Sete Chaves para a Segurança da Informação Desenvolvimento de Políticas

Como maduro é o seu programa de política de segurança da informação? Você tem um conjunto de documentos desatualizados armazenados em um local ligante ou intranet? Ou você tem um programa de gestão documentado que mantém suas políticas até à data, os usuários informados e seus auditores internos para dormir à noite?

Neste artigo revemos sete características principais de um programa de gestão da política de segurança de informação eficaz. Estes elementos são abatidos a partir de nossas práticas de líderes, estruturas de segurança da informação e privacidade, e os incidentes que envolvem as políticas de segurança da informação. As organizações podem usar esta lista de verificação para avaliar a maturidade das suas políticas de segurança da informação existentes.

1. Documentos escritos Política de Segurança da Informação com Controle de Versão

Mesmo que pareça óbvio, padrão de segurança de quase todas as informações e quadro requer especificamente as políticas de segurança da informação a ser escrita. Como as políticas de segurança da informação escrita definir a gestão de expectativas e os objectivos enunciados para a proteção das informações, as políticas não pode ser "implícita" -, mas tem que ser documentada. Ter um "documento de política de segurança por escrito" é o primeiro controle chave estabelecido na norma internacional ISO /IEC 1-7799: 2005 (ISO 27002), e é fundamental para a realização de auditorias interna e externa. Mas o que são algumas das características que fazem de um documento de política efetivamente escrito?

2. Definido Política de Propriedade Document

Cada informações do documento de política de segurança por escrito deve ter um proprietário definido ou autor. Esta declaração de propriedade é o laço entre as políticas escritas e o reconhecimento da responsabilidade da administração para atualizar e manter as políticas de segurança da informação. O autor também fornece um ponto de contato se alguém na organização tem uma pergunta sobre os requisitos específicos de cada política. Algumas organizações têm escrito políticas de segurança da informação que estão tão fora de moda que o autor não é mais empregado pela organização.

3. Grupos de usuários direcionados para cada Política de Segurança

Nem todas as políticas de segurança da informação são adequados para cada função na empresa. Portanto, os documentos de política de segurança da informação escrita devem ser direcionados para públicos específicos com a organização. Idealmente, esses públicos devem estar alinhados com as funções do usuário funcionais dentro da organização.

Por exemplo, todos os usuários podem precisar de rever e reconhecer Internet Políticas de Utilização Aceitável. No entanto, talvez apenas um subconjunto de usuários seriam obrigados a ler e confirmar uma política de computação móvel que define os controlos necessários para trabalhar em casa ou na estrada. Os funcionários já estão confrontados com a sobrecarga de informações. Simplesmente colocando todas as políticas de segurança da informação na intranet e pedindo às pessoas para lê-los, você está pedindo realmente ninguém para lê-los.

4. Informações completas Segurança Cobertura Tópico

Uma vez que as políticas de segurança da informação escrita fornecer o projeto para todo o programa de segurança, é fundamental que eles abordam os principais controles de lógica, técnica e de gestão necessárias para reduzir o risco para a organização. Exemplos incluem controle de acesso, autenticação de usuário, segurança de rede, controles de mídia, segurança física, resposta a incidentes, e continuidade de negócios. Enquanto o perfil exato de cada organização é diferente, muitas organizações podem olhar para os requisitos regulamentares para definir a cobertura de tópicos de política de segurança para a sua organização. Por exemplo, empresas de saúde dentro dos Estados Unidos deve atender os requisitos da HIPAA, serviços financeiros empresas devem abordar a Lei Gramm-Leach-Bliley (GLBA), enquanto as organizações que armazenam e cartões de crédito processo deve seguir as exigências do PCI-DSS.

5. A consciência política Verificado e Audit Trail

documentos de política de segurança não será eficaz a menos que sejam lidas e compreendidas por todos os membros do público-alvo pretendido para cada documento. Para alguns documentos, como uma Internet Política de Utilização Aceitável ou do Código de Conduta, o público-alvo é provável que toda a organização. Cada documento de política de segurança deve ter um correspondente "trilha de auditoria", que mostra que os usuários li e reconheceu o documento, incluindo a data de reconhecimento. Esta trilha de auditoria devem fazer referência à versão específica da política, para registrar quais políticas estão sendo aplicadas durante esse tempo períodos.

6. Um Processo Exception Política de Segurança da Informação escrita

Pode ser impossível para qualquer parte da organização de seguir todas as políticas de segurança da informação publicados em todos os momentos. Isto é especialmente verdadeiro se as políticas são desenvolvidas pelo departamento de segurança jurídica ou informação sem a entrada de unidades de negócios. Ao invés de assumir que não haverá exceções à política, é preferível ter um processo documentado para solicitar e aprovar exceções à política. Solicitações de exceção escritas devem exigir a aprovação de um ou mais gestores dentro da organização, e ter um período de tempo definido (seis meses a um ano), após o que as exceções serão analisadas novamente.

7. Atualizações regulares Política de Segurança para reduzir o risco

Contas, reguladores e tribunais federais enviou consistentemente a mesma mensagem - Nenhuma organização pode alegar que é efetivamente mitigar o risco quando se tem um conjunto incompleto, ultrapassada de políticas escritas. Políticas de segurança escritos formam o "esquema" de todo o programa de segurança da informação, e um programa eficaz deve ser monitorada, revistos e actualizados com base em um ambiente de negócios em constante mudança. Para ajudar as organizações com esta tarefa difícil, algumas empresas publicar uma biblioteca de escritos políticas de segurança da informação que são atualizados regularmente com base nos mais recentes ameaças de segurança da informação, mudanças regulatórias e as novas tecnologias. Tais serviços podem salvar muitas organizações milhares de dólares manutenção de políticas escritas Restaurant  .;