¿Cuenta con políticas de seguridad? De ser así, ¿cómo asegura su cumplimiento?
Si utiliza un sistema de gestión de la seguridad de la información (SGSI) entonces debe asegurarse de que las políticas de seguridad sean conocidas y cumplidas. Es un requerimiento de la norma ISO27001 para el SGSI.
Para asegurarse de que se están cumpliendo las políticas de seguridad hay que realizar auditorías internas con cierta periodicidad.
Para cumplir con las políticas es necesario que el personal afectado las conozca. Un asunto a veces difícil de lograr debido a la poca atención que el personal suele poner al contenido de las políticas, a leerlas, y muchas veces a los cambios ocurridos en ellas.
Es conveniente que las políticas sean situadas en un lugar accesible a los empleados. Con la tecnología de Internet, contar con un portal es una buena opción.
Además de incorporar la responsabilidad de conocer las políticas en el contrato de trabajo y en las descripciones de puestos, contar con algún medio de comunicación interna ayuda a ‘recordar’ a los empleados sobre las reglas del negocio para la seguridad de la información y al mismo tiempo refuerza el nivel de concientización de los empleados sobre el cumplimiento de las políticas.
Implementar revisiones entre pares es una práctica que puede ser útil en organizaciones donde se carece de personal de auditoría interna o este es limitado. En este esquema, se delega a empleados de una área para que revisen el cumplimiento de las políticas en otra área. Además de ayudar al cumplimiento de las políticas, incide en la cultura organizacional para con el cumplimiento y la seguridad de la información.
El plan de auditoría debe ser elaborado de forma anual y considerar el proceso para reportar los hallazgos y las recomendaciones pertinentes.