4. BUENAS PRACTICAS Y POLÍTICAS DE SEGURIDAD
Las buenas prácticas son un conjunto de recomendaciones generales, relativas a seguridad, que toda empresa debería de incorporar a su operativa diaria. Se trata de un documento que refleja un conjunto de normas básicas, que todos los empleados de la organización deben conocer, desde la dirección o gerencia, hasta los trabajadores de menor nivel en la escala o jerarquía de la organización, y lo más importante, todos deben hacer lo posible para cumplirlas e integrarlas en su actividad diaria.
El documento de buenas prácticas puede hacer referencia a múltiples aspectos relacionados con seguridad y se diferencia de la política de seguridad, en que no es de obligado cumplimiento, y por otro lado, suelen ser un conjunto de normas de alto nivel, que se pueden aplicar a todo tipo de escenarios, organizaciones y situaciones.
A continuación vamos a ver un modelo de documento de buenas prácticas, con algunos ejemplos de las recomendaciones que podemos encontrar en este tipo de documento.
Buenas practicas Ejemplo de documento de buenas prácticas: Usar contraseñas robustas y cambiarlas de forma regular. No instalar programas o aplicaciones que no estén relacionados con la actividad laboral. No utilizar el correo electrónico para el envío o recepción de datos personales. No conectar dispositivos USB al puesto de trabajo. No utilizar la mensajería instantánea en el horario de trabajo. No conectarse a redes sociales o mensajería instantánea en el horario del trabajo. No utilizar la dirección de email del trabajo para darse de alta en servicio de Internet que no estén relacionados con la actividad laboral.
Ejemplo de documento de buenas prácticas en seguridad TIC
Al contrario que las buenas prácticas, las políticas de seguridad, son normas que suelen estar diseñadas, al menos en parte, para una organización en concreto y situaciones especificas, de forma que, una política puede ser adecuada para una organización, y en cambio para otra no.
Educando en seguridad TI 13
Además, las políticas se pueden diseñar a varios niveles, por ejemplo, puede haber una política de seguridad general para toda la organización, pero luego, pueden existir otras más especificas, que hacen referencia a procesos concretos, o procedimientos específicos relacionados con una actividad determinada.
Política de contraseñas Un ejemplo de política específica es la política de contraseñas, la cual puede establecer los siguientes puntos o requisitos que se deben de cumplir: Las contraseñas deben de ser generadas usando un algoritmo, es decir, de forma automatizada. Las contraseñas deberán de tener una longitud mínima de 8 caracteres. Las contraseñas deberán de incluir como mínimo los siguientes grupos de caracteres: o Letras mayúsculas y minúsculas. o Números. Las contraseñas deberán de ser cambiadas cada 3 meses (ver procedimiento de renovación de contraseña)
Ejemplo de política de seguridad.
Las políticas suelen ser de obligado cumplimiento y de hecho, cada vez es más habitual que cuando un empleado es contratado por una empresa, uno de los documentos que debe conocer y leer detenidamente es precisamente, la política de seguridad. En muchos casos, aunque depende de la organización, la política de seguridad debe de ser aceptada por el empleado, para lo cual, firma el documento, indicando de esta forma su conformidad con los contenidos y comprometiéndose a su cumplimiento.
El contenido de las políticas de seguridad se refiere a lo que supone que debe de cumplirse, pero no describen cómo debe de hacerse, para ello están los procedimientos de seguridad, que detallan los pasos a seguir en cada procedimiento, de forma que además, estos procedimientos cumplan en todo momento la política de seguridad.
Finalmente, ya sea que se trate de buenas prácticas o de políticas de seguridad, es fundamental que todos los empleados las conozcan, ya sea en el momento de su incorporación a la organización, o durante el tiempo que dure su actividad en esta. Si se producen cambios o modificaciones, será necesario difundir los documentos actualizados a toda la organización. El valor de las buenas prácticas y las políticas está precisamente en que todos los miembros de la organización las conozcan.
