Políticas de la Empresa a Implementar
Las políticas de la empresa también afectan la seguridad de una organización. Ellos abordan los problemas de la empresa organizativos y departamentales, opuesto a los problemas del personal corporativo. Cuando se desarrolla la política de la empresa, se debe considerar estas principales áreas de preocupación.
Políticas de Separación de Responsabilidades
Las políticas para la separación de responsabilidades, están diseñadas para reducir el riego de fraude, y para prevenir otras perdidas en la organización. Una buena política requerirá más de una persona cumpla los procesos clave. Esto puede significar la persona quien procesa un pedido desde un cliente, no es la misma persona quien genera la factura o se ocupa de la facturación.
La separación de responsabilidades ayuda a prevenir varios problemas, como una malversación individual de dinero desde una compañía. Para malversar fondos con éxito, un individuo podría necesitar reclutar a otros para cometer un acto de colusión, esto es, un acuerdo entre dos o más partes establecido con el propósito de cometer engaño o fraude. Colusión , cuando es parte de un crimen, es también un acto criminal en si mismo.
Además, las políticas para la separación de responsabilidades, pueden ayudar a prevenir accidentes ocurriendo en una organización. Digamos se está gestionando un proyecto para el desarrollo del software. Se desea alguien realice unas pruebas para la garantía de seguridad sobre una nueva pieza de código, antes de ponerlo en producción. Establecer una clara separación de responsabilidades, previene el desarrollo de código ingrese al estado de producción hasta se cumplan las pruebas de calidad.
Muchos bancos e instituciones financieras requieren múltiples pasos y aprobaciones para transferir dinero. Para ayudar a reducir errores y minimizar la probabilidad de fraude.
Políticas de Privacidad
Las políticas de privacidad definen cuales controles se requieren para mantener e implementar la santidad de la privacidad de datos en el entorno de trabajo. Muchas restricciones relacionadas a la privacidad están contemplados en la legislación. Por ahora, sin embargo, se debe pensar en la política de privacidad como un documento legal el cual delinea como los datos recolectados son asegurados. Google proporciona un buen ejemplo. Este describe exactamente cual información recopila la compañía, las opciones de privacidad se tienen en base a la cuenta, información potencial compartida de los datos con otras partes, mecanismo de seguridad vigentes, y el cumplimiento. El último párrafo de la política debe aparecer en cada política de privacidad, y aborda el hecho de la política puede cambiar. Las palabras, tal como están escritas, son breves y claras: “Por favor tenga en cuenta esta política de privacidad puede cambiar de vez en cuando. No se reducirán sus derechos bajo esta Política de Privacidad sin consentimiento explícito. Se publicará cualquier cambio en la Política de Privacidad en esta página y, si los cambios son significativos, se proporcionará un aviso más prominente (incluyendo, y para ciertos servicios, notificaciones por correo electrónico de los cambios en la Política de Privacidad). También se mantendrán las versiones anteriores de esta Política de Privacidad en un archivo para su revisión”.
Políticas de Uso Aceptable
Las políticas de uso aceptable, describen como los empleados en una organización pueden utilizar los sistemas y recursos de la empresa, ya sea software y hardware. Esta política debe también delinea las consecuencias de un uso inadecuado. Además, la política (también conocida como política de uso) debe abarcar la instalación de software personal en las computadoras de la compañía, y el uso de hardware personal como dispositivos USB. Cuando dispositivos portátiles son conectados directamente en la máquina, estos evaden las medidas de seguridad de la red (como los firewalls), y permiten datos sean copiados. Esto también puede ser hecho si los empleados empiezan a utilizar unidades en la nube gratuitas, y este escenario debería abarcarse en las políticas de uso aceptable.
Cada política de uso aceptable actual debe incluir una sección sobre la utilización de teléfonos inteligentes (e incluso su presencia) en el lugar de trabajo. Aunque un teléfono inteligente es una conveniencia para los empleados (ellos pueden recibir y hacer llamadas personales más fácilmente en el trabajo), esto puede ser un dolor de cabeza para los administradores de seguridad. Muchos teléfonos inteligentes pueden almacenar archivos de la misma manera a cualquier dispositivo USB, y pueden ser utilizados para copiar archivos desde y hacia una estación de trabajo. Adicionalmente, la características de la cámara en la mayoría de teléfonos, posibilita un usuario tome fotos de cosas en la compañía, como documentos, servidores, e implementación física de seguridad, entre otras cosas la cual una compañía no desearía compartir. Por esta razón, la mayoría de instalaciones tienen estrictas restricciones sobre la presencia de teléfonos inteligentes en las inmediaciones.
Políticas de Seguridad
Las políticas de seguridad definen cuales controles se requieren para implementar y mantener la seguridad de los sistemas, usuarios, y redes. Esta política debe ser utilizada como una guía en las implementaciones y evaluaciones de los sistemas.
Vacaciones Obligatorias
Una política de vacaciones obligatoria requiere todo los usuarios se tomen un tiempo fuera del trabajo para refrescarse. Por contradictorio pudiese parecer, un empleado quien no se toma su tiempo de vacaciones, puede ser perjudicial para su salud, no únicamente del empleado, sino también para la salud de la compañía. Si la compañía se vuelve muy dependiente de una persona, puede terminar en una situación de atadura real, si algo le sucediese a esa persona. Las vacaciones obligatorias no solo le dan al empleado la oportunidad de refrescarse, sino también le brindan a la compañía la oportunidad de asegurarse, otros pueden llenar cualquier vació en los conocimientos y satisfaga las necesidades de replicación y duplicación en todos los niveles. Las vacaciones obligatorias también proporcionan una oportunidad para descubrir un fraude.
Rotación de Trabajo
Una política para la rotación del trabajo, define los intervalos en los cuales los empleados deben rotar a través de sus posiciones. Similar en propósito a las vacaciones obligatorias, ayuda a asegurarse la compañía no se convierte en dependiente de una persona (quien luego tiene la capacidad de hacer un enorme daño). Rotar los trabajos con una frecuencia suficiente, de tal manera no se ponga a si mismo o los datos, a merced de cualquier administrador. Al igual se desea redundancia en el hardware, también se desea redundancia en capacidades.
Cuando una persona puede reemplazar a otra, como por ejemplo por vacaciones obligatorias, brinda la oportunidad de ver aquello la persona está haciendo, y potencialmente descubrir un fraude.
Menor Privilegio
Una política de menor privilegios debe ser utilizada cuando se asignen permisos. Dar a los usuarios únicamente los permisos necesarios para hacer su trabajo y no más. Por ejemplo un empleado temporal nunca debe tener los derechos para instalar software, un recepcionista no necesita derechos para hacer copias de respaldo, etc. Cada sistema operativo incluye la capacidad de limitar los usuarios basándose en grupos y permisos individuales, y la compañía deberá adherirse hacia estas políticas, aplicando siempre únicamente los permisos necesarios a los usuarios, y bloquear aquellos no necesarios.
Planeamiento de Sucesión
El planeamiento de sucesión describe a aquellos internos en la organización, quienes tienen la capacidad de tomar posiciones cuando es factible. Identificar los roles clave los cuales no pueden dejarse sin ocupar, y asociándolos a empleados internos quienes pueden asumir estos roles, se puede prepararlos para asegurarse estén al día cuando llegue el momento de ocupar esos puestos.
Fuentes:
https://policies.google.com/privacy
https://www.thebalancesmb.com/effective-security-policies-394492
https://nces.ed.gov/pubs98/safetech/chapter3.asp
