Tener colaboradores comprometidos con la empresa es tan importante como imponer reglas.
Las políticas de seguridad de la información proporcionan soporte vital para los profesionales de seguridad en cuanto se esfuerzan para reducir el perfil de riesgo de una empresa y distanciar amenazas internas y externas.
El problema es que pocas organizaciones toman el tiempo y esfuerzo para crear políticas de seguridad personalizada, en lugar de hacer eso, se concentran en ver ejemplos de web y solamente copian y pegan como entendieron, lo que puede generar una confusión entre colaboradores, y algunas veces puede dejar el negocio abierto a problemas imprevistos.
Un bueno ejemplo de producir buenas y malas políticas de seguridad de información es presentado por National Health Service (NHS), una organización que posee gran cantidad de información privada generada en su día al día, exigiendo a aquellos que lidian con esos datos cumplan con la política de seguridad de información, una vez que pasan por auditoria una vez al año.
Durante los meses de febrero y marzo, el NHS orienta a las empresas a que cumplan con sus metas, se preocupen por la gestión de Información y reúnan los datos necesarios para presentar a la auditoria. Los profesionales de salud que responden al NHS organizan sus datos en un denominado kit de administración de la información y prueban que están cumpliendo con las normas que siguen para presentar al Departamento de Salud (DH) para la auditoria.
Kit de herramienta que define los niveles de servicios para la administración de información
Compartiendo políticas con el equipo
Una vez que esta definida la política de seguridad de información, la empresa debe incentivar y pedir que firmen dichas políticas para que estén consientes del contenido, y así garantizar que hayan leído y realmente comprendieron las nuevas reglas en cuestión. La mejor manera de lograr eso es ofrecer entrenamiento de para una administración adecuada y poner foco en reforzar de los mensajes, y traer la política viva con ejemplos locales actuales.
Es importante invertir un tiempo considerable haciendo entrenamientos relevantes y accesibles para todos los participantes, para que tengan una actitud comprometida con la seguridad de la información.
En sentido más amplio, el entrenamiento de concientización debe informar a los usuarios del amplio alcance de IG – que cubre la extracción adecuada de datos, el uso adecuado, calidad , gestión de registros, archivamiento y destruición segura, privacidad, confidencialidad y uso adecuado de negocios otorgado por sistemas de TI. Cada área tiene su propia política de documentos, que pueden ser mantenidos al tamaño mínimo y alcance para que los usuarios no queden sobrecargados con el alcance de sus responsabilidades.
El documento de política es exactamente eso – una simples declaración de posición de la empresa con relación a lo que se desea que sus colaboradores apliquen a diario, en lo que se refiere al tratamiento de hardwares y softwares utilizados en la empresa.
El ideal es que el documento con las nuevas reglas sea breve, didáctico y directo al punto acerca de las responsabilidades del usuario en relación a la información que accede y cuáles los cuidados que la empresa que cada colaborador tenga con esos datos. Sin embargo, más importante de que la propia imposición de las reglas es tener un conjunto de colaboradores ocupados con los cuidados de los activos de la empresa.
 | Las 5 amenazas al sistema de seguridad de una empresa |
Fuente:
http://www.computerweekly.com/feature/How-to-create-a-good-information-security-policy
