Las políticas de seguridad de la información se establecen dentro de una organización para proteger lo que hoy se conoce como el activo más valioso: la información.
Normalmente, estas políticas están contenidas en documentos que establecen las directrices y los procedimientos que se deben seguir para proteger los sistemas y la información; estas políticas van orientadas a garantizar la confidencialidad, integridad y disponibilidad de la información.
Dentro de una política de seguridad se deben incluir los objetivos, el alcance, las personas responsables, así como las normas o procedimientos y las técnicas o controles que se implementan, y las acciones a tomar en caso de incidentes.
Dentro de las políticas más frecuentes y que aplican para todas las personas involucradas en el sistema están:
Uso de contraseñas
Establece requisitos para la creación de contraseñas seguras, como longitud, complejidad, tipos de caracteres, uso de combinaciones únicas y periodicidad en el cambio de contraseñas..
Correo electrónico
Establece cómo se debe utilizar el correo electrónico de forma segura dentro de ámbito de la organización, incluyendo la prevención de phishing y el manejo de archivos adjuntos.
Acceso a la red
Define reglas para el acceso a la red de la organización. Esto puede incluir la restricción a ciertos dispositivos no autorizados y la protección del acceso a los equipos activos solamente a personal autorizado.
Almacenamiento y respaldo
Establece cómo, cuándo, dónde, quién y por cuál medio se debe almacenar y respaldar la información. Es indispensable para contar con una política de seguridad de la información robusta y confiable.
Las políticas de seguridad de la información son necesarias e importantes porque aparte de brindar protección a los activos de información, fortalecen la confianza de los(as) empleados(as), clientes(as) y otras partes interesadas en la seguridad de la información de la organización, y facilitan el cumplimiento de la normativa en cuanto a regulaciones y estándares de seguridad de la información.
Las organizaciones que implementan políticas de seguridad y cumplen con sus lineamientos, crean una cultura de seguridad, mediante la cual las personas son conscientes de los riesgos, de la importancia de la prevención y toman medidas para proteger la información.