Política de seguridad cibernética

El ciberespacio es un entorno complejo que consiste en interacciones entre personas, software y servicios, respaldado por la distribución mundial de dispositivos y redes de tecnología de la información y la comunicación (TIC).

La ciberseguridad juega un papel crucial dentro del ámbito del mundo digital. Proteger la información y los datos se convirtió en uno de los desafíos más importantes en la actualidad. Siempre que esperamos seguridad cibernética, lo principal que involucra nuestra mente son los delitos cibernéticos, que aumentan enormemente día a día. Varios Gobiernos y Organizaciones están tomando muchas medidas para detener estos delitos cibernéticos. Además de varias medidas, la ciberseguridad sigue siendo una gran preocupación para varios. Las tres principales tendencias de ciberseguridad en 2021 son:

• Secuestro de datos
• Superficie de ataque cibernético (string de suministro de IoT y sistemas de trabajo remoto)
• Amenazas a la infraestructura de TI

En el extenso crecimiento del sector de TI en los diferentes países, planes ambiciosos para una rápida transformación social y crecimiento inclusivo, y proporcionar el tipo de enfoque adecuado para crear un entorno informático seguro y confianza adecuada en transacciones electrónicas, software, servicios, dispositivos , y las redes, se ha convertido en una de las prioridades apremiantes para todos.

El ciberespacio es vulnerable a una amplia variedad de incidentes, ya sean intencionales o accidentales, provocados por el hombre o naturales, y los datos intercambiados en el ciberespacio pueden explotarse con fines nefastos. La protección del ciberespacio de información y la preservación de la confidencialidad, integridad y disponibilidad de la información en el ciberespacio es la esencia del ciberespacio seguro.

Aquí hay algunas políticas de seguridad cibernética cubiertas en este artículo:

1. Política de Sistemas de Uso Aceptable de Datos

Esta política tiene como objetivo estipular el uso adecuado de los dispositivos informáticos en el corporativo/empresa. Estas reglas protegen al usuario autorizado y por lo tanto también a la empresa. El uso inapropiado expone a la empresa a riesgos que incluyen ataques de virus, compromiso de los sistemas y servicios de red y problemas legales.

2. Política de gestión de cuentas

El propósito de esta política es determinar una norma para la creación, administración, uso y eliminación de cuentas que faciliten el acceso a los recursos de información y tecnología en el corporativo.

3. Antivirus

Esta política se estableció para ayudar a prevenir ataques a computadoras, redes y sistemas tecnológicos corporativos por parte de malware y otros códigos maliciosos. Esta política está destinada a ayudar a prevenir daños a las aplicaciones, los datos, los archivos y el hardware del usuario. El software antivirus es un programa informático que detecta, previene y toma medidas para desarmar o eliminar programas de software malicioso, como virus y gusanos. La mayoría de los programas antivirus incluyen una función de actualización automática que permite que el programa descargue perfiles de nuevos virus para que pueda buscar nuevos virus tan pronto como se descubran. El software antivirus es imprescindible y una necesidad básica para todos los sistemas.

4. Política de comercio electrónico

La frecuencia de los ciberataques ha aumentado en los últimos años. La seguridad del comercio electrónico se refiere a las medidas tomadas para proteger a las empresas y a sus clientes contra las ciberamenazas. Esta política de comercio electrónico debe utilizarse como sugerencia y resumen dentro de la gestión de los servicios electrónicos de comercio electrónico.

5. Política de correo electrónico

La seguridad del correo electrónico puede ser un término para describir diferentes procedimientos y técnicas para proteger las cuentas de correo electrónico, el contenido y la comunicación contra el acceso no autorizado, la pérdida o el compromiso. Por lo general, el correo electrónico suele propagar malware, spam y ataques de phishing. Los atacantes utilizan mensajes engañosos para incitar a los destinatarios a compartir información confidencial, abrir archivos adjuntos o hacer clic en hipervínculos que instalan malware en el dispositivo de la víctima. El correo electrónico es además un punto de entrada estándar para los atacantes que buscan obtener una ventaja en una red empresarial y adquirir datos valiosos de la empresa. El cifrado de correo electrónico implica cifrar o disfrazar el contenido de los mensajes de correo electrónico para evitar que la información potencialmente confidencial sea leída por alguien que no sea el destinatario previsto. El cifrado de correo electrónico a menudo incluye autenticación.

