Cara menulis laporan risiko yang lebih baik - Bagaimana-Untuk

Cara menulis laporan risiko yang lebih baik

Mengartikulasikan risiko secara jelas dan ringkas dapat sangat membantu perusahaan Anda dalam membuat keputusan yang tepat. Contoh tipikal dari komunikasi risiko yang buruk adalah seperti ini:

Anda: Kerentanan baru yang disebut heartbleed. Ini sangat serius.
Manajer: Apa dampaknya?
Anda: Apa pun yang menggunakan OpenSSL berpotensi terbuka.
Manajer: Apa yang menggunakan OpenSSL?
Anda: Segalanya
Manajer: Apakah kita diretas?
Anda: Ini tidak sesederhana itu.
Manajer: Mengapa ini lebih serius daripada yang terakhir?

Mari kita lihat bagaimana kita dapat memperbaikinya:

Total 6 langkah

Langkah 1: Struktur pesan Anda


Menulis pernyataan risiko pada dasarnya bercerita. Ketika datang untuk mencari tahu bagaimana menyusun satu, sering kali dapat membantu untuk melihat dunia jurnalisme berita.

Ada satu kiasan jurnalistik yang sangat saya suka disebut Piramida Terbalik. Ini digunakan oleh hampir setiap surat kabar untuk menyusun struktur yang lebih baik dan memprioritaskan fakta dari cerita yang diberikan.

Meskipun saya tidak mengatakan kepada Anda untuk menulis penilaian risiko Anda seperti sesuatu yang akan Anda lihat di Telegraph atau The Times, ini adalah sesuatu yang benar-benar layak dipelajari, karena akan membuatnya lebih mudah untuk dipahami oleh pembaca non-teknis. Begini cara kerjanya.

Langkah 2: Judulnya

Dalam sepotong teks yang ditulis dengan gaya Piramida Terbalik, paragraf pertama pada dasarnya merangkum cerita. Ini berisi "5 Mengapa" (Siapa, Apa, Di mana, Kapan & Mengapa). Ukuran paragraf pertama yang berhasil adalah apakah itu memungkinkan pembaca untuk memahami esensi dari apa yang terjadi, tanpa harus membaca lebih lanjut. Jika Anda berbicara tentang Heartbleed, misalnya, itu mungkin terlihat seperti ini:

“Ada kerentanan yang ditemukan beberapa saat yang lalu disebut heartbleed. Itu ada di perpustakaan kriptografi OpenSSL, yang digunakan oleh jutaan server untuk komunikasi yang aman. "

Langkah 3: Tambahkan detail

Paragraf berikut kemudian harus menambahkan lebih detail. Semakin relevan detail peristiwa atau cerita, semakin jauh hal itu akan muncul dalam penilaian risiko Anda. Menggunakan contoh Heartbleed, Anda akan berbicara tentang konsekuensi kerentanan, dan dampaknya:

"Cacat ini bisa membuat penyerang mencuri kunci pribadi server, cookie sesi, dan kata sandi, dan berisiko terhadap keamanan komunikasi online di seluruh dunia."

"Diperkirakan sekitar 17% (atau 500.000) server aman Internet rentan terhadap Heartbleed. Kerentanan tidak memengaruhi server yang menjalankan implementasi TLS lainnya, seperti GnuTLS, Layanan Keamanan Jaringan Mozilla, atau implementasi TLS Microsoft sendiri."

Langkah 4: Kontekstualisasikan

Dengan rincian yang relevan di luar jalan, sekarang Anda memiliki kesempatan untuk mengontekstualisasikan kerentanan sebelum Anda menghubungkannya kembali ke pembaca. Jangan ragu untuk menyebutkan detail teknis, pernyataan dari departemen TI lain, atau apa yang Anda ketahui tentang lingkungan Anda.

Jika Anda senang bahwa pembaca mendapat informasi yang cukup tentang cara kerja kerentanan, dan risiko yang ditimbulkannya terhadap sistem yang terpengaruh, Anda harus menyoroti relevansinya dengan pembaca dan organisasi.

