17 coole Tipps zum Schreiben einer Cybersicherheitsrichtlinie, die nicht scheiße ist

Cybersicherheitsrichtlinien sind in gewisser Weise eine Art rechtlicher Standard, wobei die Haftung beim Verfasser der Richtlinie liegt. Aber wie bei allen juristischen Schriften ist nichts offensichtlich richtig oder falsch. Es ist also leicht zu sagen, dass Sie eine Cybersicherheitsrichtlinie benötigen. Es ist schwieriger, dorthin zu gelangen. Hier sind 17 Schritte zur Erstellung einer qualitativ hochwertigen Cybersicherheitsrichtlinie, die nicht scheiße ist.

Wir alle wissen, wie wichtig Cybersicherheit ist, insbesondere für Unternehmen, die mit hochsensiblen Informationen umgehen. Schließlich können die Verluste einer einzigen Datenschutzverletzung lähmende Auswirkungen auf Ihr Unternehmen haben. Aber selbst wenn man die möglichen Folgen eines Verstoßes im Auge behält, kann das Verfassen einer wirksamen Cybersicherheitsrichtlinie eine Herausforderung sein.

Bei der Erstellung Ihrer Richtlinie müssen viele Faktoren berücksichtigt werden, z. B. wie mit Meldeverstößen umgegangen wird oder wie vorgegangen werden sollte, wenn ein Mitarbeiter sein Mobilgerät verliert. Um sicherzustellen, dass Sie alle Grundlagen abdecken, beginnen Sie am besten mit diesen 17 Tipps:

1. Verfälschen Sie es nicht!

Sie könnten versucht sein, diesen Schritt zu überspringen. Wenn Sie jedoch eine Cybersicherheitsrichtlinie umsetzen möchten, muss diese klar und gründlich sein. Wenn sich einige Teile der Richtlinie so lesen, als wären sie für ein anderes System gedacht oder von jemand anderem als Ihnen geschrieben worden, funktioniert das einfach nicht. Stellen Sie sicher, dass jeder Abschnitt kurz ist und alle Fragen Ihrer Mitarbeiter klar beantwortet.

Für Sie empfohlen: 7 Möglichkeiten, wie menschliches Versagen zu Verstößen gegen die Cybersicherheit führen kann.

2. Machen Sie es nicht zu kompliziert!

Wenn Sie andererseits versuchen, jede mögliche Situation in Ihrer Cybersicherheitsrichtlinie zu berücksichtigen, ist es fast sicher, dass niemand sie jemals vollständig lesen wird. Und was nützt eine Police, wenn niemand weiß, dass es eine gibt? Halten Sie die Dinge einfach, damit die Leute keine Schwierigkeiten verspüren.

3. Machen Sie Spaß!

Manche Leute merken es vielleicht nicht. Aber wenn man eine Cybersicherheitsrichtlinie unterhaltsam gestaltet, werden tatsächlich mehr Menschen sie lesen und versuchen, daraus zu lernen. Es braucht nicht viel; Fügen Sie einfach hier und da eine witzige Sprache hinzu oder fügen Sie ein paar alberne Bilder von Katzen in den Anhang ein. Diese kleine Geste wird den entscheidenden Unterschied machen und dafür sorgen, dass sich alle an die Regeln halten!

4. Verknüpfen Sie es mit Belohnungen!

Wenn Sie möchten, dass die Leute eine Cybersicherheitsrichtlinie befolgen, verknüpfen Sie sie mit etwas, das sie wirklich wollen (z. B. eine Gehaltserhöhung). Verteilen Sie Gehaltserhöhungen nicht wahllos, sondern machen Sie sie davon abhängig, wie gut die Mitarbeiter Ihre Regeln und Richtlinien übernommen haben. Sie werden sie noch mehr motivieren, als wenn Sie ihnen nur eine Gehaltserhöhung versprechen würden!

5. Stellen Sie sicher, dass Sie die Zustimmung aller Beteiligten erhalten

Es nützt nichts, wenn viele Leute wissen, dass sie für die Einhaltung der Richtlinie verantwortlich gemacht werden, und es sie nervös macht – wenn sie nicht das Gefühl haben, an der Ausarbeitung der Richtlinie beteiligt gewesen zu sein und damit nicht einverstanden zu sein, dann werden sie ihm nicht folgen. Beziehen Sie sie in den Prozess ein; Stellen Sie sicher, dass sich niemand ausgeschlossen fühlt, damit diese Richtlinien für alle am besten funktionieren.

