--Originally published at Intervention IT
Documento que dicta como la compañía planea proteger los bienes tecnológicos, tanto físicos como la información.
Es considerado un documento viviente debido a que está en constante actualización dependiendo del cambio de la tecnología y requerimientos de los empleados.
Incluye una aceptación del uso de la información, descripción de planes de educación de los empleados en el uso de los recursos, descripción de medidas de seguridad usadas, y manera de evaluar esta seguridad.
Si bien son un requisito que tiene una base mayormente legal, en este se pueden encontrar de manera explícita la mayoría de las situaciones a las que una organización podría enfrentarse en caso de conflictos con el estado de sus bienes. El leer algún documento de este tipo hace un mayor bien que mal al mostrar un ejemplo práctico de medidas actuales en la industria para de la implementación de seguridad.
Ejemplos de políticas utilizadas son:
- Password Policy: Define las características de las contraseñas.
- Acceso a la red: Cantidad de errores o conexiones fallidas aceptadas.
- Acceso remoto: Define la aceptación y requisitos para el acceso remoto a la información.
- Conexión a internet: Define como se podrá el usuario conectar al internet y las capacidades y restricciones que tiene en el acceso a la web.
- Aplicaciones aprobadas: Define el tipo y cuales o cuantas aplicaciones se encuentran aprobadas para su uso en las máquinas de la empresa.
- etc…
+Info
http://www.comptechdoc.org/independent/security/policies/security-policies.html
http://searchsecurity.techtarget.com/definition/security-policy
