17 consejos geniales para redactar una política de seguridad cibernética que no apesta

Publicado: 2022-06-08

Las políticas de seguridad cibernética son, en cierto modo, una forma de modelo legal, con el lugar de responsabilidad en el autor de la política. Pero como toda escritura legal, nada es obviamente correcto o incorrecto. Entonces, es fácil decir que necesita una política de ciberseguridad. Es más difícil llegar allí. Aquí hay 17 pasos para crear una política de seguridad cibernética de alta calidad que no apeste.

Todos sabemos la importancia de la ciberseguridad, especialmente para las organizaciones que manejan información altamente sensible. Después de todo, las pérdidas de una sola violación de datos pueden tener un efecto paralizante en su empresa. Pero incluso teniendo en cuenta las posibles consecuencias de una infracción, redactar una política de seguridad cibernética efectiva puede ser un desafío.

Hay muchos factores que se deben tener en cuenta al crear su política, como por ejemplo, cómo manejar los informes de infracciones o cuál debería ser el procedimiento si un empleado pierde su dispositivo móvil. La mejor manera de asegurarse de que está cubriendo todas las bases es comenzar con estos 17 consejos:

Mostrar tabla de contenido
  • 1. ¡No lo arruines!
  • 2. ¡No lo compliques demasiado!
  • 3. ¡Hazlo divertido!
  • 4. ¡Conéctalo a recompensas!
  • 5. Asegúrese de obtener la aceptación de todos los involucrados
  • 6. Comience con 'Por qué'
  • 7. Conoce a tu audiencia
  • 8. Use "perímetro de red" en lugar de "cortafuegos"
  • 9. No uses la palabra “hacker”
  • 10. Usa “datos” en lugar de “información”
  • 11. No uses la palabra “vulnerabilidad y debilidad”
  • 12. Use "software", no "aplicación" o "aplicación"
  • 13. Usar "base de datos relacional", no "sistema de gestión de base de datos relacional" o (es decir, Oracle)
  • 14. Ten cuidado con la jerga
  • 15. Comprende tus objetivos
  • 16. Hazlo corto
  • 17. Comprenda sus riesgos
  • Conclusión

1. ¡No lo arruines!

Punto 1

Es posible que sienta la tentación de omitir este paso. Pero si va a implementar una política de seguridad cibernética, debe ser clara y exhaustiva. Si algunas partes de la política se leen como si fueran para otro sistema o si fueron escritas por alguien que no sea usted, simplemente no funcionará. Asegúrese de que cada sección sea breve y aborde claramente cualquier pregunta que puedan tener sus empleados.

Recomendado para usted: 7 formas en que el error humano puede causar violaciones de ciberseguridad.

2. ¡No lo compliques demasiado!

Punto 2

Por otro lado, si intenta abordar todas las situaciones posibles en su política de seguridad cibernética, es casi seguro que nadie la leerá por completo. ¿Y de qué sirve una póliza si nadie sabe que la hay? Mantenga las cosas simples para que las personas no sientan dificultades.

3. ¡Hazlo divertido!

punto 3

Algunas personas pueden no darse cuenta. Pero si hace que una política de seguridad cibernética sea divertida, más personas realmente la leerán y tratarán de aprender de ella. No se necesita mucho; simplemente agregue un poco de lenguaje bromista aquí y allá o incluya algunas imágenes tontas de gatos en el apéndice. ¡Este pequeño toque marcará la diferencia para asegurarse de que todos sigan las reglas!

ciberseguridad-internet-ordenador-red-protección-privacidad-seguridad

4. ¡Conéctalo a recompensas!

Punto 4

Si desea que las personas sigan una política de seguridad cibernética, vincúlela a algo que realmente deseen (como obtener un aumento de sueldo). No reparta aumentos al azar, hágalos depender de qué tan bien los empleados hayan adoptado sus reglas y pautas. ¡Los motivará incluso más de lo que les hubiera prometido solo un aumento de sueldo!

