POLÍTICAS DE SEGURIDAD
Nuestra marca preferida de seguridad ESET nos sorprende una vez más con información directa, resumida y muy práctica para dirigir nuestros negocios.
Les dejo a continuación la Guía que han publicado recientemente y que pueden descargar completamente desde el link:
DESCARGAR |
(extracto de la guía)
Guía para crear una política de seguridad de la
información simple y efectiva para su empresa
¿Para qué molestarse en implementar políticas de
seguridad de la información?
Las pequeñas y medianas empresas a menudo son escépticas respecto al valor que las políticas de
seguridad de la información pueden tener para sus empleados. No cuentan con amplios recursos
para elaborar manuales de políticas y capacitar al personal en su cumplimiento. Sin embargo, existen
importantes razones para crear políticas de seguridad de la información y promover su uso entre los
empleados:
1. En la actualidad, el comportamiento de los empleados es el mayor riesgo que corren los activos de
información; las políticas de seguridad de la información son una herramienta esencial para reducir
dicho riesgo.
2. Las políticas reducen la responsabilidad legal, mejoran el cumplimiento de las normativas corporativas
e incluso ayudan a conseguir nuevos clientes mediante el fortalecimiento de la confianza.
3. No es necesario que contrate expertos en seguridad para trabajar la jornada completa en la creación
de políticas; en cambio, puede buscar ejemplos de mejores prácticas gratuitos o de bajo costo
y adaptarlos a su situación específica.
En este paper:
Describiremos el conjunto mínimo de políticas de seguridad de la información apropiadas para
una empresa pequeña o mediana.
Identificaremos los comportamientos de riesgo de los empleados y analizaremos cómo se pueden
minimizar a través del uso de políticas y la capacitación.
Examinaremos brevemente cómo las políticas pueden ayudar en las áreas de responsabilidad,
cumplimiento de normativas y competitividad.
Sugeriremos métodos simples pero eficaces para crear políticas y llevar a cabo capacitaciones de
toma de conciencia sobre seguridad.
¿Cuántas políticas nos hacen falta en nuestra
empresa?
Antes de analizar las ventajas de aplicar políticas de seguridad de la información, primero es necesario
aclarar lo que entendemos por “políticas de seguridad de la información”. Para muchos, la frase
evoca una imagen de una carpeta de 300 páginas repleta de reglas complicadas que nunca nadie va
a leer, y mucho menos poner en práctica.
De hecho, las necesidades de la mayoría de las pequeñas y medianas empresas pueden ser compiladas
en un único documento de 20 páginas con instrucciones concisas y prácticas que los empleados
puedan comprender y utilizar todos los días. Para crear este documento, se pueden utilizar plantillas
y guías ya existentes.
La clave es empezar con un buen conjunto de modelos y luego seleccionar un grupo mínimo de políticas
efectivas capaces de:
Comunicar el compromiso de la empresa con respecto a la protección de los datos confidenciales.
Educar a los empleados sobre cómo evitar los riesgos que tienen más probabilidad de afectar la
organización.
Un conjunto de políticas de seguridad de la información para una empresa típica en la actualidad
podría incluir:
La obligación de proteger a los clientes, los empleados y los datos de la empresa.
El uso aceptable de las computadoras y el software de la empresa.
El uso aceptable del correo electrónico y las conexiones a Internet de la empresa.
Las políticas para la creación de contraseñas y otros controles de autenticación.
Las políticas para el uso de medios extraíbles.
Las guías para el uso de dispositivos móviles y de acceso inalámbrico fuera de la oficina.
Los procedimientos para realizar backups y restaurar la información.
Los procedimientos a seguir cuando los dispositivos se pierden o se sospecha que hay una falla en
la seguridad.
Por supuesto, las empresas que deben cumplir con normativas específicas, como los proveedores de
atención médica y las organizaciones que manejan datos de tarjetas de crédito, requerirán contar con
políticas más amplias. No obstante, los principios básicos son los mismos: enfocarse en un conjunto limitado
de políticas que se puedan comprender y aplicar día a día (en oposición a tratar de abarcar un amplio
conjunto de políticas que cubra todas las eventualidades imaginables), y capacitar al personal en forma
periódica sobre la evolución de las tecnologías y los vectores de infección de las amenazas emergentes.
Les dejo a continuación la Guía que han publicado recientemente y que pueden descargar completamente desde el link:
DESCARGAR |
Como siempre para cualquier duda pueden escribirnos:
[contact-form-7 id=»170″ title=»Contacto»]