"Kerentanan ini hadir dalam sebagian besar infrastruktur TI kami. Saat ini, tidak ada mekanisme deteksi atau audit yang diketahui untuk menentukan apakah kami diserang, atau diserang. Fakta bahwa lalu lintas terenkripsi kami dapat dibaca oleh orang lain menciptakan paparan risiko tinggi. "

Langkah 5: Ajakan untuk bertindak

Seruan untuk bertindak pada dasarnya seperti apa rasanya. Anda meminta pembaca untuk melakukan hal tertentu. Dalam konteks pernyataan risiko, itu mungkin membaca sesuatu seperti ini:

"Saat ini, aku akan memulai audit sistem kami untuk melihat tingkat keparahan paparan kami terhadap Heartbleed. Setelah itu selesai, aku akan segera mulai menambal. Tolong atur pertemuan semua tangan sore ini."

Tindakan itu sendiri tergantung pada kebutuhan Anda. Itu bisa sebesar meminta pembaca untuk menetapkan lebih banyak dana atau karyawan untuk masalah tertentu, atau sekecil hanya meminta mereka untuk mengirim email kepada Anda jika mereka memiliki pertanyaan lebih lanjut.

Apa pun itu, jika Anda memasukkan semua elemen ini, pernyataan risiko Anda akan memungkinkan Anda untuk mengartikulasikan risiko dengan tepat kepada pembaca Anda. Mereka sekarang dalam posisi yang lebih baik untuk memahami risiko, dan menindaklanjutinya.

Langkah 6: Menyempurnakan teks Anda

Sebelum Anda menyelesaikan dan menepuk punggung Anda untuk pekerjaan yang dilakukan dengan baik, pastikan penilaian risiko Anda terbaca dengan baik. Selain mendapatkan tata bahasa dan ejaan yang tepat, Anda harus selalu berusaha memastikan penilaian Anda mengalir dengan baik.

Saya tahu ini kedengarannya agak konyol, tetapi cobalah membaca bagian Anda dengan keras untuk diri sendiri. Setiap kali saya melakukannya, saya selalu menangkap kesalahan yang saya lewatkan dalam proofreading.
Jika Anda berada di lingkungan kantor yang ramai di mana itu tidak mungkin, pertimbangkan untuk menggunakan program teks ke ucapan. Ini memiliki efek yang sama.

Meskipun kadang-kadang bisa sedikit hit-or-miss, Anda mungkin juga ingin menggunakan program proofreading otomatis, seperti Hemingway Editor atau Expresso App. Aplikasi web gratis ini akan mengidentifikasi bidang yang menjadi perhatian dalam tulisan Anda, seperti penggunaan suara pasif, kalimat yang terlalu rumit, penyalahgunaan kata keterangan, dan paragraf yang terlalu panjang.

Terakhir, jangan takut untuk membagikan draft Anda dengan kolega sebelum mengirimnya ke penerima yang dimaksud. Mereka mungkin menangkap sesuatu yang mungkin Anda lewatkan saat mengedit, atau memiliki wawasan dan detail tambahan untuk ditambahkan ke dokumen Anda.

Menyatukan semuanya, pernyataan risiko kami sekarang terlihat seperti ini:

"Ada kerentanan yang ditemukan beberapa saat yang lalu disebut heartbleed. Itu ada di perpustakaan kriptografi OpenSSL, yang digunakan oleh jutaan server untuk komunikasi yang aman.

Cacat ini dapat menyebabkan penyerang mencuri kunci pribadi server, cookie sesi, dan kata sandi, dan berisiko terhadap keamanan komunikasi online di seluruh dunia.

Diperkirakan sekitar 17% (atau 500.000) server aman Internet rentan terhadap Heartbleed. Kerentanan tidak memengaruhi server yang menjalankan implementasi TLS lainnya, seperti GnuTLS, Layanan Keamanan Jaringan Mozilla, atau implementasi TLS Microsoft sendiri.
Kerentanan ini hadir dalam sebagian besar infrastruktur TI kami. Saat ini, tidak ada mekanisme deteksi atau audit yang diketahui yang tersedia untuk menentukan apakah kita diserang, atau diserang. Fakta bahwa lalu lintas terenkripsi kami dapat dibaca oleh orang lain menciptakan eksposur risiko tinggi.

Saat ini, saya akan memulai audit sistem kami untuk melihat tingkat keparahan paparan kami terhadap Heartbleed. Setelah selesai, saya akan mulai menambal segera. Silakan atur pertemuan all-tangan sore ini. "

Mengkomunikasikan risiko kepada manajemen dan pengguna non-teknis bisa menjadi perjuangan berat. Namun, dengan memastikan bahwa detail terstruktur dengan baik dan jelas, Anda dapat menjamin bahwa laporan risiko Anda akan memiliki dampak maksimum yang diinginkan.