Políticas de seguridad que toda empresa debe tener

Posted by admin Articles

Las políticas de seguridad de la información escritas son esenciales para la seguridad de la información de la organización. Esto es válido tanto para las grandes como para las pequeñas empresas, ya que unas normas de seguridad poco rigurosas pueden provocar la pérdida o el robo de datos e información personal. Las políticas escritas garantizan a los empleados, visitantes, contratistas o clientes que su empresa se toma en serio la seguridad de su información.

Las políticas de seguridad de la información son instrucciones escritas para mantener la información segura. Las políticas deben incluir orientación sobre las contraseñas, el uso de dispositivos, el uso de Internet, la clasificación de la información, la seguridad física -como en la protección de la información físicamente- y los requisitos de presentación de informes.

Política de contraseñas y números de identificación personal

El desarrollo de una política de contraseñas y números de identificación personal ayuda a garantizar que los empleados están creando sus credenciales de inicio de sesión o de acceso de una manera segura. La orientación común es no usar cumpleaños, nombres u otra información que sea fácil de obtener.

Controles de dispositivos

Se deben establecer métodos adecuados de acceso a ordenadores, tabletas y teléfonos inteligentes para controlar el acceso a la información. Los métodos pueden incluir lectores de tarjetas de acceso, contraseñas y PINs.

Los dispositivos deben bloquearse cuando el usuario se aleja. Las tarjetas de acceso deben retirarse, y las contraseñas y los PIN no deben anotarse ni guardarse en un lugar en el que se pueda acceder a ellos.

Evaluar si se debe permitir a los empleados llevar y acceder a sus propios dispositivos en el lugar de trabajo o durante el horario laboral. Los dispositivos personales tienen el potencial de distraer a los empleados de sus obligaciones, así como de crear violaciones accidentales de la seguridad de la información.

Al diseñar las políticas para el uso de dispositivos personales, tenga en cuenta el bienestar de los empleados. Las familias y los seres queridos necesitan ponerse en contacto con los empleados si hay una situación en casa que requiera su atención. Esto puede significar proporcionar una manera para que las familias reciban mensajes de sus seres queridos.

Se deben desarrollar procedimientos para informar sobre la pérdida y el daño de los dispositivos relacionados con la empresa. Puede incluir métodos de investigación para determinar la culpa y el alcance de la pérdida de información.

Uso de Internet/Web

El acceso a Internet en el lugar de trabajo debe restringirse únicamente a las necesidades de la empresa. El uso personal de la web no sólo consume recursos, sino que también introduce riesgos de virus y puede dar a los piratas informáticos acceso a la información.

El correo electrónico debe realizarse únicamente a través de los servidores y clientes de correo electrónico de la empresa, a menos que ésta esté construida en torno a un modelo que no lo permita.

Muchas estafas e intentos de infiltración en las empresas se inician a través del correo electrónico. Se recomienda una guía para tratar con enlaces, aparentes intentos de suplantación de identidad o correos electrónicos de fuentes desconocidas.

Desarrolle acuerdos con los empleados que minimicen el riesgo de exposición de la información del lugar de trabajo a través de los medios sociales u otros sitios de redes personales, a menos que esté relacionado con el negocio.

Cifrado y seguridad física

Es posible que desee desarrollar procedimientos de cifrado para su información. Si su empresa tiene información, como los números de las tarjetas de crédito de los clientes, almacenada en una base de datos, la encriptación de los archivos añade una medida adicional de protección.

Los procedimientos de control de llaves y tarjetas llave, como los registros de emisión de llaves o las llaves separadas para diferentes áreas, pueden ayudar a controlar el acceso a las áreas de almacenamiento de información.

Si se necesita una identificación, desarrolle un método para emitir, registrar, mostrar e inspeccionar periódicamente la identificación.

Establezca un procedimiento para visitantes. El registro de visitantes, las credenciales de acceso y los registros mantendrán controladas las visitas innecesarias.

Requerimientos de notificación de la política de seguridad

Los empleados deben entender qué deben notificar, cómo deben hacerlo y a quién deben notificarlo. Deben publicarse instrucciones claras. La formación debe implementarse en la política y llevarse a cabo para garantizar que todos los empleados entienden los procedimientos de denuncia.

Capacite a su equipo

Una de las claves para crear políticas eficaces es asegurarse de que las políticas son claras, fáciles de cumplir y realistas. Las políticas que son demasiado complicadas o controladoras animarán a la gente a saltarse el sistema. Si comunica la necesidad de la seguridad de la información y capacita a sus empleados para que actúen si descubren un problema de seguridad, desarrollará un entorno seguro en el que la información estará a salvo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.