1. POLITICAS DE SEGURIDAD INFORMATICA
El término política de seguridad se suele definir como el
conjunto de requisitos definidos por los responsables directos o
indirectos de un sistema que indica en términos generales qué está y qué no está
permitido en el área de seguridad durante la operación general de dicho sistema.
Al tratarse de `términos generales’, aplicables a situaciones o recursos muy
diversos, suele ser necesario refinar los requisitos de la política para convertirlos
en indicaciones precisas de qué es lo permitido y qué lo denegado en cierta parte
de la operación del sistema, lo que se denomina política de aplicación específica.
de
2. Características
La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde
se definen las medidas a tomar para proteger la seguridad del sistema; pero ante
todo, una política de seguridad es una forma de comunicarse con los usuarios.
Siempre hay que tener en cuenta que la seguridad comienza y termina con
personas, y debe:
Ser holística (cubrir todos los aspectos relacionados con la misma).
Adecuarse a las necesidades y recursos.
Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
3. Definir estrategias y criterios generales a adoptar en distintas funciones y
actividades, donde se conocen las alternativas ante circunstancias repetidas.
Otro punto importante, es que las políticas de seguridad deben redactarse en un
lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan
una comprensión clara de las mismas, claro está sin sacrificar su precisión.
Deben seguir un proceso de actualización periódica sujeto a los cambios
organizacionales relevantes, como son: el aumento de personal, cambios en la
infraestructura computacional, alta rotación de personal, desarrollo de nuevos
servicios, regionalización de la empresa, cambio o diversificación del área de
negocios, etc.
4. IMPLEMENTACION:
Identificar las necesidades de seguridad y los riesgos informáticos que enfrenta la
compañía así como sus posibles consecuencias
Proporcionar una perspectiva general de las reglas y los procedimientos que deben
implementarse para afrontar los riesgos identificados en los diferentes departamentos
de la organización
Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse
informado acerca de las falencias en las aplicaciones y en los materiales que se usan.
Definir las acciones a realizar y las personas a contactar en caso de detectar una
amenaza
5. AREAS QUE DEBE CUBRIR
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la
compañía y al uso de los empleados.
Un procedimiento para administrar las actualizaciones.
Una estrategia de realización de copias de seguridad (backup) planificada
adecuadamente.
Un plan de recuperación luego de un incidente.
Un sistema documentado actualizado.