Educando en seguridad TI 14
5. DOCUMENTO DE BUENAS PRACTICAS
A continuación proporcionamos un conjunto normas generales que pueden formar parte de cualquier documento de buenas prácticas. Todas las empresas y organizaciones, deberían de contar al menos con un documento de buenas prácticas con los siguientes puntos que se indican a continuación.
Ámbito de aplicación
Descripción Generales Para cualquiera de las aplicaciones y servicios usar contraseñas robustas y cambiarlas de forma regular. No instalar programas o aplicaciones que no estén relacionados con la actividad laboral. No utilizar el correo electrónico para el envío o recepción de datos personales. No conectar dispositivos USB al puesto de trabajo. No utilizar la mensajería instantánea, o servicios de redes sociales. Realizar copias de seguridad de forma regular.
Correo electrónico
No utilizar la dirección electrónica de empresa para darse de alta en sitios web o servicios que no estén relacionados con la actividad laboral.
No confiar en correos electrónicos de dudosa procedencia.
No abrir documentos adjuntos sin comprobar el remitente y el contenido del correo electrónico.
No enviar información sensible o confidencial a través del correo electrónico, sino es estrictamente necesario. Navegación web No acceder a sitios o contenidos no relacionados con la actividad laboral. No descargar aplicaciones o contenidos de sitios dudosos o de poca confianza. Para la tramitación o el envío de información sensible o confidencial a través de formularios utilizar siempre un protocolo seguro HTTPS.
Educando en seguridad TI 15
Tal y como se ha comentado, las buenas prácticas no son de obligado cumplimiento, pero su difusión a todos los empleados, supone que todo están informados y si se produce un incidente o se detecta algún tipo de actividad que vulnere alguno de los puntos que se indican en el documento de buenas prácticas, el empleado no podrá alegar desconocimiento o falta de información por parte de la empresa.
Además, las buenas prácticas son un primer paso para el establecimiento de políticas y procedimientos específicos de seguridad y también son el punto de partida para establecer un conjunto de normas básicas que todos los empleados deberían de cumplir.
Las buenas prácticas son un conjunto de recomendaciones generales, relativas a seguridad, que toda empresa debería de incorporar a su operativa diaria. Se trata de un documento que refleja un conjunto de normas básicas, que todos los empleados de la organización deben conocer, desde la dirección o gerencia, hasta los trabajadores de menor nivel en la escala o jerarquía de la organización, y lo más importante, todos deben hacer lo posible para cumplirlas e integrarlas en su actividad diaria.
El documento de buenas prácticas puede hacer referencia a múltiples aspectos relacionados con seguridad y se diferencia de la política de seguridad, en que no es de obligado cumplimiento, y por otro lado, suelen ser un conjunto de normas de alto nivel, que se pueden aplicar a todo tipo de escenarios, organizaciones y situaciones.
A continuación vamos a ver un modelo de documento de buenas prácticas, con algunos ejemplos de las recomendaciones que podemos encontrar en este tipo de documento.
Buenas practicas Ejemplo de documento de buenas prácticas: Usar contraseñas robustas y cambiarlas de forma regular. No instalar programas o aplicaciones que no estén relacionados con la actividad laboral. No utilizar el correo electrónico para el envío o recepción de datos personales. No conectar dispositivos USB al puesto de trabajo. No utilizar la mensajería instantánea en el horario de trabajo. No conectarse a redes sociales o mensajería instantánea en el horario del trabajo. No utilizar la dirección de email del trabajo para darse de alta en servicio de Internet que no estén relacionados con la actividad laboral.
Ejemplo de documento de buenas prácticas en seguridad TIC
Al contrario que las buenas prácticas, las políticas de seguridad, son normas que suelen estar diseñadas, al menos en parte, para una organización en concreto y situaciones especificas, de forma que, una política puede ser adecuada para una organización, y en cambio para otra no.
Educando en seguridad TI 13
Además, las políticas se pueden diseñar a varios niveles, por ejemplo, puede haber una política de seguridad general para toda la organización, pero luego, pueden existir otras más especificas, que hacen referencia a procesos concretos, o procedimientos específicos relacionados con una actividad determinada.
