This post is also available in: Português English Español
Una política de seguridad de la información es un documento muy denso para la mayoría de las empresas, sin embargo, fundamental para determinados negocios, especialmente aquellos de mayor tamaño y sectores que están regulados en el tema. Sin embargo, esto no significa que las empresas menores no deben tener un conjunto de directrices mínimas para garantizar la seguridad en sus ambientes, de acuerdo con sus complejidades y necesidades.
Por eso, en lugar de trabajar en el tema de política de seguridad de la información, traemos en ese material algunos ítems que deben ser tenidos en cuenta a la hora de crear su documento con las directrices de uso de Internet, lo que resulta más fácilmente absorbido por pequeñas y medianas empresas, o incluso grandes negocios con poca madurez en seguridad.
El propósito de una política de uso de Internet es definir lo que está permitido o no, a fin de que la empresa pueda atender las necesidades esenciales para que los colaboradores puedan desempeñar sus funciones en un ambiente de calidad.
Generalmente el documento que consolida la política de uso de Internet se inicia con orientaciones en cuanto a lectura/interpretación de la política. Esto significa dejar claro qué acciones se toman en caso de ocurrencias no contempladas por el documento. En este sentido la empresa podrá optar por la implantación de política permisiva, o bien política restrictiva. En las políticas permisivas, los accesos a los sitios son totalmente liberados, con excepción de aquellos enumerados en la política y/o configurados en la solución de seguridad utilizada por la empresa. En políticas restrictivas ocurre lo contrario, todos los sitios tienen su acceso restringido, con excepción de aquellos informados en la política y/o configurados en la solución de seguridad de la empresa.
Cabe resaltar que, incluso en ambientes con alto grado de libertad de acceso a internet y cultura organizacional diferenciada, se hace necesario la construcción y diseminación de un guía con buenas prácticas asociadas al uso de internet, buscando mejorar el uso del recurso en medio corporativo.
Durante el proceso de construcción de la política de uso de Internet, no pierda de vista la cultura organizacional, defendiendo los intereses del negocio, así como de los colaboradores que anhelan por un ambiente de trabajo con calidad para desempeñar sus actividades.
Siendo así, creamos un checklist con ítems que deben formar parte de la política de uso de internet, o referencia de buenas prácticas. Así usted puede construir su propio documento y hacer las adecuaciones necesarias.
Para facilitar aún más, también desarrollamos una plantilla de política de uso de internet. Con la plantilla y el checklist, sin duda usted construirá un gran documento.
[rev_slider es-hor-post-politica-uso-internet]
Antes de comenzar con el checklist, es importante resaltar la necesidad de compromiso entre las partes involucradas, en este caso en especial de los colaboradores. La política impactará sobre toda la empresa, por lo que no es indicado que sea tratada de manera arbitraria. En este sentido, la idea es promover una estructura de concientización, para que los colaboradores tengan mayor adherencia a la política propuesta.
Por lo tanto, a continuación tenemos 20 temas esenciales para cualquier documento que tenga como finalidad los objetivos citados a lo largo de este texto:
- El documento y sus actualizaciones deben estar disponibles para todos en cualquier momento dentro de la empresa, ya sea en una intranet, o en un archivo PDF en carpeta compartida;
- Es importante haber al menos una persona como patrocinador del documento y de los elementos que allí constan, promoviendo siempre los recuerdos, debates, aclaración de dudas y otros;
- Construya una estrategia de divulgación de la política con foco en concientización, produzca materiales interesantes y deje disponible en la intranet, mailing, o tableros;
- Convoque a cada uno de los sectores, a través de sus líderes, para participar en una reflexión sobre la iniciativa, para que puedan colaborar y especialmente definir lo que es importante para los sectores;
- Defina cuáles son las aplicaciones críticas para el negocio, que deben ser priorizadas en relación a las demás. Aplique priorización de tráfico y otros recursos para garantizar el funcionamiento prioritario en caso de agotamiento del recurso de internet;
- Defina en cada sector cuáles son las aplicaciones/softwares y otros necesarios para las actividades de trabajo, y cree mecanismos para evitar el uso de softwares restringidos;
- Defina en cada sector cuáles son los sitios y contenidos asociados al trabajo y también a aquellos que no están, pero que les gustaría que se les permita el uso, a tiempo completo, o en horarios flexibles;
- Defina cómo será el ingreso de equipos propios para fines de trabajo (BYOD) y qué requisitos mínimos de software y similares debe tener el colaborador; preferentemente cree un término y que lo firmen;
- Defina cómo será el uso de smartphones y equipos similares, así como los particulares dentro de la empresa, lo que está y lo que no está permitido, o que se debe evitar;
- Defina cómo será acceso externo a la empresa y bajo qué circunstancias se lo permitirá a los empleados;
- Defina cuales son los criterios de uso de la red inalámbrica, tanto para los colaboradores como los visitantes (proveedores, clientes); preferentemente emita un término de uso y recomendaciones para no utilizar Internet banking y otras aplicaciones privadas;
- Deje claro que los colaboradores no usen los recursos de la empresa para propósitos personales dentro de lo posible, con posibilidad de advertencia o despido;
- Deje claro a los colaboradores que el acceso a internet banking, u otras aplicaciones privadas, son de entera responsabilidad de los mismos, y si tales informaciones son expuestas por algún motivo, causando trastornos al empleado, la empresa no podrá ser responsabilizada en ningún momento;
- Defina buenas prácticas de uso y mantenimiento de equipos como computadoras, impresoras, teléfono y similares;
- Defina los criterios de uso del correo electrónico corporativo, como los tipos de información que se pueden enviar, los datos adjuntos, el patrón de suscripción, evitar el repaso de mailings y el uso con fines personales;
- Defina cómo se deben utilizar las impresoras y copiadoras, lo que se permite imprimir y para qué finalidades;
- Valide con el proveedor de seguridad si todo lo que se ha colocado como directriz puede ser contemplado en el producto, antes de poner en operación, y hacer los ajustes o cambiar el proveedor, si es necesario;
- Defina quién debe ser responsable de gestionar los cambios en las políticas o directrices de uso de Internet y recursos de informática, evaluando impacto, riesgos, así como garantizando la publicidad interna del cambio;
- Deje muy claro cuáles son las medidas adoptadas por la empresa en caso de incumplimiento o violación de algún ítem de las directrices;
- Formalice el documento y que se firme un término de aceptación por todos los colaboradores, o cree algún mecanismo para registrar la ciencia y el acuerdo de los mismos.
Usted puede (y debe) cambiar los ítems de acuerdo a su realidad, negocios mayores y con madurez requerirán innumerables otros ítems que no se encuadran en el propósito de este checklist. Pero si su empresa todavía no pone en práctica los ítems arriba, sin duda será un gran comienzo.
This post is also available in: Português English Español