Una política de seguridad de la información , los sistemas es un documento que detalla las funciones y las normas para el manejo de la información dentro de una organización. Su objetivo es establecer los límites que protegen la información se libere (ya sea intencionalmente o no) a la audiencia equivocada . Como mínimo , debe incluir objetivos y alcance , funciones y responsabilidades , las clasificaciones de datos y las sanciones por incumplimiento.
Alcance /Propósito
La primera sección del documento debe especificar el alcance y propósito del documento . Esto le dice al lector qué información está cubierto y qué no está cubierto . También debe explicar el hecho de que la finalidad del documento es proporcionar políticas para el manejo adecuado de la información , ya sea sensible o no .
Roles /Responsabilidades
Como con cualquier política de la organización , es fundamental que cada persona entiende su /su papel en la aplicación y cumplimiento de la política . Los Roles y Responsabilidades sección de la política explica en detalle que es en última instancia responsable de la seguridad de la información dentro de la organización , así como las responsabilidades de cada persona que maneja la información del día a día. En esta sección se debe identificar a los ejecutivos que están encargados de esta función , así como las responsabilidades de un departamento de seguridad de la información .
Cumplimiento
Cualquier política debe contener sanciones por violaciónes . Una política de seguridad de los sistemas de información no es diferente. De hecho , esta es una de las áreas más críticas para garantizar que la política tiene " dientes". Las sanciones deben estar claramente definidos , y los infractores deben ser confrontados inmediatamente. Si no hay sanciones , la política será ineficaz .
Programas de sensibilización
Por supuesto, si una política se desarrolla bien, y detalla todo, incluso que es responsable de qué, y las sanciones por violar la política , todavía hay un área que se debe cubrir . Esa es la formación de la conciencia. Es imperativo que los miembros ( empleados) de una organización, ser conscientes de los riesgos y amenazas a la seguridad de los sistemas de información y la organización en su conjunto. Sin esto, es muy fácil que alguien diga " yo no sabía ". Además, si las personas no son conscientes de las amenazas , que pueden no ser tan eficaces como sea posible para ayudar a frustrar los ataques. Por lo tanto, un buen y completo programa de sensibilización y formación es imprescindible.
Resumen
La implementación de un sistema de información política de seguridad no es una tarea fácil, pero con un poco de orientación que se puede hacer así . En la era de la información es esencial que todas las organizaciones a desarrollar , comunicar y mantener una política de seguridad de la información bien escrita .