Logotipo de Trellix
¿Por qué Trellix?
Plataforma
Servicios
Partners
Recursos
Acerca de
Primeros pasos
¿Ha sufrido un ataque?
Soporte
Póngase en contacto con nosotros
Menú principal
¿POR QUÉ TRELLIX?
¿Por qué Trellix? Ventajas de Trellix frente a la competencia La ventaja de Trellix Platform Certificaciones y conformidad
INTELIGENCIA DE AMENAZAS
Advanced Research Center Trellix Insights Informes de amenazas Últimos artículos de blog
Menú principal
FUNCIONES DE LA PLATAFORMA
Acerca de nuestra plataforma Trellix Wise Motor
CATEGORÍAS DE PRODUCTOS
Seguridad para endpoints Seguridad de los datos Seguridad para redes Inteligencia de amenazas Seguridad del correo electrónico Operaciones de seguridad Ver todos los productos
SOLUCIONES
Tecnología operativa Detección y respuesta al ransomware Estrategia de confianza cero (Zero Trust) Inteligencia artificial y operaciones de seguridad CISO Sector público
Menú principal
SERVICIOS PROFESIONALES
Trellix Thrive Servicios MDR (Managed Detection and Response) Servicios para soluciones Trellix Guardians
EDUCACIÓN Y FORMACIÓN
Servicios educativos Cursos de formación
Menú principal
NUESTRA RED
Presentación para partners Security Innovation Alliance OEM & Embedded Alliances Servicios prestados por los partners
PORTAL DE PARTNERS
Inicio de sesión en el portal de partners de Trellix Conviértase en partner
LOCALIZADOR DE PARTNERS
Buscar un partner de Trellix
PARTNERS ESTRATÉGICOS
Amazon Servicios web (AWS) Google Cloud Telefónica Tech
Menú principal
CENTRO DE RECURSOS
Biblioteca de recursos Historias de clientes Concienciación sobre la seguridad Temas
APRENDER
Seminarios web Semanalmente Serie de charlas técnicas Visitas guiadas por productos
INICIO DE SESIÓN
Inicio de sesión en Trellix Trellix Hive Developer Portal Marketplace
Menú principal
EMPRESA
Acerca de Trellix Equipo directivo Reconocimientos el sector Experiencias de los clientes Oportunidades de empleo
MEDIOS DE COMUNICACIÓN
Notas de prensa Últimas Noticias Blogs Acceder a la sala de prensa
CONECTAR
Eventos Contáctenos

Directivas y procedimientos

Definición Norma Propietario de las directivas Auditoría de directivas Solicitar una demostración

La ciberseguridad es un problema importante tanto para los departamentos de TI como para los altos ejecutivos. Sin embargo, la seguridad debe ser una preocupación para todos los empleados de una organización, no solo para los profesionales de TI y los líderes ejecutivos. Una forma eficaz de concienciar a los empleados sobre la importancia de la seguridad es mediante una directiva de ciberseguridad que explique las responsabilidades individuales para proteger los sistemas y los datos de TI. Una directiva de ciberseguridad establece los estándares de comportamiento para actividades como el cifrado de archivos adjuntos de correo electrónico y las restricciones en el uso de las redes sociales.

Las directivas de ciberseguridad son importantes porque los ciberataques y las filtraciones de datos son potencialmente costosos. Al mismo tiempo, los empleados suelen ser el eslabón débil de la seguridad de una organización. Los empleados comparten contraseñas, hacen clic en URL y datos adjuntos maliciosos, utilizan aplicaciones en la nube no aprobadas y no cifran archivos confidenciales.

Este tipo de directivas son especialmente críticas en empresas u organizaciones públicas que operan en sectores regulados como el sanitario, el financiero o el de los seguros. Estas organizaciones corren el riesgo de sufrir grandes sanciones si sus procedimientos de seguridad se consideran insuficientes.

Se espera que incluso las pequeñas empresas no sujetas a requisitos federales cumplan con los estándares mínimos de seguridad de TI y podrían ser procesadas por un ciberataque que provoque la pérdida de datos de usuarios si la organización se considera negligente. Algunos estados, como California y Nueva York, han establecido requisitos de seguridad de la información para las organizaciones que realizan actividades comerciales en sus estados.

Las directivas de ciberseguridad también son fundamentales para la imagen pública y la credibilidad de una organización. Los clientes, partners, accionistas y posibles empleados quieren pruebas de que la organización puede proteger sus datos confidenciales. Sin una directiva de ciberseguridad, es posible que una organización no pueda proporcionar tales pruebas.

Definición de una directiva de ciberseguridad

Los procedimientos de ciberseguridad explican las reglas sobre la forma en que los empleados, consultores, partners, miembros de la directiva y otros usuarios finales acceden a las aplicaciones en línea y a los recursos de Internet, envían datos a través de redes y adoptan prácticas de seguridad responsable. Por lo general, la primera parte de una directiva de ciberseguridad describe las expectativas, los roles y las responsabilidades generales de seguridad en la organización. Las partes interesadas incluyen consultores externos, personal de TI, personal financiero, etc. Esta es la sección "roles y responsabilidades" o "responsabilidad y responsabilidad de la información" de la directiva.