6. Beginnen Sie mit dem „Warum“

Notieren Sie den Grund bzw. die Gründe, warum Ihr Unternehmen dieses Dokument erstellt hat. Wenn Sie beispielsweise befürchten, gehackt zu werden, nehmen Sie „Gewährleistung der Sicherheit unseres Unternehmens“ in das Leitbild Ihres Unternehmens auf und konzentrieren Sie sich dann darauf, Ihr Netzwerk vor Hackern zu schützen.

7. Kennen Sie Ihr Publikum

Wen möchten Sie mit diesem Dokument schützen? Versuchen Sie, Kunden oder Mitarbeiter zu schützen? Was ist mit beiden? Durch die Definition Ihrer Zielgruppe wissen Sie, wer diese Richtlinie lesen soll, und können außerdem entscheiden, welche Sprache in bestimmten Abschnitten des Dokuments verwendet werden soll.

8. Verwenden Sie „Netzwerkperimeter“ anstelle von „Firewall“

Es mag wie eine kleine Änderung erscheinen, aber die Verwendung des Wortes „Firewall“ bringt Ihr Publikum sofort in die Defensive. Je technischer sie sind, desto mehr werden sie erkennen, dass der Begriff „Firewall“ nur von Personen innerhalb des Netzwerks verwendet wird. Für alle anderen ist es ein verwirrendes Wort, das so klingt, als gehörte es in einen anderen Bereich.

Wenn Sie komplizierte Diskussionen darüber vermeiden möchten, was genau Ihr „Netzwerk“ ausmacht, sollten Sie eine Sprache verwenden, die weniger eindeutig ist als „Netzwerkperimeter“.

9. Verwenden Sie nicht das Wort „Hacker“

Außer wenn es sich um jemanden mit umfassenden Computer- oder Netzwerkkenntnissen handelt, der seine Fähigkeiten für illegale Zwecke nutzt. Dieses Wort bezieht sich nur auf Computerkriminelle, daher ist es im Rest Ihres Dokuments nicht erforderlich und wird bei Ihren Lesern Verwirrung stiften.

Verwenden Sie den Begriff „Angreifer“. Es sollte offensichtlich sein, dass ein Angreifer böse Absichten hat, während ein Hacker einfach Spaß daran hat, Wege zu finden, Software und Hardware aus Spaß und Profit auszunutzen!

10. Verwenden Sie „Daten“ statt „Informationen“

Das klingt möglicherweise kontraintuitiv, da „Informationen“ technisch gesehen eine Teilmenge von „Daten“ sind. Sie möchten jedoch, dass Menschen Daten als etwas mit intrinsischem Wert betrachten, während Informationen keinen wirklichen Wert haben, bis sie analysiert oder mit anderen Informationen kombiniert werden.

Daten sind ein moderneres Wort für Information und auch präziser. Informationen können jede Art von Daten sein, Daten sind jedoch immer in einem bestimmten Format strukturiert. Es könnte sich beispielsweise um Zahlen handeln, die in einer Tabellenkalkulationsdatei gespeichert sind, um eine Reihe von Dateien in einem Serververzeichnis oder einfach nur um einfachen Text (z. B. den Inhalt dieses Artikels).

Das Wort „Daten“ ist leichter zu verstehen, da es sich direkt auf das spezifische Format bezieht und nicht impliziert, dass es notwendigerweise vollständig oder komplex ist.

Das könnte Ihnen gefallen: Dokumente und Protokolle, die Ihr Unternehmen für die Cybersicherheit benötigt.

11. Verwenden Sie nicht das Wort „Verletzlichkeit und Schwäche“

Die Verwendung von Wörtern mit negativer Konnotation kann dazu führen, dass Ihr Text unprofessionell klingt. Verletzlichkeit oder Schwäche können von Ihren Lesern als negative Worte wahrgenommen werden und sollten daher nicht in einer Sicherheitsrichtlinie verwendet werden. Das Gleiche gilt für jedes andere Wort, das als negatives Wort angesehen werden könnte, wie z. B. Kompromiss oder Drohung.

Es ist besser, Wörter zu verwenden, die eine positive Konnotation wie Stärke oder Schutz haben. Dies trägt dazu bei, von Anfang an eine positive Stimmung zu schaffen und die Aufmerksamkeit Ihrer Leser auf das zu lenken, worauf sie sich konzentrieren sollen: die positiven Aspekte beim Verfassen einer Sicherheitsrichtlinie.

12. Verwenden Sie „Software“, nicht „Anwendung“ oder „App“

Das Wort „Software“ ist professioneller und wird weniger häufig missbräuchlich verwendet als alle anderen Begriffe, die oft verwirrend sind. Beispielsweise wird eine Anwendung auf Ihrem Computer zum Ausführen von Programmen verwendet, während eine App so etwas wie eine Mobiltelefon-App ist, die Sie zum Spielen oder Verfolgen von Kalorien verwenden (worüber Sie bei der Betrachtung von Cybersicherheitsfragen NICHT nachdenken sollten).