5. Asegúrese de obtener la aceptación de todos los involucrados

Punto 5

No es bueno si un grupo de personas sabe que serán responsables de seguir la política y los pone nerviosos, si no sienten que han estado involucrados en su creación y no están de acuerdo con ella. entonces no lo seguirán. Inclúyalos en el proceso; asegúrese de que nadie se sienta excluido para que estas políticas funcionen mejor para todos.

6. Comience con 'Por qué'

Punto 6

Escriba las razones por las que su empresa ha elaborado este documento. Por ejemplo, si le preocupa que lo pirateen, incluya "garantizar la seguridad de nuestra empresa" como parte de la declaración de misión de su empresa y luego concéntrese en mantener su red a salvo de los piratas informáticos.

7. Conoce a tu audiencia

Punto 7

¿A quién estás tratando de mantener a salvo con este documento? ¿Está tratando de proteger a los clientes o empleados? ¿Qué pasa con ambos? Definir su audiencia lo ayuda a saber quién debería leer esta política y también lo ayudará a decidir qué idioma usar en ciertas secciones del documento.

ransomware-malware-cybersecurity-virus-spyware-crime-hacking-spam

8. Use "perímetro de red" en lugar de "cortafuegos"

punto 8

Puede parecer un pequeño cambio, pero usar la palabra cortafuegos inmediatamente pone a tu audiencia a la defensiva. Cuanto más técnicos sean, más reconocerán firewall como un término usado solo por aquellos que están dentro de la red. Para todos los demás, es una palabra confusa que suena como si perteneciera a un campo diferente.

Además, si quiere evitar entrar en discusiones complicadas sobre qué constituye exactamente su "red", querrá usar un lenguaje que sea menos definitivo que "perímetro de la red".

9. No uses la palabra “hacker”

punto 9

Excepto cuando se refiere a alguien con amplio conocimiento de computadoras o redes que utiliza sus habilidades para fines ilegales. Esta palabra solo se refiere a los delincuentes informáticos, por lo que no es necesaria en el resto de su documento y creará confusión para sus lectores.

Utilice el término "atacante". Debería ser obvio que un atacante tiene malas intenciones, mientras que un hacker simplemente disfruta encontrando formas de explotar el software y el hardware para divertirse y obtener ganancias.

10. Usa “datos” en lugar de “información”

punto 10

Esto puede sonar contradictorio ya que la "información" es técnicamente un subconjunto de "datos", pero quiere que las personas piensen en los datos como algo con valor intrínseco, mientras que la información no tiene valor real hasta que se analiza o se combina con otras piezas de información.

Datos es una palabra más moderna para información y también es más precisa. La información puede ser cualquier tipo de datos, pero los datos siempre están estructurados en algún formato. Por ejemplo, podrían ser números almacenados en un archivo de hoja de cálculo, una serie de archivos en un directorio de servidor o incluso texto sin formato (es decir, el contenido de este artículo).

La palabra datos es más fácil de entender porque se refiere directamente al formato específico sin implicar que sea necesariamente completo o complejo.

Te puede interesar: Documentos y Protocolos que Tu Negocio Necesita para la Ciberseguridad.

11. No uses la palabra “vulnerabilidad y debilidad”

punto 11

Usar palabras que tienen connotaciones negativas puede hacer que tu escritura suene poco profesional. Los lectores pueden percibir la vulnerabilidad o la debilidad como palabras negativas y, por lo tanto, no deben usarse en una política de seguridad. Lo mismo ocurre con cualquier otra palabra que pueda considerarse negativa, como compromiso o amenaza.

contraseña-ciberseguridad-piratería-bloqueo

Es mejor utilizar palabras que tengan connotaciones positivas como fuerza o protección. Esto ayuda a establecer un tono positivo desde el principio y ayuda a dirigir la atención de sus lectores hacia lo que quiere que se centren: los aspectos positivos de escribir una política de seguridad.

