Hay algunas plantillas fantásticas disponibles de SANS (plantillas de políticas de seguridad de la información) que siempre son lo que les doy a los clientes para un buen comienzo. Además, recomiendo leer:
El código de conducta Alphabet (nee ‘Google) (Alphabet Investor Relations).
El conjunto de políticas de UCLA: (Políticas y delegaciones)
- ¿Qué se necesita para hacer un nuevo programa / software antivirus? ¿Qué hay en el fondo?
- ¿Puedes obtener lo que alguien está escribiendo en su computadora simplemente escuchando el teclado de esa persona?
- ¿Cuáles son las amenazas asociadas con los dispositivos portátiles?
- ¿En qué campo debo hacer carrera, desarrollo web o seguridad cibernética?
- Cómo atraer clientes para una empresa de seguridad cibernética que quiero crear
La discusión de la política de ISACA: (https://www.isaca.org/Groups/Pro…)
También hay otras excelentes recomendaciones aquí, pero permítanme agregar algo:
Demasiadas personas (y compañías) hacen políticas como un mal necesario, sin considerar el punto de hacerlas en primer lugar. Las políticas no se refieren a las mejores prácticas o a convertirse en otra entidad corporativa sin alma: se trata de lo que la alta gerencia desea que suceda dentro de la organización.
¿Cuándo está redactando políticas que yo, como auditor, debo ver? Quiero ver lo que realmente estás haciendo, no lo que SANS dice que deberías estar haciendo. Quiero ver un lenguaje que explique su justificación, que describa el proceso, que establezca el mandato o que hable sobre los requisitos mínimos que tienen sentido tanto para su empresa como para su postura de seguridad. Si necesita mejorar en algún lugar, está bien, pero para su primer ejercicio, concéntrese en describir al bebé feo. Puedes embellecer al bebé más tarde, pero no me interesa a dónde vas o qué serás. Dime que eres Ahora mismo.
Adopte su cultura, las cosas que hacen que las personas quieran trabajar allí, en política. Deje de pensar que la política tiene que ser esta cosa arduamente horrible que arruina toda la diversión o cosas interesantes o diferentes sobre su empresa. He visto políticas corporativas que consagran la última mitad del viernes como días de unión, completa con margaritas … y apartaron a Superbowl el lunes como un día libre de la compañía. -NO HAY NADA MALO CON ESTO.- Nada.
El objetivo de las políticas es, ni más ni menos, capturar lo que la alta gerencia quiere y lo que los gerentes de implementación están haciendo para llegar allí. “Usted salvará, señor CISO, los datos de mis clientes”. “Sí, señor CEO, lo haré, y para ello haremos 1), 2), 3) …” … eso es todo. Permite que las personas entiendan su postura, las expectativas que existen para realizar una actividad en particular y cómo deberían ser las cosas.
No arruines esto aspirando. Comienza desde donde estás.
