En correo privado he recibido parte de información sobre las políticas de seguridad sobre la información que deben establecerse en toda organización y de esta forma mantenerla protegida, lo cual considero, se logrará siguiendo los lineamientos enumerados, no importando el tamaño de la empresa, y como siempre he sido de la opinión de compartir este tipo de información con los seguidores de este blog, a continuación dejo un extracto de este boletín con el único propósito de que pueda ser implementado en donde Usted se desempeña laboralmente, o que haga el comentario correspondiente con el personal encargado, para que de esta forma pueda implementarse.
Si por cualquier motivo desean ampliar sobre el mismo, al final dejo el link correspondiente para que lean el texto completo sobre este tema. Espero que el mismo sea de su interés y a la vez se ponga en práctica.
A continuación parte del boletín:
“Documentos a incluir en el Programa de Seguridad de la Información
-Roles y responsabilidades: descripción de las responsabilidades de seguridad para otros departamentos. Por ejemplo, se le puede dar al departamento de desarrollo la tarea de evaluar las vulnerabilidades de seguridad antes de desplegar nuevas aplicaciones; o al departamento de recursos humanos la labor de mantener listas actualizadas de empleados y suministradores.
-Estándares tecnológicos: descripción de los parámetros de configuración técnica y valores asociados que se hayan determinado para asegurar que los directivos pueden controlar el acceso a los activos de información electrónica.
-Procesos: flujos de trabajo que muestren cómo se combinan las funciones de seguridad desarrolladas por los diferentes departamentos para asegurar la gestión segura de la información.
-Procedimientos: instrucciones paso a paso para que el personal pueda realizar tareas rutinarias de seguridad sin necesidad de formación previa, y asegurar así que los mecanismos preventivos, de detección y/o respuesta funcionan como está previsto.
-Directrices: consejos sobre la forma más fácil de cumplir las políticas de seguridad, generalmente redactados para usuarios sin conocimientos técnicos que tienen distintas opciones de gestionar la información de forma segura.
Qué debe contener una Política de Seguridad
La pregunta es ¿cuál es la información mínima necesaria que se debe incluir en una Política de Seguridad? Debe ser suficiente para comunicar a los directivos los objetivos y la dirección en la que debe ir la seguridad. Debe incluir lo siguiente:
1. Alcance: debe incluir toda la información, sistemas, instalaciones, programas, datos, redes y usuarios de tecnología de la empresa, sin excepción.
2. Clasificación de la información: debe proporcionar definiciones específicas para cada tipo de contenido, y no simplemente adjetivos como “confidencial” o “restringida”.
3. Objetivos para el manejo seguro de la información en cada categoría (por ejemplo, se deben combinar las obligaciones contractuales, regulatorias y legales en uno.
4. Posicionamiento de la política de seguridad en el contexto de las demás directivas de gestión y otros documentos suplementarios (es decir, si ha sido acordada a nivel ejecutivo, todos los demás documentos de gestión de información deben ser consecuentes con ella).
5. Referencias a los documentos de apoyo (los de roles y responsabilidades, procesos, tecnología, etc.).
6. Instrucciones específicas sobre las obligaciones de seguridad de toda la empresa a nivel general (por ejemplo, todo acceso a cualquier sistema informático requiere la verificación de identidad y la autenticación, no se pueden compartir mecanismos de autenticación, etc.)
7. Designación específica de las responsabilidades establecidas (por ejemplo: el departamento de tecnología es el único proveedor de líneas de telecomunicación autorizado).
8. Consecuencias del incumplimiento (desde sanciones hasta el cese o despido).
Esta lista será suficiente como política de seguridad de la información básica para una empresa. Aunque los puntos 6 y 7 pueden contener una gran cantidad de variables y detalles relativos a las medidas de seguridad, es aconsejable no extenderlos demasiado para asegurar su legibilidad, y apoyarse en sub-políticas o documentos de apoyo para incluir todos los requisitos. De nuevo, es más importante tener una conformidad completa a nivel de política que incluir montones de detalles.”
