницу для ваших читателей.

Используйте термин «агрессор». Должно быть очевидно, что злоумышленник имеет злой умысел, в то время как хакеру просто нравится находить способы использовать программное и аппаратное обеспечение для развлечения и получения прибыли!

10. Используйте «данные» вместо «информации»

Это может показаться нелогичным, поскольку «информация» технически является подмножеством «данных», но вы хотите, чтобы люди думали о данных как о чем-то, имеющем внутреннюю ценность, в то время как информация не имеет реальной ценности, пока она не проанализирована или не объединена с другими частями информации.

Данные — это более современное слово для обозначения информации, а также более точное. Информация может быть любым видом данных, но данные всегда структурированы в каком-либо формате. Например, это могут быть числа, хранящиеся в файле электронной таблицы, ряд файлов в каталоге сервера или даже просто текст (например, содержимое этой статьи).

Слово «данные» легче понять, поскольку оно напрямую относится к конкретному формату, не подразумевая, что он обязательно является полным или сложным.

Вам могут понравиться: Документы и протоколы, необходимые вашему бизнесу для кибербезопасности.

11. Не используйте слово «уязвимость и слабость»

Использование слов с негативной коннотацией может сделать ваш текст непрофессиональным. Уязвимость или слабость могут восприниматься вашими читателями как негативные слова и поэтому не должны использоваться в политике безопасности. То же самое касается любого другого слова, которое можно считать отрицательным, например, компромисс или угроза.

пароль-кибербезопасность-взлом-блокировка

Лучше использовать слова, которые имеют положительные коннотации, такие как сила или защита. Это помогает установить позитивный тон с самого начала и помогает направить внимание ваших читателей на то, на чем вы хотите, чтобы они сосредоточились: на положительных аспектах написания политики безопасности.

12. Используйте «программное обеспечение», а не «приложение» или «приложение»

Слово «программное обеспечение» является более профессиональным и с меньшей вероятностью неправильного использования, чем любой из этих других терминов, которые часто сбивают с толку. Например, приложение используется на вашем компьютере для запуска программ, в то время как приложение — это что-то вроде приложения для мобильного телефона, которое вы используете для игр или отслеживания калорий (это НЕ то, о чем вы хотите думать при рассмотрении вопросов кибербезопасности).

13. Используйте «реляционную базу данных», а не «систему управления реляционной базой данных» или (например, Oracle)

Не позволяйте определенным брендам завладеть вашим документом! Идея здесь состоит в том, чтобы быть описательным, а не конкретным брендом. И поверьте нам, если вы пишете эту политику для офиса в школе или бизнес-комплексе с большим количеством сотрудников, вы будете рады, что сделали это, потому что каждый поймет, что вы подразумеваете под реляционной базой данных, даже если они используют разные бренды в своей работе. повседневная трудовая жизнь.

14. Осторожнее с жаргоном

Большинство политик предназначены для нетехнического персонала и руководства, поэтому по возможности старайтесь объяснять технические термины простым языком. Не заставляйте людей искать слова, которых они не знают, чтобы понять, что вы пытаетесь сказать. Политика должна быть достаточно доступной, чтобы они могли просто прочитать ее, не обращаясь к внешнему источнику через каждые несколько предложений.

кибербезопасность-защита-конфиденциальность-шифрование-безопасность-пароль-брандмауэр-доступ

15. Поймите свои цели

Если вы пытаетесь защитить себя от финансовых потерь или судебных исков, имеет смысл ввести определенные ограничения. Однако, если вы пытаетесь защитить себя от судебных исков из-за небрежности или действий сотрудников (например, кто-то получил доступ к данным, причинившим вред третьим лицам), то вряд ли вам понадобится как можно больше ограничений.

16. Сделайте это коротким

У пользователей короткая продолжительность концентрации внимания. Если ваша политика состоит более чем из одной страницы, она слишком длинная; и если это более пяти страниц, то, вероятно, это слишком много для большинства людей, чтобы вообще утруждать себя чтением. Никто не хочет читать энциклопедию, когда пытается узнать что-то новое, даже если вы пытаетесь рассказать им о чем-то действительно важном! Делайте вещи простыми и легко читаемыми, сохраняя свою политику как можно более краткой.

17. Поймите свои риски

Чтобы разработать эффективную политику кибербезопасности, организация должна понимать, какие данные для нее наиболее важны. Будьте готовы к наихудшему сценарию относительно того, как эти данные могут быть затронуты кибератакой. Каждая компания отличается. Например, малый бизнес может не иметь доступа к коммерческой тайне или конфиденциальной финансовой информации; хотя для них по-прежнему важно защищать информацию, которой они владеют.

Вам также может понравиться: Как машинное обучение используется в кибербезопасности?

Заключение

бизнес-облако-кибербезопасность-технология-ноутбук-офис-программист-работа

При применении на практике эти советы должны помочь сделать процесс написания формальной политики кибербезопасности гораздо менее пугающим и напряженным. От создания темы до поддержания ее простой и понятной. Надеюсь, они все изменят. Итак, когда вы будете готовы заняться своей политикой кибербезопасности, убедитесь, что вы приняли во внимание эти 17 советов; они должны значительно улучшить ваш конечный продукт.

 Эта статья написана Жасмин Поуп. Жасмин — очень компетентный писатель, известный своей способностью создавать привлекательный контент. Она пишет о текущих событиях и проводит углубленные исследования на актуальные темы. Многие начинающие писатели были воодушевлены ее преданностью и оптимистичным мировоззрением. Она оставалась активной на различных академических веб-сайтах, таких как Perfect Essay Writing, где делилась своими знаниями со студентами и преподавателями.