Una política de seguridad es un conjunto de reglas, pautas y listas de comprobación. Los técnicos y administradores de red de una organización trabajan juntos para desarrollar las reglas y pautas relacionadas con las necesidades de seguridad de los equipos de computación. Las políticas de seguridad incluyen los siguientes elementos:
- Una instrucción de uso aceptable de la PC para la organización.
- Las personas que tienen permitido usar los equipos de computación.
- Los dispositivos que se permite instalar en una red, así como las condiciones de la instalación. Los módems y los puntos de acceso inalámbricos son ejemplos de hardware que puede dejar a la red expuesta a un ataque.
- Los requisitos necesarios para conservar la confidencialidad de los datos en una red.
- El proceso para que los empleados obtengan acceso a los equipos y los datos. Este proceso puede requerir que el empleado firme un acuerdo con respecto a las reglas de la compañía. También enumera las consecuencias por incumplimiento.
Las políticas de seguridad deben describir la forma en que la compañía se ocupa de los problemas de seguridad. Si bien las políticas de seguridad locales pueden variar según la organización, existen preguntas que toda organización se debe hacer:
- ¿Qué activos requieren protección?
- ¿Cuáles son las posibles amenazas?
- ¿Cómo se debe proceder en caso de una infracción de seguridad?
- ¿Qué tipo de capacitación se ofrecerá para instruir a los usuarios finales?
NOTA: para que una política de seguridad sea eficaz, todos los empleados deben seguirla y hacerla cumplir.