martes, 12 de diciembre de 2017

Políticas de Seguridad

Artículo: "Trabajando con Políticas de Seguridad" Publicado en Segur-Info el 16 ago. 2009. URL:
http://blog.segu-info.com.ar/2009/08/trabajando-con-politicas-de-seguridad.html


Las Políticas de Seguridad le ayudan a definir el nivel de seguridad que es aceptable en su organización; establecen un estándar de cuidado para cada empleado (y contratista)

Las Políticas de Seguridad le ayudarán a planear cosas. Sin ellas no habría manera de decir que decisión de seguridad ayudará a aumentar su seguridad y cuales son una pérdida de tiempo y dinero.
Hoy vamos a aprender que incluye una política de seguridad y como crear una y asegurarse que esté actualizada y sea usada efectivamente.

Contenidos de una Política de Seguridad:



Puede pensar en una política de seguridad como un documento. No es un documento de alto nivel como la declaración de misión. Su política de seguridad define los recursos que su organización necesita proteger y las medidas que se toman para protegerlos.

Las políticas deben ser publicadas y distribuidas a todos los empleados y demás usuarios de sus sistemas. Cuando políticas separadas se ocupan de redes seguras, la publicación de esas políticas debe ser restringida a los individuos que tienen acceso autorizado a esas redes. Las políticas de seguridad deben poner énfasis en lo que está permitido y no lo que está prohibido, la política debe describir las formas de conseguir sus objetivos.

Descripción genérica del contenido de una Política de Seguridad


  • Descripción general: Justifica la razón de la política e identifica los riesgos que trata la política.
  • Propósito: Explica porque existe la política y el objetivo que fue escrito que conseguirá.
  • Ámbito de aplicación: Define el personal abarcado por la política. Podría abarcar desde sólo un departamento hasta toda la compañía.
  • Política: Esta es la política en sí misma. A menudo se divide en varias secciones. Se usan ejemplos para ilustrar este punto.
  • Aplicación: Define las penalidades por no seguir la política. Es escrita usualmente como "todo hasta e incluyendo ...." de modo que una serie de sanciones pueden ser aplicadas, en contados casos se listan acciones judiciales como una opción.
  • Definiciones: Cualquier término que podría no ser claro o ambiguo debe ser enumerado y descripto aquí.
  • Historial de revisiones: Fecha, cambios, y sus razones se incluyen aquí. Esto se relaciona con la aplicación en la que la interacción debe ser medida contra las reglas que estaban vigente en el momento de lo sucedido y no de cuando fue descubierto.


Ejemplo de Políticas de Seguridad:

Varios modelos de políticas de seguridad están disponibles en la Web. Un buen lugar que debería considerar es la RFC 2196 "Manual de seguridad del Sitio" que trata todos los aspectos de las políticas de seguridad desde el desarrollo de contenido hasta la implementación.

Creando su propia política de seguridad:

Crear una política de seguridad es un proceso de cuatro pasos:


  1. Decidir sobre su nivel de confianza.
  2. Definir la conducta adecuada.
  3. Crear un equipo de revisión de la política.
  4. Usar el trabajo de otros.


Paso 1: Decidir sobre su nivel de confianza:

Asumir que la gente va a hacer lo correcto es fácil y tentador. No se permita tomar este atajo. Explique que es lo esperado y que está prohibido. Decida que controles utilizará para medir la adhesión a las buenas prácticas que va a definir. (Esto se aplica tanto a los programas como a las personas.) Especifique las repercusiones que se tendrán si los empleados no adhieren a las prácticas. Confíe en los distintos empleados de formas distintas. Aquellos con acceso no privilegiado están de una categoría distinta que aquellos con altos privilegios de acceso.

Paso 2: Definir la conducta adecuada:
Ya sea que el tema sea el uso del correo electrónico, la política de contraseñas, o preservar los secretos de la compañía, los usuarios de sus sistemas y las personas que los evalúan deben saber que es lo esperado. Sus políticas son necesarias para apoyar una acción de el departamento de RRHH frente a un comportamiento inadecuado, o incluso para una acción judicial en casos extremos.

Paso 3: Crear un equipo de revisión de la política:
Los miembros de este equipo son los responsables de elaborar nuevas políticas y revisar las existentes.

Foro representativo Funciones


  • Dirección Alguien que pueda hacer cumplir la política. Usualmente es alguno de los empleados de RRHH más antiguos.
  • Departamento de Seguridad Informática Alguien que puede proveer entendimiento técnico e investigación.
  • Áreas usuarias Alguien que puede ver las políticas de la forma que el usuario las va a ver.
  • Departamento Legal Posiblemente a tiempo parcial, pero alguien que pueda revisar las políticas en relación a las leyes de aplicación. Para firmas multinacionales, esta revisión es exponencialmente más complicada.
  • Publicaciones Alguien que pueda hacer sugerencias sobre la comunicación de las políticas a los miembros de la organización y su aceptación. También, alguien con buena redacción siempre es útil.



Fuentes:
http://blog.segu-info.com.ar/2009/08/trabajando-con-politicas-de-seguridad.html

No hay comentarios:

Publicar un comentario