Política de Seguridad Informática
|
Política de Seguridad Informática La Política de Seguridad Informática (PSI) constituye una declaración de intenciones sobre la que se va a basar todo el desarrollo de la seguridad.
- Según la actividad y tamaño de la organización, podrían existir versiones específicas de la política de seguridad para grupos de personas y áreas.
- La distribución de la política debe estar en función de la necesidad de saber.
- Cada PSI es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos, así como, un motor de intercambio y desarrollo en el ámbito de sus procesos. Invitación que debe concluir en una posición consciente y vigilante del personal por el uso de los recursos y servicios informáticos de la entidad.
- Todos los integrantes de la entidad deben comprender que la PSI afecta a todo el personal.
- La PSI, independientemente del proceso utilizado para su diseño, tiene que ser aprobado por la máxima dirección de la entidad.
- La PSI es una forma de comunicarse con los usuarios y los directivos.
- Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos importantes de la entidad.
Sumario
Características
- Fácil de comprender
- Viable
- Sencillas y concretas
- Revisables
- Proactivas
- Alineadas con los objetivos de la organización.
Distribución
- La PSI de alto nivel se tiene que distribuir a todo el personal de la entidad.
- La PSI más detallada se distribuirá de acuerdo con las necesidades de conocimiento.
Aspectos mínimos que deben incorporar la PSI
- Definición de la seguridad informática
- Conformidad y apoyo de la máxima dirección de la entidad
- Breve explicación sobre políticas, principios, prácticas y cumplimiento de seguridad.
- Declaración de propósitos de las políticas (objetivos y justificación)
- Definición de las responsabilidades
- Referencias a otros documentos
- No incluir nombre de personas/productos/estándares.
Redacción de la PSI
- La PSI debe ser clara y concisa, no debe prestarse a interpretaciones o confusiones.
- Deben tenerse en cuenta los siguientes aspectos en su redacción:
- Que se pretende proteger
- Quién es el responsable
- Donde es aplicable dentro de la entidad
- Cómo se va a comprobar que se está cumpliendo
- Cuándo entra en vigor
- Porqué se ha desarrollado
Auditorías de Seguridad y PSI
- Todo el personal la conozca y la entienda.
- Está actualizada
- Existen los responsables.
- Se realizan revisiones periódicas y los intervalos son coherentes con el riesgo
Fuentes
- Manual sobre Seguridad informática.
- Curso Fundamentos de la Ciberseguridad . Autores. M.Sc. Henry Raúl González Brito - Dr.C. Walter Baluja García - Dr. C. Raydel Montesino Perurena
- Documentos de Joven Club de Computación