¿Cómo diseñar una política de seguridad?

8

Recientemente, me encargaron la elaboración de una política de seguridad para una pequeña empresa de inicio compuesta por unas 30 personas en el Reino Unido. En gran medida, hasta ahora no se ha implementado nada concreto, sin embargo, dado que estamos tratando de enfrentarnos a los clientes del sector de servicios financieros y bancarios, esto debe cambiar.

Con muy poca experiencia en seguridad (soy ingeniero de software por día); y trabajando en una fecha límite muy ajustada, espero que haya plantillas / guías disponibles que pueda usar para ayudar a redactar esta política. Además, ¿qué se esperaría ver en una política de seguridad sólida, es decir, una empresa de servicios financieros podría estar contenta con?

    
pregunta dbotha 24.07.2012 - 15:59
fuente

3 respuestas

8

Como dijo Eric en su respuesta, el sitio SANS tiene un gran conjunto de plantillas de políticas de seguridad . BERR, un departamento gubernamental del Reino Unido, también escribió un documento excelente [PDF] que brinda algunos consejos estructurales excelentes para crear políticas de seguridad.

También puedo ofrecerte los siguientes consejos:

  • Solicite información a sus empleados al crear las políticas. ¿Pueden ver áreas de su trabajo que podrían verse obstaculizadas por una regla en particular? ¿Pueden pensar en cosas que has olvidado?

  • Identifica lo que estás tratando de proteger. Si su respuesta es "la red", no está pensando lo suficiente. ¿Qué activos son importantes para usted? El código fuente es obvio, pero las claves privadas del certificado SSL, los documentos de diseño, la información financiera, las órdenes de compra, etc. son importantes para su éxito.

  • La política de seguridad debe combinarse con una política de uso. A algunas personas no les gusta esto, pero es importante tener el contexto correcto. La política de seguridad se reduce esencialmente a lo que un usuario puede y no puede hacer, y lo que debe y no debe hacer. El uso es una extensión importante de esto.

  • Las políticas de seguridad a menudo se atascan en lo que no se permite. No se olvide de incluir excepciones, y una lista de cosas que considera aceptables (por ejemplo, "navegar por los sitios web de cómics / divertidos sitios web de cómics de NSFW está bien durante las horas del almuerzo, siempre y cuando sepa que tienen buena reputación y no lo harán". realizar exploits en el navegador ").

  • No intente crear listas exhaustivas cuando en su lugar se pueda usar una cláusula "dentro de lo razonable". Esto le permite tratar las cosas caso por caso. Espere que sus empleados encuentren un buen equilibrio y sea responsable.

  • Incluya secciones de texto que expliquen por qué una política está vigente. Formato de estas secciones de manera diferente, por ejemplo, con un fondo ligeramente sombreado, y explique al principio del documento que estas secciones no se consideran una parte vinculante de la política.

  • La política tiene que ver con los seres humanos, por lo que debe ser legible para los humanos. Para todos los efectos, los abogados no son humanos. El hecho de que su documento esté escrito en un lenguaje simple e informal no significa que no sea legalmente vinculante o serio. No hay absolutamente ninguna necesidad de enormes bloques de legales legales en las mayúsculas, exclamando que "LA VIOLACIÓN DE LA POLÍTICA DE SEGURIDAD RESULTARÁ EN QUE EL EMPLEADO SEA DESPEGADO DE UNA CANNON A LA LUNA PARA VIVIR CON WILLZYX AND TOM CRUISE ".

  • Quizás lo más importante, no escribas nada que no quieras aceptar. Además, apégate a la política de seguridad. Si un miembro del personal lo ve violando la misma política de seguridad que hizo que firmara, su autoridad vale cero y la política vale cero.

respondido por el Polynomial 24.07.2012 - 17:44
fuente
1

Recomendaría encarecidamente consultar el sitio SANS para obtener plantillas de políticas de seguridad. Son políticas bastante simples pero serían un muy buen punto de partida para todos ustedes. Cuando trabajé en una universidad, utilicé estos como punto de partida y una vez que eliminé lo básico, comencé a observar las políticas de otras universidades para poder comparar y contrastar lo que tenían con lo que tenía. Una vez que comience a compararse con sus compañeros, eso le permitirá saber lo que otros esperarán de todos ustedes.

    
respondido por el Eric 24.07.2012 - 16:18
fuente
0

Además de Polynomial 's excelente respuesta , he estado buscando soluciones "preempaquetadas en un documento o plantilla completa" para políticas / cobertura más generales y hasta el momento han encontrado:

Atención a la salud y / o cumplimiento de normas:

Estas soluciones "preempaquetadas en un documento" ofrecen potencialmente una ruta más corta y fácil para la implementación (para cumplir el fecha límite ajustada propósito) que compilar algo de una colección de plantillas o documentos.

Doy la bienvenida a los comentarios sobre cualquier fuente adicional, similar. Si es posible Los añadiré a la lista anterior.

Colección de plantillas y materiales relacionados:

Lo siguiente proporciona una lista de políticas en uso para (en su mayoría) organizaciones conocidas: ¿Dónde están algunas políticas de seguridad que realmente están en uso?

(Moderador: marque esta publicación como 'wiki de la comunidad' si es apropiado.)

    
respondido por el Johnny Utahh 15.06.2015 - 18:47
fuente

Lea otras preguntas en las etiquetas