6. Política de eliminación de hardware y medios electrónicos

El hardware sobrante propiedad de la empresa, las máquinas obsoletas y cualquier equipo que no pueda repararse o reutilizarse razonablemente, incluidos los medios, están cubiertos por esta política. Esta política establecerá y definirá estándares, procedimientos y restricciones para la disposición de medios y equipos de TI no alquilados de manera legal y rentable.

7. Política de Gestión de Incidentes de Seguridad

Esta política define la necesidad de informar y responder a los incidentes asociados con los sistemas de información y las operaciones de la empresa. La respuesta a incidentes brinda a la empresa el potencial de detectar cuándo ocurre un incidente de seguridad.

8. Política de Compra de Tecnologías de la Información

El motivo de esta estrategia es caracterizar normas, métodos y limitaciones para la adquisición de todos los equipos de TI, programación, partes relacionadas con PC y administraciones especializadas que se compran con las reservas de la organización. La adquisición de innovación y administraciones especializadas para la organización debe apoyarse y facilitarse a través del Departamento de TI.

9. Política web

El motivo de esta política es establecer las pautas para la utilización de Internet de la organización para el acceso a Internet oa la Intranet.

10. Política de gestión de registros

La gestión de registros suele ser de gran beneficio durante una especie de escenario, con una gestión adecuada, para reforzar la seguridad, el rendimiento del sistema, la gestión de recursos y el cumplimiento normativo.

11. Política de seguridad de red y uso aceptable de VPN

El propósito de esta política es definir estándares para conectarse a la red de la empresa desde cualquier host. Estos estándares están diseñados para atenuar la exposición potencial de la empresa a daños, que pueden resultar del uso no autorizado de los recursos de la empresa. Los daños incluyen la pérdida de datos sensibles o confidenciales de la empresa, propiedad, daños a los sistemas internos críticos de la empresa, etc.

12. Política de contraseñas

El concepto de usuario y contraseña ha sido una forma fundamental de proteger nuestra información. Esta puede ser una de las primeras medidas en materia de ciberseguridad. El propósito de esta política es determinar una norma para la creación de contraseñas seguras, la protección de estas contraseñas y, por lo tanto, la frecuencia de cambio de contraseña que se debe seguir.

13. Política de gestión de parches

Las vulnerabilidades de seguridad son inherentes a los sistemas y aplicaciones informáticas. Estas fallas permiten el evento y la propagación de software malicioso, que puede interrumpir las operaciones comerciales normales, además de poner en peligro a la empresa. Para mitigar este riesgo de manera efectiva, se ponen a disposición «parches» de software para deshacerse de una vulnerabilidad de seguridad determinada.

14. Adopción de la computación en la nube

El propósito de esta política es asegurarse de que la empresa pueda potencialmente tomar decisiones apropiadas de adopción de la nube y, en un momento equivalente, no use ni permita la utilización de prácticas inapropiadas de servicios en la nube. Los ejemplos de adopción de la nube aceptables e inaceptables se enumeran en esta política.

15. Política de seguridad del servidor

El propósito de esta política es definir estándares y restricciones para la configuración inferior de equipos de servidores internos propiedad de y/o operados por o en la(s) red(es) interna(s) de la empresa o recursos tecnológicos relacionados a través de cualquier canal.

16. Política de uso aceptable de las redes sociales

El uso de redes sociales externas dentro de las organizaciones con fines comerciales está aumentando. La empresa se enfrenta a la exposición de una cantidad particular de datos que serán visibles para los amigos de los amigos de las redes sociales. Si bien esta exposición puede ser un mecanismo clave que genere valor, también puede crear un conducto inapropiado para que la información pase entre contactos personales y comerciales. Las herramientas para determinar las barreras entre las redes personales y personales y las herramientas para administrar cuentas de forma centralizada apenas están comenzando a surgir. La participación del Departamento de TI en cuestiones de seguridad, privacidad y ancho de banda es de máxima importancia.