13. Verwenden Sie „relationale Datenbank“, nicht „relationales Datenbankverwaltungssystem“ oder (z. B. Oracle)

Lassen Sie nicht zu, dass bestimmte Marken Ihr Dokument übernehmen! Die Idee hier ist, beschreibend und nicht markenspezifisch zu sein. Und vertrauen Sie uns: Wenn Sie diese Richtlinie für ein Büro in einer Schule oder einem Geschäftskomplex mit vielen Mitarbeitern verfassen, werden Sie es nicht bereuen, denn jeder wird verstehen, was Sie unter einer relationalen Datenbank verstehen, auch wenn er in seinem Büro unterschiedliche Marken verwendet Arbeitsalltag.

14. Gehen Sie sparsam mit der Fachsprache um

Die meisten Richtlinien richten sich an nicht technisch versierte Mitarbeiter und Führungskräfte. Versuchen Sie daher, Fachbegriffe nach Möglichkeit in Laiensprache zu erklären. Lassen Sie die Leute nicht nach Wörtern suchen, die sie nicht kennen, um zu verstehen, was Sie sagen wollen. Die Richtlinie sollte so zugänglich sein, dass sie einfach durchgelesen werden kann, ohne alle paar Sätze eine externe Quelle konsultieren zu müssen.

15. Verstehen Sie Ihre Ziele

Wenn Sie sich vor finanziellen Verlusten oder einer Klage schützen möchten, ist es sinnvoll, bestimmte Einschränkungen einzuführen. Wenn Sie sich jedoch vor Klagen aufgrund von Fahrlässigkeit oder Handlungen von Mitarbeitern schützen möchten (z. B. wenn jemand auf Daten zugegriffen hat, die Dritten Schaden zugefügt haben), ist es weniger wahrscheinlich, dass Sie so viele Einschränkungen wie möglich benötigen.

16. Machen Sie es kurz

Benutzer haben eine kurze Aufmerksamkeitsspanne. Wenn Ihre Richtlinie mehr als eine Seite umfasst, ist sie zu lang. Und wenn es mehr als fünf Seiten umfasst, ist es wahrscheinlich zu lang, als dass sich die meisten Leute überhaupt die Mühe machen könnten, es zu lesen. Niemand möchte eine Enzyklopädie lesen, wenn er versucht, etwas Neues zu lernen – selbst wenn Sie versuchen, ihn über etwas wirklich Wichtiges aufzuklären! Halten Sie die Dinge einfach und leicht lesbar, indem Sie Ihre Police so prägnant wie möglich halten.

17. Verstehen Sie Ihre Risiken

Um eine wirksame Cybersicherheitsrichtlinie zu entwerfen, muss eine Organisation verstehen, welche Daten für sie am wichtigsten sind. Seien Sie auf den schlimmsten Fall vorbereitet, wenn es darum geht, wie sich ein Cyberangriff auf Ihre Daten auswirken könnte. Jedes Unternehmen ist anders. Beispielsweise hat ein kleines Unternehmen möglicherweise keinen Zugang zu Geschäftsgeheimnissen oder sensiblen Finanzinformationen; Allerdings ist es für sie immer noch wichtig, die Informationen, die sie besitzen, zu schützen.

Vielleicht interessiert Sie auch: Wie wird maschinelles Lernen in der Cybersicherheit eingesetzt?

Abschluss

Wenn diese Tipps in die Praxis umgesetzt werden, sollten sie dazu beitragen, den Prozess des Verfassens einer formellen Cybersicherheitsrichtlinie deutlich weniger einschüchternd und stressig zu gestalten. Von der Erstellung eines Themas bis hin zur Einfachheit und Verständlichkeit. Sie werden hoffentlich den Unterschied machen. Wenn Sie also bereit sind, Ihre Cybersicherheitsrichtlinie in Angriff zu nehmen, sollten Sie diese 17 Tipps berücksichtigen. Sie sollten Ihr Endprodukt erheblich verbessern.

 Dieser Artikel wurde von Jasmine Pope geschrieben. Jasmine ist eine sehr kompetente Autorin, die für ihre Fähigkeit bekannt ist, überzeugende Inhalte zu erstellen. Sie schreibt über aktuelle Ereignisse und führt vertiefende Studien zu relevanten Themen durch. Viele angehende Schriftsteller wurden durch ihre Hingabe und ihre optimistische Einstellung ermutigt. Sie blieb auf verschiedenen akademischen Websites wie Perfect Essay Writing aktiv, wo sie ihr Wissen mit Studenten und Professoren teilte.