La directiva puede incluir secciones para diversas áreas de la ciberseguridad, como los requisitos para el software antivirus o el uso de aplicaciones en la nube. El SANS Institute proporciona ejemplos de muchos tipos de directivas de ciberseguridad. Estas plantillas de SANS incluyen una directiva de acceso remoto, una directiva de comunicación inalámbrica, una directiva de protección con contraseña, una directiva de correo electrónico y una directiva de firma digital.

Las organizaciones de sectores regulados pueden consultar recursos online que aborden requisitos legales específica, como la Lista de comprobación de conformidad de la HIPAA del HIPAA Journal o el artículo sobre gobernanza de TI sobre la redacción de una directiva conforme con el RGPD.

Para organizaciones grandes o aquellas en sectores regulados, una directiva de ciberseguridad suele tener decenas de páginas. Sin embargo, para las organizaciones pequeñas, una directiva de seguridad puede tener solo unas pocas páginas y cubrir prácticas de seguridad básica Estas prácticas pueden incluir:

  • Reglas para usar el cifrado de correo electrónico.
  • Pasos para acceder a las aplicaciones de trabajo de forma remota.
  • Directrices para crear y proteger contraseñas.
  • Reglas sobre el uso de las redes sociales.

Independientemente de la extensión de la directiva, debe priorizar las áreas de principal importancia para la organización. Eso podría incluir la seguridad para los datos más confidenciales o regulados, o la seguridad para abordar las causas de violaciones de datos anteriores. Un análisis de riesgos puede destacar áreas a las que se deben dar prioridad en la directiva.

La directiva también debe ser sencilla y fácil de leer. Incluya información técnica en los documentos de referencia, especialmente si esa información requiere una actualización frecuente. Por ejemplo, la directiva podría especificar que los empleados deben cifrar toda la información de identificación personal (PII). Sin embargo, no es necesario que la directiva especifique el software de cifrado específico que se debe utilizar ni los pasos para cifrar los datos.

¿Quién debe redactar las directivas de ciberseguridad?

El departamento de TI, a menudo el CIO o el CISO, es el principal responsable de todas las directivas de seguridad de la información. Sin embargo, otras partes interesadas suelen aportar a la directiva, según su experiencia y sus funciones dentro de la organización. A continuación se muestran las partes interesadas clave que probablemente participarán en la creación de directivas y sus funciones:

  • Los ejecutivos de alto nivel definen las necesidades empresariales clave en materia de seguridad, así como los recursos disponibles para respaldar una directiva de ciberseguridad. Redactar una directiva que no pueda implementarse debido a la falta de recursos es una pérdida de tiempo para el personal.
  • El departamento legal se asegura de que la directiva cumpla con los requisitos legales y con las normativas gubernamentales.
  • El departamento de recursos humanos (RR. HH.) es responsable de explicar e implementar las directivas de los empleados. El personal de RR. HH. se asegura de que los empleados hayan leído la directiva y sancionan a aquellos que la infringen.
  • Los departamentos de aprovisionamiento son responsables de examinar a los proveedores de servicios en la nube, gestionar los contratos de servicios en la nube y examinar a otros proveedores de servicios relevantes. El personal de adquisiciones puede verificar que la seguridad de un proveedor de nube cumpla con las directivas de ciberseguridad de la organización y verifique la eficacia de otros servicios relevantes externalizados.
  • Los miembros de los consejos de administración de las empresas y asociaciones que cotizan en bolsa revisan y aprueban las directivas como parte de sus responsabilidades. Pueden estar más o menos involucrados en la creación de directivas según las necesidades de la organización.

Al invitar al personal a participar en el desarrollo de directivas, tenga en cuenta quién es más importante para el éxito de la directiva. Por ejemplo, el participante ideal sería el director de departamento o el ejecutivo empresarial que implementará la directiva o proporcionará recursos para su implementación.

Actualización y auditoría de los procedimientos de ciberseguridad

La tecnología cambia continuamente. Actualice los procedimientos de ciberseguridad con regularidad; lo ideal es hacerlo anualmente. Establezca un proceso de revisión y actualización anual e implique a las principales partes interesadas.

Al revisar una directiva de seguridad de la información, compare las directrices de la directiva con las prácticas reales de la organización. Una auditoría o revisión de directivas puede identificar reglas que ya no ajustan a los procesos de trabajo actuales. Una auditoría también puede ayudar a identificar dónde se necesita una mejor implementación de la directiva de ciberseguridad.

El InfoSec Institute, una empresa de formación y consultoría en seguridad de TI, sugiere los siguientes tres objetivos de auditoría de directivas:

  • Comparar la directiva de ciberseguridad de la organización con las prácticas reales.
  • Determinar la exposición de la organización a amenazas internas.
  • Evaluar el riesgo de amenazas de seguridad externas.

Una directiva de ciberseguridad actualizada es un recurso de seguridad clave para todas las organizaciones. Sin una directiva, los usuarios finales pueden cometer errores y provocar violaciones de la seguridad de los datos. Un enfoque imprudente puede tener un alto coste para la organización en multas, costes legales, compensaciones, pérdida de credibilidad y daño a la marca La creación y el mantenimiento de una directiva pueden ayudar a prevenir estos resultados negativos.

Explore more Security Awareness topics

View Cybersecurity Topics View All Security Topics