Políticas y Procedimientos

Políticas Fuertes orientadas a programas de seguridad efectivos.

En la práctica, las políticas de seguridad de la información son el eje fundamental y prioritario para ejecutar un programa de seguridad de la información que sea verdaderamente efectivo. Dentro de la definición de las políticas se detalla claramente la expectativa que la empresa tienen al respecto de seguridad de la información y cómo estas protegerán la información sensible. Las políticas norman la forma de actuar tanto del equipo de TI como del área de seguridad así como de todos los empleados y son la base de todos los procedimientos y estándares organizacionales.

Por qué son importantes

No importa si hablamos de una pequeña o gran empresa, las políticas claramente detalladas y concisas son el mapa de ruta a seguir y que ayudan a la empresa a vencer los obstáculos. Las políticas norman tanto comportamiento como prácticas, dando una guía a los empleados para sus actividades diarias y proveen de una estructura para regresar a la normalidad luego de que se presenta un incidente de seguridad.

Es muy común que algunas organizaciones quieran acortar el tiempo de elaboración de políticas utilizando algunas predefinidas, que a menudo son demasiado engorrosas o incompletas. Hay que tener presente que una política demasiado ambigua no se ajusta a los datos de la organización y nunca será utilizada, dando como resultado potenciales complicaciones legales y de cumplimiento.

Es por eso necesario invertir tiempo y esfuerzo en crear y examinar cuidadosamente las políticas de seguridad, así como en socializarla entre los empleados, evitando de esta forma inversiones exponenciales de tiempo y esfuerzo cuando se trate de hacer frente a una intrusión o a una brecha de seguridad.

Cómo podemos ayudarlo

Nuestro conocimiento en seguridad de la información y años de experiencia como profesionales certificados, nos permite analizar y evaluar diferentes políticas implementadas en diferentes tipos de industrias.

Esto nos da una visión experta sobre los temas claves en seguridad de la información así como la capacidad de proporcionar ejemplos de políticas que han funcionado bien para organizaciones similares.

Nuestras políticas y revisiones de políticas se basan en requisitos de la industria como ISO 27000, PCI DSS, HIPAA/HITECH, o NERC CIP y mejores prácticas de seguridad generales, que abarcan tanto temas técnicos como operativos, que incluyen:

  • Permisos de acceso de usuarios
  • Políticas de uso aceptable
  • Diseño de red y segmentación
  • Configuración de sistemas
  • Parches del sistema y gestión de la configuración
  • Aplicación de codificación segura
  • Controles de acceso físico y electrónico
  • Registro de eventos y revisión
  • Pruebas de seguridad del sistema
  • Configuración de firewalls
  • Minimización de datos sensibles
  • Cifrado de datos sensibles (en almacenado y durante la transmisión)
  • Sistemas antivirus
  • Opiniones de registro de seguridad
  • Retención de la información de la seguridad
  • Respuesta a incidentes