Cele 12 elemente ale unei politici de securitate a informațiilor

Ce este o politică de securitate a informațiilor?

Amenințările de securitate evoluează constant, iar cerințele de conformitate devin din ce în ce mai complexe. Organizațiile trebuie să creeze o politică cuprinzătoare de securitate a informațiilor pentru a acoperi ambele provocări. O politică de securitate a informațiilor face posibilă coordonarea și aplicarea unui program de securitate și comunicarea măsurilor de securitate către terți și auditori externi.

Pentru a fi eficientă, o politică de securitate a informațiilor ar trebui:

• Să acopere procesele de securitate end-to-end din cadrul organizației.
• Să fie aplicabilă și practică.
• Să fie actualizată în mod regulat ca răspuns la nevoile de afaceri și amenințările în evoluție.
• Să fie concentrată pe obiectivele de afaceri ale organizației dvs.

Politicile de securitate a informațiilor pot avea următoarele beneficii pentru o organizație:

Facilitează integritatea, disponibilitatea și confidențialitatea datelor — politicile eficiente de securitate a informațiilor standardizează regulile și procesele care protejează împotriva vectorilor care amenință integritatea, disponibilitatea și confidențialitatea datelor.

Protejează datele sensibile — Politicile de securitate a informațiilor acordă prioritate protecției proprietății intelectuale și a datelor sensibile, cum ar fi informațiile de identificare personală.

Minimizează riscul incidentelor de securitate — O politică de securitate a informațiilor ajută organizațiile să definească proceduri pentru identificarea și atenuarea vulnerabilităților și riscurilor. De asemenea, detaliază răspunsurile rapide pentru a minimiza daunele în timpul unui incident de securitate.

Execută programe de securitate în întreaga organizație — Politicile de securitate a informațiilor oferă cadru pentru operaționalizarea procedurilor.

Oferă o declarație clară de securitate pentru parteneri — Politicile de securitate a informațiilor rezumă poziția de securitate a organizației și explică modul în care organizația protejează resursele și activele IT. Ele facilitează răspunsul rapid la solicitările de informații venite de la terți, clienți, parteneri și auditori.

Ajută la respectarea cerințelor de reglementare — Crearea unei politici de securitate a informațiilor poate ajuta organizațiile să identifice lacunele de securitate legate de cerințele de reglementare și să le rezolve.

O politică de securitate poate fi atât de largă pe cât doriți să fie, de la tot ce ține de securitatea IT și până la securitatea activelor fizice aferente, dar aplicabilă în întregul său domeniu. Următoarea listă oferă câteva considerații importante atunci când se dezvoltă o politică de securitate a informațiilor.

1. Scop

Mai întâi precizați scopul politicii, care poate fi:

• Să creați o abordare generală a securității informațiilor, în special în ceea ce privește standardele, cerințele de securitate și cele mai bune practici adoptate de organizație.
• Să detectați și să preveniți încălcările securității informațiilor, cum ar fi utilizarea greșită a rețelelor, datelor, aplicațiilor și sistemelor informatice.
• Să mențineți reputația organizației și să susțineți responsabilitățile etice, legale și guvernanța aplicabilă.
• Să respectați drepturile angajaților și ale clienților, inclusiv cum să reacționați la întrebările și reclamațiile cu privire la neconformitate.

2. Publicul

Definiți publicul căruia i se aplică politica de securitate a informațiilor. De asemenea, puteți specifica ce segmente de public nu intră în domeniul de aplicare al politicii (de exemplu, personalul dintr-o altă unitate de afaceri care gestionează separat securitatea poate să nu fie în domeniul de aplicare al politicii).

3. Obiective de securitate a informațiilor

Îndrumați-vă echipa de management să convină asupra unor obiective bine definite pentru strategie și securitate. Securitatea informațiilor se concentrează pe trei obiective principale:

• Confidențialitate — Numai persoanele autentificate și autorizate pot accesa datele și activele de informații.
• Integritate — Datele trebuie să fie intacte, exacte și complete, iar sistemele IT trebuie menținute operaționale.
• Disponibilitate — Utilizatorii ar trebui să poată accesa informații sau sisteme atunci când este necesar.

4. Politica de autoritate și control al accesului

Model ierarhic — Un manager superior poate avea autoritatea de a decide ce date pot fi partajate și cu cine. Politica de securitate poate avea termeni diferiți pentru un manager senior față de un angajat sau antreprenor junior. Politica ar trebui să sublinieze nivelul de autoritate asupra datelor și sistemelor IT pentru fiecare rol organizațional.

Politica de securitate a rețelei — Patch-urile critice și alte politici de diminuare a amenințărilor sunt aprobate și aplicate. Utilizatorii pot accesa rețelele și serverele companiei numai prin login-uri unice care necesită autentificare, inclusiv parole, date biometrice, cărți de identitate sau jetoane. Ar trebui să monitorizați toate sistemele și să înregistrați toate încercările de conectare.

