¿Qué es una política de seguridad de la información?

Por qué necesitamos una política de seguridad

En una entrada anterior del blog, describí cómo encajan los procedimientos de seguridad en la biblioteca general de documentación de seguridad de la información de una organización y cómo proporcionan el “cómo” cuando se trata de la aplicación coherente de los controles de seguridad en una organización. Esta entrada del blog le lleva de nuevo a la base del programa de seguridad de una organización: las políticas de seguridad de la información. También cubre por qué son importantes para el programa de seguridad general de una organización y la importancia de la seguridad de la información en el lugar de trabajo. Antes de entrar en los detalles y el propósito de la política de seguridad de la información, echemos un breve vistazo a la seguridad de la información en sí misma.

En pocas palabras, la seguridad de la información es la suma de las personas, los procesos y la tecnología implementados en una organización para proteger los activos de información. También impide la divulgación, la interrupción, el acceso, el uso, la modificación, etc. no autorizados de esos activos de información. Hay tres principios de la seguridad de la información, o tres titulares principales, llamados la tríada CIA: confidencialidad (C), integridad (I) y disponibilidad (A). Se definen como se indica a continuación:

Política de seguridad de la información pdf

En 2020, las violaciones de la seguridad costaron a las empresas una media de 3,86 millones de dólares, pero el coste de los incidentes individuales varió significativamente. El principal factor en la variación de costes fueron las políticas de ciberseguridad y lo bien que se aplicaron. Entre los factores que reducen los costes se encuentran las mejores prácticas de seguridad, como el cifrado y las pruebas de vulnerabilidad, pero la participación del consejo de administración en la creación y aplicación de las políticas de seguridad también tuvo un impacto sustancial.

La seguridad de la organización comienza en la cúspide, con políticas de seguridad de la información claramente definidas que influyen en la forma en que la organización en su conjunto prioriza la seguridad, implementa las mejores prácticas de seguridad y responde a las amenazas.

Las políticas de seguridad de la información son documentos de alto nivel que describen la postura de una organización en materia de seguridad. Suelen contar con el apoyo de los altos ejecutivos y su objetivo es proporcionar un marco de seguridad que guíe a los directivos y empleados de toda la organización.

Las políticas de seguridad de la información rara vez imponen tecnologías y enfoques de seguridad específicos, pero sí definen los objetivos, requisitos y responsabilidades de la organización en materia de seguridad de la información.

Política de seguridad de la empresa

El propósito de esta política es proporcionar un marco de seguridad que garantice la protección de la información de la Universidad contra el acceso no autorizado, la pérdida o el daño, al tiempo que apoya las necesidades de intercambio de información abierta de nuestra cultura académica.    La Información de la Universidad puede ser verbal, digital y/o impresa, controlada individualmente o compartida, autónoma o en red, utilizada para la administración, la investigación, la enseñanza u otros fines.    Las normas y procedimientos relacionados con esta Política de Seguridad de la Información se desarrollarán y publicarán por separado.

Toda la información de la Universidad se clasifica en uno de los cuatro niveles en función de su sensibilidad y de los riesgos asociados a su divulgación.    El nivel de clasificación determina las protecciones de seguridad que deben utilizarse para la información.

Las leyes estatales y federales exigen que el acceso no autorizado a cierta información restringida se comunique a la agencia o agencias correspondientes.    Toda notificación de esta naturaleza a partes externas debe ser realizada por la Oficina del Asesor General o en consulta con ella (véase: Oficina del Asesor General/Privacidad/Informática).

Estructura de la política de seguridad de la información

La seguridad de la información (infosec) se refiere a las políticas, procesos y herramientas diseñadas y desplegadas para proteger la información sensible de la empresa y los activos de datos del acceso no autorizado. La seguridad de la información tiene tres aspectos fundamentales: confidencialidad, integridad y disponibilidad. Esto se conoce como la tríada CIA.

La seguridad de la información (infosec) se refiere a las políticas, procesos y herramientas diseñadas y desplegadas para proteger la información empresarial sensible y los activos de datos del acceso no autorizado. La seguridad de la información tiene tres aspectos fundamentales: confidencialidad, integridad y disponibilidad. Esto se conoce como la tríada CIA.

Casi no hay diferencia entre un conjunto sólido de políticas de seguridad de la información que no se cumplen y no tener ninguna política de seguridad de la información. Las empresas y organizaciones necesitan que sus empleados comprendan lo que se les exige. Todos los empleados deberán demostrar su conocimiento y cumplimiento de las políticas de seguridad de la información pertinentes.

Es responsabilidad del Director de Seguridad de la Información (CISO) o del Director de Seguridad de la Información (ISM) asignados dentro de una organización garantizar que todos los empleados y sistemas se ajusten a las normas establecidas en las políticas de seguridad de la información.