Desarrollar e implementar políticas, normas de seguridad, procedimientos y directrices documentadas

Video: GrupoAlbeConsultoría - Los beneficios de implementar políticas y procedimientos en su organización

Las políticas de seguridad, normas, procedimientos y directrices son todos diferentes unos de otros, sino que también interactúan entre sí en una variedad de maneras. Es importante entender estas diferencias y relaciones, y también para reconocer los diferentes tipos de políticas y sus aplicaciones.

Para desarrollar e implementar seguridad de la información políticas, normas, directrices y procedimientos con éxito, debe asegurarse de que sus esfuerzos son consistentes con la misión, metas y objetivos de la organización.

Políticas, normas, procedimientos y directrices todos trabajan juntos como los planos de un programa de seguridad de la información con éxito. Ellos

  • Establecer un gobierno.
  • Proporcionar una valiosa orientación y apoyo a la decisión.
  • Ayudar a establecer la autoridad legal.

Con demasiada frecuencia, las soluciones técnicas de seguridad se implementan sin estos planos importantes. Los resultados suelen ser caros e ineficaces controles que no están uniformemente aplicados y no son compatibles con una estrategia global de seguridad.

Gobernancia es un término que representa colectivamente el sistema de políticas, normas, lineamientos y procedimientos que ayudan a dirigir las operaciones y decisiones del día a día de una organización.

políticas

UN politica de seguridad constituye la base del programa de seguridad de información de una organización. RFC 2196, El Manual de seguridad del sitio, define una política de seguridad como “una declaración formal de reglas por las que las personas que tienen acceso a los activos de tecnología y de información de una organización deben cumplir.”

Video: Decreto 1072 de 2015 Vs RUC / OHSAS - Parte 1 (Dec.1443 de 2014)

Los cuatro tipos principales de las políticas son

  • Alta Dirección: Un informe de gestión de alto nivel de los objetivos de una organización de seguridad, responsabilidades organizativas e individuales, la ética y las creencias, y los requisitos generales y los controles.
  • Regulador: políticas muy detalladas y concisas generalmente encargadas por gobierno federal, estatal, la industria u otros requisitos legales.
  • Consultivo: No es obligatorio, pero muy recomendable, a menudo con sanciones específicas o consecuencias en caso de incumplimiento. La mayoría de las políticas entran en esta categoría.
  • Informativo: Sólo informa, sin requisitos explícitos para su cumplimiento.

Normas, procedimientos y directrices están apoyando elementos de una política y proveen detalles específicos de implementación de la política.

ISO / IEC 27002, Tecnología de la información - Técnicas de seguridad - Código de prácticas para la Gestión de Seguridad, es un estándar internacional para la política de seguridad de la información. ISO / IEC es la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional. ISO / IEC 27002 consta de 12 secciones que en gran parte (pero no completamente) se superponen los dominios ocho (ISC) 2 de seguridad.

Video: MEDIDAS ORGANIZATIVA GENERALES QUE SE DEBEN IMPLEMENTAR PARA ADMINISTRAR LA SEGURIDAD INDUSTRIAL

Normas (y líneas de base)

normas son, requisitos obligatorios específicos que definen y apoyan las políticas de alto nivel aún más. Por ejemplo, una norma puede requerir el uso de una tecnología específica, tal como un requisito mínimo para el cifrado de los datos sensibles utilizando AES. Una norma puede ir tan lejos como para especificar la exacta marca, producto, o protocolo a implementar.

Las líneas de base y son similares a los relacionados con las normas. Una línea de base puede ser útil para identificar una base consistente para la arquitectura de seguridad de una organización, teniendo en cuenta los parámetros específicos del sistema, tales como diferentes sistemas operativos. Una vez establecidas las líneas de base consistentes, las normas apropiadas se pueden definir en toda la organización.

Algunas organizaciones llaman a sus estándares de documentos de configuración (y todavía otros los llaman entornos operativos estándar) en lugar de líneas de base. Esta es una práctica común y aceptable.

procedimientos

procedimientos proporcionar instrucciones detalladas sobre cómo implementar políticas específicas y cumplir los criterios establecidos en las normas. Los procedimientos pueden incluir procedimientos operativos estándar (SOP), libros, correr y guías de usuario. Por ejemplo, un procedimiento puede ser una guía paso a paso para el cifrado de archivos confidenciales mediante el uso de un producto de cifrado de software específico.

directrices

directrices son similares a las normas, sino que funcionan como recomendaciones y no como requisitos obligatorios. Por ejemplo, una directriz puede proporcionar consejos o recomendaciones para determinar la sensibilidad de un archivo y si se requiere cifrado.

Artículos Relacionados
Puestos de trabajo de seguridad de la información: legal, reglamentos, las investigaciones y el cumplimiento
Empleos seguridad de la información: la gobernabilidad y la gestión del riesgo
Normas de seguridad de la información: iso 27001
Funciones de los puestos superiores en la gestión de seguridad de la información
Lo que hay que saber acerca de cloud security alliance (csa) para un trabajo en seguridad de la información
Cómo obtener la certificación iso para demostrar los estándares de control de calidad
Linux: 2 partes de auditorías de seguridad informática
Linux: auditorías de seguridad informática
Establecer requisitos de manipulación para asegurar los datos
Asegurar la retención adecuada de los datos para la seguridad
Integrar las consideraciones de riesgos de seguridad en la estrategia y la práctica de adquisición
Acerca de (isc) 2 y la certificación cissp
Políticas de seguridad personal de
Estándar de seguridad de datos de pago industria de la tarjeta (pci dss)
Marcos de control de seguridad
Gobierno de la nube híbrida: riesgos y expectativas
Evaluar la infraestructura de seguridad para evitar cortes
Cifrado de contenido para dispositivos móviles de la empresa
Identificándola común tareas de arquitectura
Resumen de planificación de seguridad: los dispositivos móviles de la red