17. Política de Monitoreo y Auditoría de Sistemas

El monitoreo y la auditoría del sistema se emplean para determinar si se han producido acciones inapropiadas dentro de un sistema de datos. El monitoreo del sistema se emplea para buscar estas acciones en tiempo real, mientras que la auditoría del sistema las busca después del hecho.

18. Evaluación de la vulnerabilidad

El propósito de esta política es determinar los estándares para las evaluaciones periódicas de vulnerabilidad. Esta política refleja el compromiso de la empresa de detectar e implementar controles de seguridad, que pueden mantener los riesgos para los recursos del sistema de datos en niveles razonables y apropiados.

19. Política de funcionamiento del sitio web

El propósito de esta política es determinar las pautas con referencia a la comunicación y las actualizaciones del sitio web público de la empresa. Proteger el conocimiento en y dentro del sitio web corporativo, con estándares de seguridad y confidencialidad equivalentes utilizados en la transacción de todos los negocios corporativos, es importante para el éxito de la empresa.

20. Política de seguridad de la configuración de la estación de trabajo

El propósito de esta política es reforzar el estado operativo de seguridad y calidad de las estaciones de trabajo utilizadas en el corporativo. Los recursos de TI deben utilizar estas pautas al implementar todos los nuevos equipos de estaciones de trabajo. Se espera que los usuarios de las estaciones de trabajo se ocupen de estas pautas y trabajen en colaboración con los recursos de TI para cuidar las reglas que se implementan.

21. Virtualización de servidores

El propósito de esta política es determinar los requisitos de virtualización de servidores que describen la adquisición, el uso y la administración de tecnologías de virtualización de servidores. Esta política proporciona controles que garantizan que se tengan en cuenta los problemas empresariales, junto con los objetivos comerciales, al tomar decisiones relacionadas con la virtualización de servidores. Las políticas, los estándares y las pautas de la arquitectura de la plataforma se utilizarán para adquirir, diseñar, implementar y administrar todas las tecnologías de virtualización de servidores.

22. Política de conectividad inalámbrica

El propósito de esta política es asegurar y proteger los activos de conocimiento propiedad de la empresa y determinar la concientización y las prácticas seguras para conectarse a Wi-Fi gratuito y no seguro, que puede proporcionar la empresa. La empresa proporciona dispositivos informáticos, redes y otros sistemas de información electrónicos para objetivos e iniciativas. La empresa otorga acceso a esos recursos como un privilegio y debe administrarlos de manera responsable para cuidar la confidencialidad, integridad y disponibilidad de todos los activos de información.

23. Política de Teletrabajo

Para las necesidades de esta política, se hace referencia al empleado de teletrabajo definido que regularmente realiza su trabajo desde una oficina que no se encuentra dentro de un edificio o suite corporativos. El teletrabajo ocasional de los empleados o el trabajo remoto de los no empleados no se incluye aquí. Que se especializa en el equipo de TI que normalmente se proporciona a un teletrabajador, esta política aborda el acuerdo de trabajo de teletrabajo y, por lo tanto, la responsabilidad por el equipo proporcionado por la empresa.

24. Cortafuegos

Un cortafuegos es un programa de software o una pieza de hardware que ayuda a filtrar a los piratas informáticos, virus y gusanos que intentan acceder a su computadora a través de Internet. Todos los mensajes que ingresan o salen de Internet pasan por el firewall presente, que examina cada mensaje y bloquea aquellos que no cumplen con los criterios de seguridad especificados. Por lo tanto, los cortafuegos juegan un papel importante en la detección de malware.

25. Escáner de malware

Este es un software que a veces analiza todos los archivos y documentos presentes en el sistema en busca de códigos maliciosos o virus dañinos. Los virus, gusanos y caballos de Troya son muestras de software malicioso que a menudo se agrupan y se mencionan como malware.