¿Qué pasa con una política de privacidad? Tanto internos, como externos.
Puntos clave:
Debe describir la aceptación / el apetito de seguridad de la organización para que los estándares que respaldan la política se puedan definir en el entorno correcto.
También debe definir responsabilidades, propiedad y patrocinio.
Se actualizó solo para proporcionar algunos ejemplos, ya que dejé esta hermosa luz. A un alto nivel, debe tener las políticas mínimas que le permitan medir, comprender y regular su riesgo tecnológico. Estos también serán necesarios desde una perspectiva de gobernabilidad en muchos entornos -
Probablemente también querrá ver lo siguiente si proporciona servicios o productos a organizaciones más grandes, ya que pueden ejecutar un esquema de gobierno que incluya a sus terceros -
En el Reino Unido, debe definir sus requisitos de protección de datos con respecto a la Ley de protección de datos de 1998. También debe construir su marco de políticas teniendo en cuenta la familia de normas ISO27001, al igual que muchas auditorías y evaluaciones de seguridad para el regulador y para el La pieza de auditoría legal de TI está estructurada alrededor de 27001.
Una política de seguridad corporativa debe ser breve, fácil de leer y en términos generales. Básicamente, debería enumerar cuáles son las amenazas y riesgos generales para la empresa y el enfoque general para mitigarlos.
Por ejemplo, si tiene una compañía cuyo valor está en los datos que almacena en una base de datos, una política de seguridad corporativa puede establecer que la base de datos debe estar protegida con controles de seguridad de múltiples niveles, incluidos controles de acceso a la red y controles de encriptación, y tal vez esos datos confidenciales deben almacenarse en sistemas que existen bajo un estricto control de cambios.
La implementación de esos detalles dependerá más específicamente del propio sistema y de las tecnologías estandarizadas elegidas por la empresa, por lo que se debe detallar en la documentación de nivel inferior.
Estoy de acuerdo con los comentarios anteriores: la política "correcta" depende en gran medida de su organización.
Sin embargo, puede ser útil revisar la serie ISO / IEC 27000, que es un conjunto de estándares para la gestión de seguridad de la información que a menudo adoptan grandes organizaciones de TI ( enlace , enlace ).
Por ejemplo, 27002 es un "código de práctica" que cubre cosas como:
Incluso si no lo adoptas completamente, comenzaría con ese estándar para desarrollar un borrador de tabla de contenidos para tu política.
Eso depende: ¿cuáles son los mayores riesgos para su negocio? La política de seguridad no debe tener que ver con exigir antivirus, ya que todos los niños geniales tienen antivirus, deben entender qué amenazas son más importantes para que usted mitigue, y definir una estrategia (aunque no tácticas). ) para realizar dicha mitigación.
Lea otras preguntas en las etiquetas privacy corporate-policy