¿La política de TI se aplica a la Junta Directiva? ¿Qué políticas aplican?

Trabajo en salud y escribo las políticas de TI (entre otras cosas). Todas mis políticas son revisadas por el equipo de cumplimiento corporativo y otros antes de ser finalizadas. Una vez que se aprueba una política, las primeras personas que tengo en la política son las que la solicitaron o ayudaron a escribirla.

Mi opinión es que las personas que ayudaron a crear la política deberían ser las que deben lidiar con ella primero para que sepan si funciona. Cuando cambié los requisitos de complejidad de las contraseñas, nuestro CEO necesitaba obtener información de su PC para una reunión. En lugar de aceptar una exención temporal del cambio de la política de contraseñas, insistió en mantener el mismo nivel que todos los demás.

Si alguien en nuestro consejo está utilizando un sistema conectado a nuestra red, puede usar la red inalámbrica de invitados o cumplir con las políticas. Todas las políticas que escribo tienen una cláusula de excepción, pero la excepción debe ser por escrito y revisada. Todas las excepciones se envían al auditor de cumplimiento dentro de los 30 días de la excepción y anualmente se envía la lista completa. Cualquier excepción expira no más de un año a partir de la excepción para forzar una revisión.

Estoy de acuerdo con que haya excepciones razonables, siempre que estén documentadas y sean necesarias. Cuando eso suceda, solo necesito que se demuestre un control de compensación.

Cada persona en la organización debe cumplir con las políticas. Dicho esto, ya que están a cargo, tienen el derecho de modificar las políticas.

Deben venderse según las políticas para que no las cambien. Lo está haciendo para proteger la inversión de la Junta.

EDITAR: con respecto a las políticas en conflicto entre las organizaciones, digo que se aplican las mismas políticas. ¿Cómo manejaría una computadora portátil externa?

De acuerdo con Steve, sin embargo, una fuente común de incumplimiento es el nivel de director o junta. Estas personas a menudo desean la última tecnología, o desean más libertad o flexibilidad que su personal, y están en una posición de poder, por lo que pueden exigirla, por lo que a veces el equipo de Seguridad de la información necesita identificar de manera proactiva las soluciones a los próximos problemas de tecnología para proporcionar una Solución segura por excepción en estos casos.

Cuando la administración superior / ejecutiva está totalmente comprometida con las políticas de seguridad, una organización suele ser más robusta y la gobernabilidad y el cumplimiento se demuestran más fácilmente, pero en la organización empresarial más habitual, el objetivo es hacer compromisos que permitan a las empresas mientras no afecta demasiado a la seguridad.

En mi experiencia, esto no varía mucho entre los países de Europa, América o Medio Oriente, o entre industrias. El punto es que las personas que ocupan cargos de alto nivel quieren hacer negocios a su manera, y por lo general, su forma de ser se considera adecuada para la empresa si generan ingresos y es ahí donde entran los profesionales de Seguridad de la información.

La circunstancia en la que una persona se sienta en más de una junta es un problema importante. El ideal de seguridad es, obviamente, segregar completamente cada función, sin embargo, es poco probable que un director lleve varias computadoras portátiles. Lo que sucede normalmente es que usan una cuenta y administran todos los correos electrónicos y accesos desde una máquina, y terminas confiando en que no cometan errores.

¡Peligroso!

La segregación por máquina virtual parece ser el siguiente paso lógico, pero solo he visto esto una vez. Esto se puede asegurar a un alto nivel, pero requiere una cierta cantidad de comunicación entre las organizaciones para acordar las configuraciones, etc.

Si tiene la suerte de operar en una jurisdicción donde los directores serían personalmente responsables por violar las protecciones implementadas a sabiendas, solo puede hacerles caso legal hasta que se den cuenta de que es mejor que cumplan con la política.

Un miembro de la junta nunca debe desviarse de la política de la compañía donde la política se aplica a ellos. La política debe ser clara sobre qué se aplica a quién y cuáles son las consecuencias de la violación. Las políticas pueden tener elementos contradictorios donde "permitido contra no permitido" depende de las posiciones y responsabilidades. La junta debe estar preparada para justificar la política a quien responda. Accionistas, Agencias Reguladoras, etc.

En lo que respecta a la política, la única posición en la que no quiere encontrarse es en la que, a sabiendas, permite / ayuda a los usuarios a burlar la política. Si tiene que tener excepciones documéntelas. Mejor aún, hacerlos parte de la política. Si la pizarra no se siente cómoda documentando una excepción y aún insiste en ser la excepción, pulir su currículum.

Un miembro de la junta no debe ser diferente de cualquier otro empleado con respecto a seguir las reglas. Pero depende de la junta directiva, a excepción de cualquier restricción legal, decidir si se les debe aplicar un conjunto diferente de reglas.

Es responsabilidad del miembro de la junta entender lo que se requiere de ellos. Si se colocan en una posición de conflicto, deben acercarse a ambas entidades e intentar llegar a un compromiso. Desde un punto de vista técnico, la solución más sencilla sería la completa segregación de recursos, es decir, dos máquinas separadas. Obviamente, esta no es la solución más útil. Intentaría disparar para darles acceso remoto a una máquina interna que, como acceso limitado, a lo que necesitan para hacer su trabajo. No soy un gran fan de darles acceso al correo electrónico donde pueden trabajar con documentos de su máquina personal. No importa lo que haga, asegúrese de que esté documentado y esté haciendo lo que su política indica que está haciendo.