Contenidos
Política de seguridad de la información iso 27001 ejemplos
El mundo depende de la tecnología. Por eso, un programa de ciberseguridad sólido es más importante que nunca. El reto de conseguir una buena ciber higiene puede ser especialmente grave para las pequeñas y medianas empresas. Esto es especialmente cierto para aquellas con entornos de trabajo totalmente remotos o híbridos. Si a esto le añadimos unos recursos y un talento limitados centrados en la ciberseguridad, los retos pueden parecer abrumadores.
Teniendo en cuenta esto, hemos simplificado las cosas a tres elementos clave de un sólido programa de ciberseguridad. Es necesario saber cómo evaluar, remediar y aplicar las mejores prácticas de seguridad a escala. En más detalle, esto significa
Dar el primer paso hacia una mejor ciber-higiene significa entender en qué situación se encuentra su organización hoy en día. Realice una evaluación honesta de sus puntos fuertes y débiles con el fin de priorizar dónde centrar sus esfuerzos para su programa de ciberseguridad. El reto aquí es encontrar el listón adecuado para medirse. Hay varios marcos que sirven para este trabajo. Por lo tanto, puede ser desalentador averiguar cuál es el más adecuado, especialmente si es la primera vez que se realiza una evaluación. Empezar con los Controles CIS y los Puntos de Referencia CIS puede ayudar a eliminar las conjeturas de su evaluación y proporcionarle la tranquilidad de que está cubriendo todas sus bases.
5
Las organizaciones suelen crear múltiples políticas de TI para diversas necesidades: recuperación de desastres, clasificación de datos, privacidad de datos, evaluación de riesgos, gestión de riesgos, etc. Estos documentos suelen estar interconectados y proporcionan un marco para que la empresa establezca valores que guíen la toma de decisiones y las respuestas.
Las organizaciones también necesitan una política de seguridad de la información. Este tipo de política proporciona controles y procedimientos que ayudan a garantizar que los empleados trabajen con los activos informáticos de forma adecuada. Este artículo explica las ventajas de crear una política de seguridad de la información, los elementos que debe contener y las mejores prácticas para tener éxito.
El Instituto Nacional de Ciencia y Tecnología (NIST) define una política de seguridad de la información como un “conjunto de directivas, reglamentos, normas y prácticas que prescriben cómo una organización gestiona, protege y distribuye la información”.
Dado que las organizaciones tienen diferentes requisitos empresariales, obligaciones de cumplimiento y personal, no existe una única política de seguridad de la información que sirva para todos. En su lugar, cada departamento de TI debe determinar las opciones de política que mejor sirvan a sus necesidades particulares y crear un documento directo que sea aprobado por las partes interesadas de alto nivel.
3
Independientemente de la empresa o el sector al que pertenezca, lo más probable es que sea un objetivo de los hackers y los ciberdelincuentes en algún momento. Según estadísticas recientes de Accenture, cada año se producen más de 130 grandes violaciones de la ciberseguridad a escala empresarial. Y ese número está creciendo a un rápido ritmo del 27% anual.
Eso sin mencionar el coste de los incidentes y ataques cibernéticos en los que incurren las empresas año tras año. El coste medio de un ataque de malware para las empresas es de 2,4 millones de dólares, y cuesta una media de 50 días para que las empresas lo afronten de forma efectiva. Evitar los ciberataques, y los daños y costes asociados a ellos, es la razón por la que las empresas hacen bien en dedicar una parte importante de sus presupuestos y recursos de TI a desarrollar (y aplicar) una Política de Seguridad de la Información Empresarial (EISP).
Con las amenazas a la ciberseguridad de la empresa creciendo a un ritmo tan rápido, las empresas están diseñando una política de programa de seguridad de la información de la empresa que sirve tanto para minimizar el riesgo como para ayudar a lograr las metas y objetivos clave del negocio.
Lista de políticas de seguridad de la información
En este capítulo se analizan las políticas de seguridad en el contexto de los requisitos de seguridad de la información y las circunstancias en las que deben cumplirse dichos requisitos, se examinan los principios comunes de control de la gestión y se revisan las vulnerabilidades típicas de los sistemas, con el fin de motivar la consideración de los tipos específicos de mecanismos de seguridad que pueden incorporarse a los sistemas informáticos -para complementar los controles de gestión no técnicos y, por lo tanto, aplicar la política- y destacar la importancia de establecer GSSP. En los dos apéndices del capítulo se ofrece información adicional sobre cuestiones de privacidad y se detallan los resultados de una encuesta informal realizada a responsables de seguridad comercial.
Estos tres requisitos pueden enfatizarse de manera diferente en diversas aplicaciones. Para un sistema de defensa nacional, la principal preocupación puede ser garantizar la confidencialidad de la información clasificada, mientras que un sistema de transferencia de fondos puede requerir fuertes controles de integridad. Los requisitos de las aplicaciones que están conectadas a sistemas externos serán diferentes de los de las aplicaciones sin dicha interconexión. Por lo tanto, los requisitos y controles específicos para la seguridad de la información pueden variar.