jueves, 9 de septiembre de 2021

¿POR QUÉ ES IMPORTANTE DOCUMENTAR LA POLÍTICA DE SEGURIDAD?

La política de seguridad es un conjunto de reglas, normas y protocolos de actuación por los cuales debemos velar para conseguir la seguridad informática de la organización.

Se trata de una especie de plan realizado para combatir todos los riesgos a los que se encuentre expuesta la organización en el mundo digital. De esta manera mantendremos nuestra empresa alejada de cualquier ataque externo.

Hoy en día, existe una gran cantidad de ciberdelincuencia que apuesta por atacar a las organizaciones para conseguir información valiosa que pueda permitirles realizar estafas o sacar algún beneficio. Con la transformación digital que han sufrido las organizaciones de hoy en día, es necesario que se controle todos los aspectos relacionados con la tecnología, ya que cualquier error puede provocar grandes problemas.

La política de seguridad debe definir cuáles son los aspectos de la organización más importantes que deben estar bajo control. De esta manera se detallan una serie de procesos internos de la organización que se deben llevar a cabo de forma periódica para no mantenerlos vulnerables. 

La política de seguridad no solo se encuentra destinada a los equipos técnicos e informáticos de una organización, sino que van dirigidos a todos los puestos de trabajo que sean susceptibles de producir algún error o descuido de seguridad. Es necesario destacar que muchos problemas de seguridad de las organizaciones se producen por errores de las personas que no tienen en cuenta la vulnerabilidad de los datos y la información de las organizaciones.

Es necesario establecer cuáles son los mecanismos de seguridad que se quieren implementar en la empresa. Estos tendrán que plantearse en tren ámbitos de actuación diferentes:
  • Prevención: nos recuerda que es mejor prevenir que curar, por lo que esta primera fase será imprescindible para no tener problemas.
  • Detección: en el caso de tener alguna amenaza será necesario saber cómo detectar y realizar el diagnóstico de forma adecuada sobre los errores recibidos.
  • Actuación: se produce alguna inviolabilidad de nuestro sistema informático siendo necesario establecer protocolos de actuación que nos permitan solucionar cualquier amenaza de la forma más rápida y efectiva posible.
La política de seguridad es un conjunto de reglas, normas y protocolos de actuación para fortalecer la seguridad informática de la organización ante los riesgos en esta materia.
La política de seguridad de la información juega un papel vital en cuento a la seguridad de la empresa. Es necesario obtener una política correcta que le ofrecerá un marco excelente para trabajar, asegurándose de que todos los esfuerzos sigan un solo objetivo. Pero si se equivoca, corre el riesgo de descuidar los problemas clave y exponerse a violaciones de datos.

La guía definitiva para que cualquier empresa se tome en serio la seguridad es la norma ISO 27001.

Conceptos básicos de la política de seguridad de la información

Una política de seguridad de la información es un conjunto de documentos que explican lo que una empresa espera que sus empleados hagan para prevenir incidentes de seguridad. No necesita ser largo, pero debe capturar los ideales y objetivos del personal superior para la empresa.

La mejor forma de mantener la seguridad es mantener las cosas lo más simple posible. Debe evitar cualquier cosa demasiado prescriptiva, ya que los gerentes necesitan suficiente libertad para adaptar sus políticas según los cambios organizativos.

Las preguntas claves

Al realizar su política de seguridad de la información, hay cuatro preguntas que deben responder:
  • ¿Quién es el responsable de la política? El personal superior debe estar completamente detrás del proyecto, y eso significa que en última instancia son responsables. Sea quien sea quien formule la política debe comunicarse con el personal superior con regularidad y debe tener pruebas claras que demuestren que se acordó la política.
  • ¿Dónde se aplica la política? La política puede aplicarse a toda la empresa o solo a ciertas partes. Esto debe ser abordado y documentado.
  • ¿Cuál es el objetivo de la política? La norma ISO 27001 se refiere de forma específica a preservar la confidencialidad, integridad y disponibilidad de la información. La política debe centrar en eso y sólo en eso.
  • ¿Por qué se encuentra vigente la política de seguridad? Hay muchas formas en las que la información puede verse comprometida, y aunque no necesita entrar en detalles en esta etapa, debe tener una comprensión clara de las amenazas a las que se dirige.
Tomado de: https://www.pmg-ssi.com/