blog de OBS Business School

Políticas de seguridad informática: cómo tener todo bajo control

Blog |

Las políticas de seguridad informática describen los activos que la organización necesita proteger, las amenazas a esos activos y las reglas y controles para proteger a usuarios y empresa. La política debe informar a los empleados y usuarios autorizados de sus responsabilidades para proteger la tecnología y los activos de información del negocio.

¿Qué aspectos deben cubrir las políticas de seguridad informática?

Algunos de los puntos más importantes que toda empresa debe contemplar en la redacción de sus políticas de seguridad informática son:

  • Qué tipo de información de negocio que se puede compartir.
  • Qué se considera un uso aceptable de dispositivos y materiales en línea.
  • Cuáles son las reglas aplicables al uso y almacenamiento de material sensible.

Las empresas que no cuentan con políticas de seguridad informática podrían estar abiertas a ataques y problemas legales y, por eso, se trata de un asunto prioritario.

Recomendaciones para la redacción de las políticas de seguridad informática

Es importante que, una vez se definen las políticas de seguridad informática no queden almacenadas y olvidadas para siempre, sino que se difunda y haga público su contenido y se revisen y actualicen sus preceptos de forma regular. La política debe describir qué sistemas son necesarios para proteger los datos críticos contra ataques y quién es responsable de protegerlos.

Una política de seguridad cibernética debe incluir directrices sobre:

  • Cómo almacenar las contraseñas correctamente.
  • Con qué frecuencia se necesita actualizarlas.
  • La importancia de tener contraseñas únicas para diferentes inicios de sesión.

Estándares de correo electrónico

  • Cuándo es apropiado compartir la dirección de correo electrónico del trabajo.
  • Que solo se abren archivos adjuntos de correo electrónico de contactos y empresas de confianza.
  • Cómo bloquear correos basura, spam y estafas.
  • La necesidad de eliminar y reportar correos electrónicos sospechosos.

Manejo de datos sensibles

  • Cuándo se puede compartir datos sensibles con otros.
  • La forma de identificar adecuadamente los datos sensibles.
  • La necesidad de destruir cualquier dato sensible cuando ya no sea necesario.

Bloqueo de computadoras y dispositivos

  • Cuándo apagar físicamente las computadoras y dispositivos móviles cuando no están en uso.
  • La necesidad de bloquear las pantallas cuando quedan desatendidas.

Manipulación de dispositivos extraíbles

  • Cómo proteger los datos almacenados en dispositivos extraíbles como memorias USB.
  • La importancia de restringir el uso de dispositivos extraíbles para evitar que se instale malware.
  • La necesidad de escanear todos los dispositivos extraíbles en busca de virus antes de que puedan conectarse a los sistemas empresariales.

Uso de tecnología

  • Lugares donde los empleados pueden acceder a sus dispositivos, como una computadora portátil de negocios, lejos del lugar de trabajo.
  • Cómo almacenar dispositivos cuando no están en uso.
  • Cómo reportar un robo o pérdida de un dispositivo de trabajo.
  • El modo en que las actualizaciones del sistema, como los parches de TI y las actualizaciones del filtro de correo no deseado, se implementarán en los dispositivos de los empleados.

Medios de comunicación social y estándares de acceso a internet

  • Qué información empresarial se puede compartir en los canales de redes sociales.
  • A qué canales y medios puede accederse con la cuenta de correo electrónico del trabajo.
  • Directrices sobre los sitios web y los canales de medios sociales apropiados para acceder durante las horas de trabajo.

Gestión de incidencias

  • Cómo responder a un incidente cibernético.
  • Qué acciones tomar.
  • Roles y responsabilidades que intervienen en la gestión de un ataque cibernético.

Por último, hay que asegurarse de que lo que se decida incluir en las políticas de seguridad informática ayude a guiar a los empleados en el uso de la tecnología, la información y las transacciones e interacciones en línea, para que comprendan el importante papel que tienen cuando se trata de la seguridad de su empresa.