Tener colaboradores comprometidos con la empresa es tan importante como imponer reglas.
Las políticas de seguridad de la información proporcionan soporte vital para los profesionales de seguridad en cuanto se esfuerzan para reducir el perfil de riesgo de una empresa y distanciar amenazas internas y externas.
El problema es que pocas organizaciones toman el tiempo y esfuerzo para crear políticas de seguridad personalizada, en lugar de hacer eso, se concentran en ver ejemplos de web y solamente copian y pegan como entendieron, lo que puede generar una confusión entre colaboradores, y algunas veces puede dejar el negocio abierto a problemas imprevistos.
Un bueno ejemplo de producir buenas y malas políticas de seguridad de información es presentado por National Health Service (NHS), una organización que posee gran cantidad de información privada generada en su día al día, exigiendo a aquellos que lidian con esos datos cumplan con la política de seguridad de información, una vez que pasan por auditoria una vez al año.
Durante los meses de febrero y marzo, el NHS orienta a las empresas a que cumplan con sus metas, se preocupen por la gestión de Información y reúnan los datos necesarios para presentar a la auditoria. Los profesionales de salud que responden al NHS organizan sus datos en un denominado kit de administración de la información y prueban que están cumpliendo con las normas que siguen para presentar al Departamento de Salud (DH) para la auditoria.
Kit de herramienta que define los niveles de servicios para la administración de información
El IG Toolkit (kit de herramienta de administración de información) es vagamente basado en la norma ISO 27001 y es obligatoria para todas las organizaciones del NHS y cualquier otra que desee prestar servicios para el NHS. La herramienta reúne informaciones acerca de la gestión de la administración de información; garantía de confidencialidad y protección de datos; garantía da seguridad de información, clínica y garantía de información corporativa.
La principal área de foco es la garantía de seguridad de información. Curiosamente, es responsable por alrededor de un tercio de los requisitos, los cuales son combinados para obtener una puntuación por año.
Para una organización pasar por la auditoria y conseguir una clasificación "satisfactoria", deberán conseguir una puntuación del nivel 2 para cada necesidad (cada requisito tiene un posible record de 0-3). El no cumplir con esos requisitos mínimos significaría que la organización no puede ser contratada para prestar servicios en la área de salud.
A pesar del kit de herramientas IG siendo muy bien establecida por el órgano responsable que es la NHS - que está ahora en su 10º aniversario - las empresas que desean cumplir con esa norma y mejorar su política de seguridad, aún encuentran dificultades en poner cada ítem en práctica, una vez que tiene dificultades en interpretar requisitos, atrasando os resultados en auditoria.
Compartiendo políticas con el equipo
Una vez que esta definida la política de seguridad de información, la empresa debe incentivar y pedir que firmen dichas políticas para que estén consientes del contenido, y así garantizar que hayan leído y realmente comprendieron las nuevas reglas en cuestión. La mejor manera de lograr eso es ofrecer entrenamiento de para una administración adecuada y poner foco en reforzar de los mensajes, y traer la política viva con ejemplos locales actuales.
Es importante invertir un tiempo considerable haciendo entrenamientos relevantes y accesibles para todos los participantes, para que tengan una actitud comprometida con la seguridad de la información.
En sentido más amplio, el entrenamiento de concientización debe informar a los usuarios del amplio alcance de IG - que cubre la extracción adecuada de datos, el uso adecuado, calidad , gestión de registros, archivamiento y destruición segura, privacidad, confidencialidad y uso adecuado de negocios otorgado por sistemas de TI. Cada área tiene su propia política de documentos, que pueden ser mantenidos al tamaño mínimo y alcance para que los usuarios no queden sobrecargados con el alcance de sus responsabilidades.
El documento de política es exactamente eso - una simples declaración de posición de la empresa con relación a lo que se desea que sus colaboradores apliquen a diario, en lo que se refiere al tratamiento de hardwares y softwares utilizados en la empresa.
El ideal es que el documento con las nuevas reglas sea breve, didáctico y directo al punto acerca de las responsabilidades del usuario en relación a la información que accede y cuáles los cuidados que la empresa que cada colaborador tenga con esos datos. Sin embargo, más importante de que la propia imposición de las reglas es tener un conjunto de colaboradores ocupados con los cuidados de los activos de la empresa.
 |
Las 5 amenazas al sistema de seguridad de una empresa |
Fuente:
http://www.computerweekly.com/feature/How-to-create-a-good-information-security-policy
