Contenidos
Política de seguridad de la información pdf
Los directores de informática han tomado nota de los escenarios de pesadilla que pueden suponer las violaciones de datos: ¿recuerdan Sony y Target? Para combatir esta bomba de relojería, han reforzado sus presupuestos de seguridad. El Equipo de Respuesta a Emergencias Informáticas (CERT) de la Universidad Carnegie-Mellon también recomienda crear una política de seguridad a la que se pueda recurrir en caso de que sus sistemas se vean comprometidos.
Una política de seguridad contiene procedimientos organizativos preaprobados que indican exactamente lo que hay que hacer para prevenir los problemas de seguridad y los siguientes pasos si alguna vez se produce una violación de los datos. Los problemas de seguridad pueden incluir:
Puede que tenga una idea de cómo debería ser la política de seguridad de su organización. Pero si quiere verificar su trabajo o recibir indicaciones adicionales, vaya a la página de recursos de plantillas de políticas de seguridad de la información de SANS. Han creado veintisiete políticas de seguridad que puedes consultar y utilizar gratuitamente.
A la hora de crear una política de seguridad, resulta útil plantear preguntas porque, al responderlas, aprenderás lo que es importante para tu organización y los recursos que necesitarás para crear y mantener tu política de seguridad. He aquí algunas preguntas para empezar:
Política de seguridad de la información iso 27001 ejemplos
Cualquier política de seguridad tiene dos partes. Una trata de la prevención de las amenazas externas para mantener la integridad de la red. La segunda se ocupa de reducir los riesgos internos definiendo el uso adecuado de los recursos de la red. Aunque hay muchas tecnologías disponibles para reducir las amenazas externas a la red -cortafuegos, software antivirus, sistemas de detección de intrusos, filtros de correo electrónico y otros-, estos recursos son implementados en su mayoría por el personal de TI y no son detectados por el usuario.Sin embargo, el uso apropiado de la red dentro de una empresa es una cuestión de gestión. La aplicación de una política de uso aceptable (AUP), que por definición regula el comportamiento de los empleados, requiere tacto y diplomacia.
Ejemplos de política de seguridad de la información pdf
Las organizaciones suelen crear múltiples políticas de TI para una variedad de necesidades: recuperación de desastres, clasificación de datos, privacidad de datos, evaluación de riesgos, gestión de riesgos, etc. Estos documentos suelen estar interconectados y proporcionan un marco para que la empresa establezca valores que guíen la toma de decisiones y las respuestas.
Las organizaciones también necesitan una política de seguridad de la información. Este tipo de política proporciona controles y procedimientos que ayudan a garantizar que los empleados trabajen con los activos informáticos de forma adecuada. Este artículo explica las ventajas de crear una política de seguridad de la información, los elementos que debe contener y las mejores prácticas para tener éxito.
El Instituto Nacional de Ciencia y Tecnología (NIST) define una política de seguridad de la información como un “conjunto de directivas, reglamentos, normas y prácticas que prescriben cómo una organización gestiona, protege y distribuye la información”.
Dado que las organizaciones tienen diferentes requisitos empresariales, obligaciones de cumplimiento y personal, no existe una única política de seguridad de la información que sirva para todos. En su lugar, cada departamento de TI debe determinar las opciones de política que mejor sirvan a sus necesidades particulares y crear un documento directo que sea aprobado por las partes interesadas de alto nivel.
Diseñar y aplicar una política de seguridad para una organización
Las políticas de seguridad informática son fundamentales para el éxito de cualquier organización. Son la columna vertebral de todos los procedimientos y deben alinearse con la misión principal de la empresa y su compromiso con la seguridad. Definen qué personal tiene la responsabilidad de qué información dentro de la empresa. Las políticas de seguridad informática conforman la preparación y la respuesta de las organizaciones a los incidentes de seguridad. La seguridad de la información se basa en políticas bien documentadas que son reconocidas y seguidas por todos los miembros de una organización.
Según el SANS Institute, la política de seguridad de una organización establece la norma sobre el modo en que se protegerá la información y los sistemas críticos de la empresa frente a las amenazas internas y externas. Es importante que estas políticas y procedimientos se actualicen en relación con su evaluación anual de riesgos de seguridad.
Las políticas de seguridad informática deben incluir siempre el propósito, el alcance, la política y los procedimientos, si no figuran en un documento separado. Deben describir las normas de comportamiento de los usuarios y del personal de TI, al tiempo que identifican las consecuencias de su incumplimiento. Las políticas deben definir los principales riesgos dentro de la organización y proporcionar directrices sobre cómo reducir estos riesgos. Las políticas deben personalizarse en función de los activos valiosos y los mayores riesgos de la organización.