La Política de uso aceptable (AUP) es un conjunto de restricciones y prácticas que los usuarios deben aceptar y firmar para acceder a la red corporativa, los puntos finales, las aplicaciones e Internet.
La Política de seguridad de la información es una declaración de cómo la organización planea proteger los activos físicos y de tecnología de la información (TI) de la empresa.
¿Entonces AUP es parte de la política de infosec?
En resumen 'Sí'.
Por ejemplo, PCI-DSS define una política de seguridad como "un conjunto de leyes, reglas y prácticas que regulan la forma en que una organización administra, protege y distribuye información confidencial" y, como tal, incluye todas las políticas de (sub) seguridad que pueden ser Específico para diferentes tecnologías, prácticas y el AUP.
Hay un cierto desacuerdo sobre el término Política de seguridad con algunas organizaciones que usan este término específico para referirse a una declaración corta (generalmente de menos de una página) sobre la postura de la organización y su enfoque sobre la seguridad, es decir, un tipo de declaración de misión de seguridad. .
Sin embargo, para la mayoría de las organizaciones, una AUP es una parte clave de la política de seguridad en su conjunto, como lo es la política de "cifrado de datos en reposo y en tránsito" y la "política de gestión de cambios de firewall" y la red y servicios de auditoría y política de pruebas 'etc. etc.
Los dos conceptos están relacionados, pero son distintos. En general, una política de seguridad es algo detallada y va más allá de lo que debe preocupar a cada usuario final. Sin embargo, no todos los aspectos de la AUP son conceptos de seguridad; por ejemplo, el AUP de mi escuela tiene una línea que prohíbe el uso de la red para sugerir el respaldo de la escuela a un candidato político, excepto cuando lo apruebe la oficina del abogado general. Las AUP son políticas legalistas destinadas a gobernar conducta en el sistema; esto va más allá de proteger el sistema de TI y de proteger a la organización en sí misma.
Ahora, en algunos lugares, la oficina de seguridad de la información también está a cargo del cumplimiento normativo y normativo, ya que las ideas a menudo se entrelazan. Pero los AUP no son inherentemente parte de la política de seguridad, porque no están diseñados principalmente para proteger la integridad de los sistemas de TI; deben imponer una conducta aceptable incluso si no representa un riesgo de seguridad para la organización y no implica ningún riesgo para la confidencialidad, integridad o disponibilidad.
Lea otras preguntas en las etiquetas corporate-policy