Política de contraseñas Un ejemplo de política específica es la política de contraseñas, la cual puede establecer los siguientes puntos o requisitos que se deben de cumplir: Las contraseñas deben de ser generadas usando un algoritmo, es decir, de forma automatizada. Las contraseñas deberán de tener una longitud mínima de 8 caracteres. Las contraseñas deberán de incluir como mínimo los siguientes grupos de caracteres: o Letras mayúsculas y minúsculas. o Números. Las contraseñas deberán de ser cambiadas cada 3 meses (ver procedimiento de renovación de contraseña)
Ejemplo de política de seguridad.
Las políticas suelen ser de obligado cumplimiento y de hecho, cada vez es más habitual que cuando un empleado es contratado por una empresa, uno de los documentos que debe conocer y leer detenidamente es precisamente, la política de seguridad. En muchos casos, aunque depende de la organización, la política de seguridad debe de ser aceptada por el empleado, para lo cual, firma el documento, indicando de esta forma su conformidad con los contenidos y comprometiéndose a su cumplimiento.
El contenido de las políticas de seguridad se refiere a lo que supone que debe de cumplirse, pero no describen cómo debe de hacerse, para ello están los procedimientos de seguridad, que detallan los pasos a seguir en cada procedimiento, de forma que además, estos procedimientos cumplan en todo momento la política de seguridad.
Finalmente, ya sea que se trate de buenas prácticas o de políticas de seguridad, es fundamental que todos los empleados las conozcan, ya sea en el momento de su incorporación a la organización, o durante el tiempo que dure su actividad en esta. Si se producen cambios o modificaciones, será necesario difundir los documentos actualizados a toda la organización. El valor de las buenas prácticas y las políticas está precisamente en que todos los miembros de la organización las conozcan.
Educando en seguridad TI 14
5. DOCUMENTO DE BUENAS PRACTICAS
A continuación proporcionamos un conjunto normas generales que pueden formar parte de cualquier documento de buenas prácticas. Todas las empresas y organizaciones, deberían de contar al menos con un documento de buenas prácticas con los siguientes puntos que se indican a continuación.
Ámbito de aplicación
Descripción Generales Para cualquiera de las aplicaciones y servicios usar contraseñas robustas y cambiarlas de forma regular. No instalar programas o aplicaciones que no estén relacionados con la actividad laboral. No utilizar el correo electrónico para el envío o recepción de datos personales. No conectar dispositivos USB al puesto de trabajo. No utilizar la mensajería instantánea, o servicios de redes sociales. Realizar copias de seguridad de forma regular.
Correo electrónico
No utilizar la dirección electrónica de empresa para darse de alta en sitios web o servicios que no estén relacionados con la actividad laboral.
No confiar en correos electrónicos de dudosa procedencia.
No abrir documentos adjuntos sin comprobar el remitente y el contenido del correo electrónico.
No enviar información sensible o confidencial a través del correo electrónico, sino es estrictamente necesario. Navegación web No acceder a sitios o contenidos no relacionados con la actividad laboral. No descargar aplicaciones o contenidos de sitios dudosos o de poca confianza. Para la tramitación o el envío de información sensible o confidencial a través de formularios utilizar siempre un protocolo seguro HTTPS.
Educando en seguridad TI 15
Tal y como se ha comentado, las buenas prácticas no son de obligado cumplimiento, pero su difusión a todos los empleados, supone que todo están informados y si se produce un incidente o se detecta algún tipo de actividad que vulnere alguno de los puntos que se indican en el documento de buenas prácticas, el empleado no podrá alegar desconocimiento o falta de información por parte de la empresa.
Además, las buenas prácticas son un primer paso para el establecimiento de políticas y procedimientos específicos de seguridad y también son el punto de partida para establecer un conjunto de normas básicas que todos los empleados deberían de cumplir.
No hay comentarios:
Publicar un comentario