Hay una gran diferencia entre la "Política de seguridad de la información" y la "Estrategia de ciberseguridad". Como su nombre indica, son políticas y estrategias respectivamente y la administración a menudo se confunde entre ambos. Sin embargo, creo que los siguientes puntos ayudarán a explicar la diferencia.
Una política de seguridad de la información es un documento individual que:
-
Enumere los elementos que constituyen la seguridad de TI o la seguridad de la información.
-
Explique la necesidad de seguridad de TI.
-
Categorice los diversos tipos de datos de TI, es decir, equipos y procesos sujetos a esta política.
-
Indique, en términos generales, las responsabilidades de seguridad de la información de los diversos roles en los que cada miembro de la organización puede funcionar.
-
Indique niveles apropiados de seguridad a través de estándares y pautas.
Donde se incluirá una estrategia de ciberseguridad, pero no se limita a
-
Política de seguridad de la información
-
Política de sensibilidad a la información
-
Planes de respuesta ante incidentes y recuperación ante desastres
-
Cambiar el procedimiento de control
-
Estándares de configuración
-
Muchas más políticas, directrices, estándares, etc., que contribuirán colectivamente a la forma en que la organización anticipará / responderá a una amenaza / incidente de ciberseguridad.
Entiendo que algunos de los elementos se resaltarán en la Política de seguridad de la información, pero en general no se cubrirá todo. Espero que esto ayude de todos modos.