¿Cómo deben elaborarse las
políticas?
a) Recopilar material de apoyo
Para elaborar eficazmente un
conjunto de políticas de seguridad informática, debe haberse efectuado previamente
un análisis de riesgo que indique claramente las necesidades de seguridad
actuales de la organización.
b) Definir un marco de referencia
Después de recopilar el
material de apoyo, debe elaborarse una lista de todos los tópicos a ser
cubiertos dentro de un conjunto de políticas de seguridad.
c) Redactar la documentación
Después de preparar
una lista de las áreas que necesitan la atención y después de estar
familiarizados con la manera en que la organización expresa y usa las
políticas, se estará ahora listos redactar las políticas, para lo cual pueden
servir de ayuda.
Ejemplo de Políticas de
Seguridad
1. Justificación
Los activos de información y
los equipos informáticos son recursos importantes y vitales de nuestra
Compañía. Sin ellos nos quedaríamos rápidamente fuera del negocio y por tal
razón la Presidencia y la Junta Directiva tienen el deber de preservarlos, utilizarlos
y mejorarlos. Esto significa que se deben tomar las acciones apropiadas para
asegurar que la información y los sistemas informáticos estén apropiadamente
protegidos de muchas clases de amenazas y riesgos tales como fraude, sabotaje,
espionaje industrial, extorsión, violación de la privacidad, intrusos, hackers,
interrupción de servicio, accidentes y desastres naturales.
2.Responsabilidades
Los siguientes entes son responsables, en distintos grados, de la seguridad en la Compañía:
Los siguientes entes son responsables, en distintos grados, de la seguridad en la Compañía:
a) El
Comité de Seguridad Informática
b) La
Gerencia de Informática es responsable de implantar y velar por el cumplimento
de las políticas, normas, pautas, y procedimientos de seguridad a lo largo de
toda la organización.
c) El
Jefe de Seguridad es responsable de dirigir las investigaciones sobre
incidentes y problemas relacionados con la seguridad.
d) El Administrador de
Sistemas es responsable de establecer los controles de acceso apropiados para
cada usuario, supervisar el uso de los recursos informáticos.
e) Los
usuarios son responsables de cumplir con todas las políticas de la Compañía
relativas a la seguridad informática y en particular:
- Conocer
y aplicar las políticas y procedimientos apropiados en relación al manejo
de la información y de los sistemas informáticos.
- No
divulgar información confidencial de la Compañía a personas no
autorizadas.
- No
permitir y no facilitar el uso de los sistemas informáticos de la
Compañía a personas no autorizadas.
- No
utilizar los recursos informáticos (hardware, software o datos) y de telecomunicaciones
(teléfono, fax) para otras actividades.
- Proteger
meticulosamente su contraseña y evitar que sea vista por otros en forma
inadvertida.
- Seleccionar una contraseña robusta que no tenga relación obvia con el usuario.
4. Políticas de seguridad para redes
- Propósito: El propósito de esta política es establecer las directrices, los procedimientos y los requisitos para asegurar la protección apropiada de la Compañía al estar conectada a redes de computadoras.
- Aspectos generales: Es política de la Compañía prohibir la divulgación, duplicación, modificación, destrucción, pérdida, mal uso, robo y acceso no autorizado de información propietaria. Además, es su política proteger la información que pertenece a otras empresas o personas y que le haya sido confiada.