Fuente: www.csospain.es
De lo anterior podemos concluir, que esta información es mínima y la misma puede ser ampliada de acuerdo al tamaño de la empresa y formar parte del manual de políticas de seguridad, esto con el afán de mantener la información protegida.
Si por cualquier motivo desean ampliar sobre el mismo, al final dejo el link correspondiente para que lean el texto completo sobre este tema. Espero que el mismo sea de su interés y a la vez se ponga en práctica.
A continuación parte del boletín:
“Documentos a incluir en el Programa de Seguridad de la Información
-Roles y responsabilidades: descripción de las responsabilidades de seguridad para otros departamentos. Por ejemplo, se le puede dar al departamento de desarrollo la tarea de evaluar las vulnerabilidades de seguridad antes de desplegar nuevas aplicaciones; o al departamento de recursos humanos la labor de mantener listas actualizadas de empleados y suministradores.
-Estándares tecnológicos: descripción de los parámetros de configuración técnica y valores asociados que se hayan determinado para asegurar que los directivos pueden controlar el acceso a los activos de información electrónica.
-Procesos: flujos de trabajo que muestren cómo se combinan las funciones de seguridad desarrolladas por los diferentes departamentos para asegurar la gestión segura de la información.
-Procedimientos: instrucciones paso a paso para que el personal pueda realizar tareas rutinarias de seguridad sin necesidad de formación previa, y asegurar así que los mecanismos preventivos, de detección y/o respuesta funcionan como está previsto.
-Directrices: consejos sobre la forma más fácil de cumplir las políticas de seguridad, generalmente redactados para usuarios sin conocimientos técnicos que tienen distintas opciones de gestionar la información de forma segura.
Qué debe contener una Política de Seguridad
La pregunta es ¿cuál es la información mínima necesaria que se debe incluir en una Política de Seguridad? Debe ser suficiente para comunicar a los directivos los objetivos y la dirección en la que debe ir la seguridad. Debe incluir lo siguiente:
1. Alcance: debe incluir toda la información, sistemas, instalaciones, programas, datos, redes y usuarios de tecnología de la empresa, sin excepción.
2. Clasificación de la información: debe proporcionar definiciones específicas para cada tipo de contenido, y no simplemente adjetivos como “confidencial” o “restringida”.
3. Objetivos para el manejo seguro de la información en cada categoría (por ejemplo, se deben combinar las obligaciones contractuales, regulatorias y legales en uno.
4. Posicionamiento de la política de seguridad en el contexto de las demás directivas de gestión y otros documentos suplementarios (es decir, si ha sido acordada a nivel ejecutivo, todos los demás documentos de gestión de información deben ser consecuentes con ella).
5. Referencias a los documentos de apoyo (los de roles y responsabilidades, procesos, tecnología, etc.).
6. Instrucciones específicas sobre las obligaciones de seguridad de toda la empresa a nivel general (por ejemplo, todo acceso a cualquier sistema informático requiere la verificación de identidad y la autenticación, no se pueden compartir mecanismos de autenticación, etc.)
7. Designación específica de las responsabilidades establecidas (por ejemplo: el departamento de tecnología es el único proveedor de líneas de telecomunicación autorizado).
8. Consecuencias del incumplimiento (desde sanciones hasta el cese o despido).
Esta lista será suficiente como política de seguridad de la información básica para una empresa. Aunque los puntos 6 y 7 pueden contener una gran cantidad de variables y detalles relativos a las medidas de seguridad, es aconsejable no extenderlos demasiado para asegurar su legibilidad, y apoyarse en sub-políticas o documentos de apoyo para incluir todos los requisitos. De nuevo, es más importante tener una conformidad completa a nivel de política que incluir montones de detalles.”
Fuente: www.csospain.es
De lo anterior podemos concluir, que esta información es mínima y la misma puede ser ampliada de acuerdo al tamaño de la empresa y formar parte del manual de políticas de seguridad, esto con el afán de mantener la información protegida.
No hay comentarios.:
Publicar un comentario
Cualquier comentario sobre el tema, sera bienvenido.