Pymes y Seguridad de la Información -II-

Antes de analizar las ventajas de aplicar políticas de seguridad de la información, primero es necesario aclarar lo que entendemos por “políticas de seguridad de la información”. Para muchos, la frase
evoca una imagen de una carpeta de 300 páginas repleta de reglas complicadas que nunca nadie va a leer, y mucho menos poner en práctica.
De hecho, las necesidades de la mayoría de las pequeñas y medianas empresas pueden ser compiladas en un único documento de 20 páginas con instrucciones concisas y prácticas que los empleados puedan comprender y utilizar todos los días. Para crear este documento, se pueden utilizar plantillas y guías ya existentes.
La clave es empezar con un buen conjunto de modelos y luego seleccionar un grupo mínimo de políticas efectivas capaces de:
 Comunicar el compromiso de la empresa con respecto a la protección de los datos confidenciales.
 Educar a los empleados sobre cómo evitar los riesgos que tienen más probabilidad de afectar la organización.
Un conjunto de políticas de seguridad de la información para una empresa típica en la actualidad podría incluir:
 La obligación de proteger a los clientes, los empleados y los datos de la empresa.
 El uso aceptable de las computadoras y el software de la empresa.
 El uso aceptable del correo electrónico y las conexiones a Internet de la empresa.
 Las políticas para la creación de contraseñas y otros controles de autenticación.
 Las políticas para el uso de medios extraíbles.
 Las guías para el uso de dispositivos móviles y de acceso inalámbrico fuera de la oficina.
 Los procedimientos para realizar backups y restaurar la información.
 Los procedimientos a seguir cuando los dispositivos se pierden o se sospecha que hay una falla en la seguridad.
Por supuesto, las empresas que deben cumplir con normativas específicas, como los proveedores de atención médica y las organizaciones que manejan datos de tarjetas de crédito, requerirán contar con
políticas más amplias. No obstante, los principios básicos son los mismos: enfocarse en un conjunto limitado
de políticas que se puedan comprender y aplicar día a día (en oposición a tratar de abarcar un amplio conjunto de políticas que cubra todas las eventualidades imaginables), y capacitar al personal en forma periódica sobre la evolución de las tecnologías y los vectores de infección de las amenazas emergentes.

 

 

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
A %d blogueros les gusta esto: