¿Qué políticas y acuerdos con respecto a la seguridad de la información son indispensables para todas las empresas que se respetan?

Quiero comenzar mi respuesta diciendo que trabajo en Auditoría / Seguridad de TI y esta respuesta se deriva de mi profesión.

  

Supongo que es una buena idea proporcionar a los usuarios de un sistema (o empleados) políticas y acuerdos con respecto a la seguridad de la información.

Esto no solo es una buena idea, sino que es esencial para proteger su lugar de trabajo. Los beneficios de implementar una política de seguridad de TI empresarial son numerosos, como los que se enumeran a continuación:

1. Responsabilidad del usuario
2. Protección de responsabilidad
3. Protección más efectiva de los datos de la empresa y los activos corporativos

La responsabilidad de los usuarios aumenta considerablemente ya que los usuarios ya no pueden decir "no hay política" o "No entendía / sabía que teníamos una política" La responsabilidad de la empresa se ve algo mitigada debido a la presencia de la responsabilidad de la gerencia como signo apagado en estas políticas implicaría. Finalmente, las políticas y los procedimientos que lo acompañan establecen un método consistente y confiable a través del cual la seguridad de la información se implementa en la empresa.

En cuanto a qué incluir en dicha política, los elementos que se enumeran son buenos para comenzar, pero no son adecuados para el lugar de trabajo moderno. Las políticas esenciales incluirían entre otras ... pero, en mi opinión, son más críticas:

1. respuesta a incidentes
2. Continuidad del negocio y recuperación ante desastres

Para implementar cualquiera de estas políticas, debe tener la participación de la empresa y la administración. Sin el compromiso de la parte superior, las políticas no tienen muelles. Al final, la seguridad de TI es esencial, pero en última instancia sirve como una forma de cumplir los objetivos comerciales. IT no puede sobrevivir aislado.

La necesidad de crear y capturar el reconocimiento de las políticas depende de varios factores como el presente o el que se espera realizar en futuras auditorías de cumplimiento, registro, etc. Las políticas que cualquier organización debe tener en cuenta serán las siguientes:

1. política de uso aceptable
2. política de gestión de cambios
3. política de uso de tecnología crítica
4. política de retención de datos
5. política de credenciales de la base de datos
6. política de sensibilidad a la información
7. política de seguridad de la información
8. política de protección de la información
9. política de contraseñas
10. política de cifrado aceptable
11. Políticas específicas de cumplimiento

Entonces habría procedimientos y documentos como

1. cambiar el procedimiento de control
2. plan de recuperación de desastres
3. Normas de configuración
4. procedimiento de respuesta a incidentes, etc.

Aquí, el público objetivo y la frecuencia de reconocimiento variarán según los roles y las responsabilidades asignadas a los individuos y los requisitos de la empresa detrás de tener esto en primer lugar, por ejemplo. La política de contraseñas, la política de seguridad de la información es para todos y debe ser firmada anualmente o con modificaciones considerables, sin embargo, el plan de respuesta a incidentes o el plan de recuperación ante desastres se aplica solo a las personas que necesitan participar en la actividad de contramedidas.

Espero que esto ayude.