12. Use "software", no "aplicación" o "aplicación"

punto 12

La palabra "software" es más profesional y es menos probable que se utilice de forma indebida que cualquiera de estos otros términos, que a menudo son confusos. Por ejemplo, una aplicación se usa en su computadora para ejecutar programas, mientras que una aplicación es algo así como una aplicación de teléfono móvil que usa para jugar o hacer un seguimiento de las calorías (que NO es en lo que quiere pensar al considerar los problemas de seguridad cibernética).

13. Usar "base de datos relacional", no "sistema de gestión de base de datos relacional" o (es decir, Oracle)

Punto 13

¡No permita que marcas específicas se apoderen de su documento! La idea aquí es ser descriptivo en lugar de específico de la marca. Y confíe en nosotros, si está escribiendo esta política para una oficina en una escuela o complejo comercial con muchos empleados, se alegrará de haberlo hecho porque todos entenderán lo que quiere decir con una base de datos relacional, incluso si usan diferentes marcas en sus vida laboral cotidiana.

14. Ten cuidado con la jerga

Punto 14

La mayoría de las políticas están pensadas para el personal y la gerencia que no son técnicos, así que trate de explicar los términos técnicos en términos sencillos siempre que sea posible. No hagas que la gente tenga que buscar palabras que no conocen para entender lo que estás tratando de decir. La política debe ser lo suficientemente accesible para que puedan simplemente leerla sin tener que consultar una fuente externa cada pocas oraciones.

ciberseguridad-protección-privacidad-cifrado-seguridad-contraseña-firewall-acceso

15. Comprende tus objetivos

Punto 15

Si está tratando de protegerse de una pérdida financiera o de ser demandado, entonces tiene sentido implementar ciertas restricciones. Sin embargo, si está tratando de protegerse de demandas por negligencia o acción de un empleado (es decir, alguien accedió a datos que causaron daño a terceros), entonces es menos probable que necesite tantas restricciones como sea posible.

16. Hazlo corto

Punto 16

Los usuarios tienen periodos de atención cortos. Si su póliza tiene más de una página, es demasiado larga; y si tiene más de cinco páginas, probablemente sea demasiado largo para que la mayoría de la gente se moleste en leerlo. Nadie quiere leer una enciclopedia cuando está tratando de aprender algo nuevo, ¡incluso si está tratando de educarlos sobre algo realmente importante! Mantenga las cosas simples y fáciles de leer manteniendo su política lo más concisa posible.

17. Comprenda sus riesgos

Punto 17

Para diseñar una política de ciberseguridad efectiva, una organización necesita comprender qué datos son más importantes para ellos. Esté preparado para el peor de los casos con respecto a cómo esos datos podrían verse afectados por un ataque cibernético. Cada empresa es diferente. Por ejemplo, es posible que una pequeña empresa no tenga acceso a secretos comerciales o información financiera confidencial; aunque sigue siendo importante para ellos proteger la información que poseen.

También te puede interesar: ¿ Cómo se utiliza el aprendizaje automático en la ciberseguridad?

Conclusión

negocio-nube-ciberseguridad-tecnologia-laptop-oficina-programador-trabajo

Cuando se ponen en práctica, estos consejos deberían ayudar a que el proceso de redactar una política formal de ciberseguridad sea mucho menos intimidante y estresante. Desde crear un tema hasta mantenerlo simple y fácil de entender. Con suerte, marcarán la diferencia. Entonces, cuando esté listo para abordar su política de seguridad cibernética, asegúrese de tener en cuenta estos 17 consejos; deberían mejorar mucho su producto final. 

 Este artículo está escrito por Jasmine Pope. Jasmine es una escritora muy competente que se destaca por su capacidad para crear contenido atractivo. Escribe sobre eventos actuales y realiza estudios en profundidad sobre temas relevantes. Muchos aspirantes a escritores se han sentido alentados por su devoción y su perspectiva optimista. Se mantuvo activa en varios sitios web académicos como Perfect Essay Writing, donde compartió sus conocimientos con estudiantes y profesores.