POLITICAS DE SEGURIDAD

PDF: Tema 1. ¿Qué aspectos debe incluir una política de seguridad?

El enfoque de una política de seguridad puede ser variopinto. En este documento se presenta un breve guión que puede ser utilizado para el desarrollo de la política de seguridad de su organización.

A la hora de escribir una política de seguridad existen algunos aspectos que debemos tener muy presentes y que deben ser en buena medida el guión a seguir en su desarrollo:

• Alcance y ámbito de la Política de Seguridad: En este punto se debe detallar si la política es global, para toda la empresa, o si está delimitada para determinados departamentos o personas.

• Responsabilidades y Organización de la Seguridad de la Información: Se establecerá una estructura de responsables para la toma de decisiones respecto a inversiones, seguimiento y aseguramiento del cumplimiento de lo recogido en las políticas. Así mismo, puede establecerse la composición de un Comité para la toma de decisiones conjuntas en materia de seguridad.

• Control de la información: Se indicarán las pautas para asegurar el buen uso de la información. Una buena práctica puede ser establecer una guía de clasificación de la información en función de su contenido y/o grado de confidencialidad. A cada nivel (por ejemplo: información de uso interno, confidencial, reservada), se le dotarán de diferentes medidas de seguridad en cada una de sus fases de tratamiento (creación, distribución, eliminación…)

• Seguridad del personal: Se especificarán las medidas de seguridad a tomar en relación al personal de la organización desde su incorporación en la que deberían firmarse acuerdos y clausulas de confidencialidad, uso de los sistemas, etc, pasando por su permanencia en la empresa, en la que deberá establecerse un programa de formación y concienciación en Seguridad de la Información hasta la finalización de la relación laboral donde se detallarán las medidas para asegurar la devolución del equipamiento (móviles, portátiles, etc…) que hayan sido cedidos al empleado para su desarrollo de actividades en la empresa y la eliminación de autorizaciones de acceso.

• Seguridad física: Hablar de seguridad informática no es solo hablar de un hacker o de un PC que ha perdido los datos, debemos de tomar medidas para asegurar que, físicamente, nuestros equipos de procesamiento de datos están protegidos contra fuego, inundación o robo.

• Seguridad en las comunicaciones: Se trata de un apartado meramente técnico y orientado al equipamiento informático, en el deberá recogerse los mecanismos para el control de código malicioso (por ejemplo, los PCs deberán contar con un antivirus actualizado), la estrategia a seguir para la gestión de copias de

...