5. Clasificarea datelor

Politica ar trebui să clasifice datele în categorii, care pot include „top secret”, „secret”, „confidențial” și „public”. Obiectivele clasificării datelor sunt:

• Pentru a înțelege ce sisteme și ce operațiuni și aplicații ating cele mai sensibile și controlate date, pentru a proiecta în mod corespunzător controalele de securitate pentru acel hardware și software (vezi 6.)
• Pentru a vă asigura că datele sensibile nu pot fi accesate de persoane cu niveluri de autorizare mai mici.
• Pentru a proteja datele extrem de importante și pentru a evita măsurile de securitate inutile pentru datele neimportante.

6. Suport de date și operațiuni

• Reglementările privind protecția datelor – sistemele care stochează date personale sau alte date sensibile – trebuie protejate conform standardelor organizaționale, bunelor practici, standardelor de conformitate din industrie și reglementărilor relevante. Majoritatea standardelor de securitate necesită, cel puțin, criptare, un firewall și protecție anti-malware.
• Backup de date — Criptați backupul de date conform celor mai bune practici din industrie, atât în mișcare, cât și în repaus. Stocați în siguranță mediile de rezervă sau mutați backup-ul în stocarea securizată din cloud.
• Mișcarea datelor — Transferați date numai prin protocoale securizate. Criptați orice informație copiată pe dispozitive portabile sau transmisă printr-o rețea publică.

7. Conștientizarea și comportamentul securității

Partajați politicile de securitate IT cu personalul dvs. Efectuați sesiuni de instruire pentru a informa angajații cu privire la procedurile și mecanismele dvs. de securitate, inclusiv măsurile de protecție a datelor, măsurile de protecție a accesului și clasificarea datelor sensibile.

Inginerie socială — Puneți un accent special pe pericolele atacurilor de inginerie socială (cum ar fi e-mailurile de phishing sau solicitările de informații prin apeluri telefonice). Faceți toți angajații responsabili pentru observarea, prevenirea și raportarea unor astfel de atacuri.

Politica unui birou curat — Securizați laptopurile cu un cablu de blocare. Distrugeți documentele sensibile care nu mai sunt necesare. Păstrați zonele imprimantei curate, astfel încât documentele să nu cadă în mâini greșite.

Colaborați cu HR pentru a defini cum ar trebui restricționat internetul atât la locul de muncă, cât și pentru angajații de la distanță care folosesc activele organizaționale. Permiteți utilizarea YouTube, a rețelelor sociale etc.? Blocați site-urile web nedorite folosind un proxy.

8. Politica de criptare

Criptarea implică codificarea datelor pentru a le menține inaccesibile sau ascunse de părți neautorizate. Ajută la protejarea datelor stocate în repaus și în tranzit între locații și se asigură că datele sensibile, private și proprietare rămân private. De asemenea, poate îmbunătăți securitatea comunicării client-server. O politică de criptare ajută organizațiile să definească:

• Dispozitivele și mediile pe care organizația trebuie să le cripteze.
• Când criptarea este obligatorie.
• Standardele minime aplicabile software-ului de criptare ales.

9. Politica de backup a datelor

O politică de backup a datelor definește regulile și procedurile pentru realizarea copiilor de rezervă ale datelor. Este o componentă integrală a protecției datelor generale, a continuității afacerii și a strategiei de recuperare în caz de dezastru. Iată funcțiile cheie ale unei politici de backup a datelor:

• Identifică toate informațiile pe care organizația trebuie să le facă copii de rezervă.
• Determină frecvența backup-urilor, de exemplu, când se efectuează o copie de rezervă completă inițială și când se execută backup-uri incrementale.
• Definește o locație de stocare care conține date de rezervă.
• Listează toate rolurile responsabile cu procesele de backup, de exemplu, un administrator de backup și membrii echipei IT.

10. Responsabilitățile, drepturile și îndatoririle personalului

Numiți personalul care să efectueze revizuiri privind accesul utilizatorilor, educație, management al schimbărilor, gestionarea incidentelor, implementare și actualizări periodice ale politicii de securitate. Responsabilitățile ar trebui să fie clar definite ca parte a politicii de securitate.

11. Criterii de referință pentru întărirea sistemului

Politica de securitate a informațiilor ar trebui să facă referire la benchmark-uri de securitate pe care organizația le va folosi pentru a consolida sistemele critice, cum ar fi benchmark-urile Center for Information Security (CIS) pentru Linux, Windows Server, AWS și Kubernetes.

12. Referiri la reglementări și standarde de conformitate

Politica de securitate a informațiilor ar trebui să facă referire la reglementări și standarde de conformitate care au impact asupra organizației, cum ar fi Regulamentul general privind protecția datelor (GDPR), Standardul de securitate a datelor pentru industria cardurilor de plată (PCI DSS), etc.