Szczegóły techniczne

Polityka bezpieczeństwa musi opisywać, co próbujesz chronić i dlaczego wcale nie musi szczegółowo informować, jak zamierzasz to zrobić. Dużo lepiej napisać jedno stronicowy dokument, który mówi co i dlaczego słowami zrozumiałymi dla każdego, niż stustronicowy dokument, który opisuje jak, ale jest zrozumiały tylko dla wyższego personelu technicznego.

Rozważmy politykę, która zawiera następujący wymóg: Do uwierzytelniania wszystkich połączeń przychodzących ze świata zewnętrznego będą wykorzystywane niepowtarzalne hasła, aby uniemożliwić potencjalnym napastnikom przechwycenie powtarzalnych haseł w wyniku monitorowania takich połączeń.

Taki wymóg jest znacznie użyteczniejszy niż poniższy: We wszystkich połączeniach przychodzących będzie używany OTP . Dlaczego? Ponieważ pierwszy wymóg określa, co powinno być chronione i dlaczego, natomiast pytanie jak pozostaje otwarte, aby personel techniczny mógł wybrać najlepszą metodę.

Jeszcze lepsza byłaby polityka zawierająca następujące stwierdzenie: Zwykłe hasła są często wykradane i używane ponownie, kiedy przechodzą przez sieci. Nie będziemy więc używać haseł nadających się do ponownego użytku, łącząc się przez sieci, których nie kontroluje nasza firma.

Ta polityka przekazuje identyczne informacje, nie odwołując się do urzędowego języka. Oprócz tego lepiej wyjaśnia pewne rzeczy. Na przykład, czy w pierwotnym dokumencie sformułowanie „świat zewnętrzny” obejmuje także firmy, które mają specjalne związki z twoją? Dla ciebie jest to zapewne oczywiste, ale niekoniecznie dla dyrektorów, którzy organizują współpracę z tymi firmami. Przeredagowana wersja jasno określa główne kryterium (choć nadal można mieć wątpliwości, które sieci je spełniają).

Polityka może pomóc ci w wybraniu i wdrożeniu technologii, ale nie powinna jej określać. Często łatwiej jest nakłonić kierownictwo do przyjęcia ogólnej polityki niż konkretnej technologii.