By | March 23, 2022

ผู้ใช้ตามบ้านส่วนใหญ่สามารถหลับตาและส่งต่อบทความนี้ได้อย่างคล่องแคล่ว ไม่ได้หมายความว่าใช้ไม่ได้ เพียงผู้ใช้ตามบ้านไม่กี่คนที่อยากจะจัดหนักและเป็นทางการกับครอบครัว และบทความนี้ครอบคลุมหัวข้อที่น่ากลัวของ นโยบายความปลอดภัย

นโยบายความปลอดภัยคืออะไร?

นโยบายความปลอดภัยคือคำสั่ง (โดยปกติเป็นลายลักษณ์อักษร) เกี่ยวกับสิ่งที่ผู้ใช้ระบบของคุณเป็นและไม่ได้รับอนุญาตให้ทำ มักจะครอบคลุมถึงบางแง่มุมของการคว่ำบาตรที่จะถูกนำไปใช้สำหรับการละเมิดนโยบาย (ตอนนี้ คุณเห็นแล้วว่าทำไมเจ้าของเครือข่ายในบ้านถึงไม่นำนโยบายความปลอดภัยมาใช้!)

นโยบายการรักษาความปลอดภัยอย่างละเอียดระบุถึงความชัดเจนและความคลุมเครือ:

  • ถ้าคุณไม่ต้องการให้พนักงานของคุณใช้คอมพิวเตอร์ในที่ทำงานเพื่อท่องเน็ตเพื่อจุดประสงค์ส่วนตัว ให้พูดอย่างนั้น พูดด้วยว่าจะเกิดอะไรขึ้นหากพวกเขาถูกจับได้ว่าทำ และบอกพวกเขาว่าทำไม (การใช้ทรัพยากรทางธุรกิจในทางที่ผิด, เสียเวลา, ค่าใช้จ่ายในการรับส่งข้อมูล, ผลกระทบต่อกระบวนการทางธุรกิจอื่น ๆ , อันตรายจากการติดไวรัส/โทรจัน… รายการนั้น (เกือบ) ไม่มีที่สิ้นสุด)
  • หากคุณไม่อนุญาตให้ผู้ใช้นำแล็ปท็อปกลับบ้าน ก็บอกพวกเขา
  • ภัยคุกคามที่มักพลาดไปอย่างหนึ่งคือผู้ใช้นำแล็ปท็อปของบริษัทกลับบ้านอย่างถูกกฎหมาย แล้วเสียบเข้ากับเครือข่ายภายในบ้านที่ไม่ปลอดภัย ตรวจสอบให้แน่ใจว่าพวกเขาเข้าใจว่านโยบายการรักษาความปลอดภัยของ บริษัท มีผลบังคับใช้ตลอดเวลา แม้ว่าพวกเขาจะอยู่ที่บ้านหรือในวันหยุดในเซเชลส์

ตรวจสอบให้แน่ใจว่านโยบายมีความสอดคล้องและเขียนไว้อย่างชัดเจน ความสม่ำเสมอเป็นสิ่งสำคัญอย่างยิ่งในการนำไปใช้ หากนโยบายใช้ไม่ได้กับลูกชายของเจ้านายหรือกับผู้อำนวยการด้านไอที ให้อธิบายในนโยบายให้ชัดเจนและอธิบายเหตุผล ผู้ใช้มักใช้ข้ออ้าง “ก็เขาทำ แล้วทำไมฉันถึงทำไม่ได้”

แน่นอน ถ้านโยบายใหญ่เกินไปจะไม่มีใครอ่าน ดังนั้นใช้ลูกเล่นของผู้ลงโฆษณาทั้งหมดเพื่อผลักดันให้หน้าแรก: การแจ้งเตือนการเข้าสู่ระบบ ส่วนหน้าของเบราว์เซอร์ที่คุณต้องคลิก ‘อ่านและทำความเข้าใจ’ เพื่อดำเนินการต่อการฝึกอบรม และช่วงถาม & ตอบ ประกาศบอร์ดแจ้งเตือน การตรวจสอบอย่างสม่ำเสมอและการลงโทษที่มีการเผยแพร่อย่างดี ตั้งแต่คำเตือนด้วยวาจาและเป็นลายลักษณ์อักษร จนถึงและรวมถึงการเลิกจ้างสำหรับการละเมิดที่ร้ายแรงหรือซ้ำแล้วซ้ำอีก

และอีกครั้ง โปรดแน่ใจว่าทุกคนรู้เกี่ยวกับเรื่องนี้ คำพูดนั้นพูดอะไร และเกี่ยวข้องกับใคร ปัญหาสำคัญที่มักถูกมองข้ามคือเจ้าหน้าที่อาวุโสควรระมัดระวังในการใช้งานมากกว่าเลขานุการรุ่นน้อง ท้ายที่สุด แล็ปท็อปของผู้อำนวยการฝ่ายการเงินมักจะมีข้อมูลที่อาจทำลายบริษัทได้มากกว่า PDA ของพนักงานขาย!

ทำไมต้องมีนโยบายด้านความปลอดภัย?

นโยบายความปลอดภัยของคุณเป็นเหมือนกรมธรรม์ประกันภัย กรมธรรม์ไม่เคยหยุดอุบัติเหตุหรือป้องกันภัยพิบัติโดยตรง แต่เอกสารดังกล่าว:

  • ทำให้ผู้ใช้ตระหนักถึงสิ่งที่พวกเขาสามารถทำได้และทำไม่ได้ และยังคงอยู่ภายใต้กฎ – พวกเขาเพิกเฉยต่อนโยบายที่ตกอยู่ในอันตราย!
  • บอกผู้ใช้ว่าคุณทราบถึงสิ่งที่พวกเขาทำและสิ่งที่คุณจะดำเนินการหากฝ่าฝืนกฎ
  • ให้กระสุนแก่คุณหากจำเป็นต้องดำเนินการใด ๆ
  • ช่วยให้นักออกแบบไอทีและพนักงานสนับสนุนของคุณมีพื้นฐานในการนำสถาปัตยกรรมความปลอดภัยของคุณไปใช้
  • และที่สำคัญที่สุดคือ ห้ามมิให้ผู้ละเมิดพูดว่า “ฉันไม่รู้…” หรือ “คุณไม่เคยบอกฉันเลย…”

การสร้างนโยบายความปลอดภัยมักเป็นกระบวนการสองทาง – บ่อยครั้ง ผู้ใช้/นักออกแบบ/ฝ่ายสนับสนุนด้านไอทีจะมาหาคุณและพูดว่า “แต่แล้ว…?”

ข้อควรจำ: ไม่มีนโยบายความปลอดภัยใดที่เสร็จสมบูรณ์จริงๆ การย้ายเสาประตู สิ่งอำนวยความสะดวก บริการ และภัยคุกคามใหม่ๆ พัฒนาขึ้น ทีมไอทีของคุณควรทบทวนนโยบายความปลอดภัยของคุณทุกไตรมาส และทีมผู้บริหารด้านไอทีหรือคณะกรรมการควรทบทวนเป็นประจำทุกปี