O politică de securitate a tehnologiei informației (IT) identifică regulile și procedurile pentru toate persoanele care accesează și utilizează activele și resursele IT ale unei organizații. O politică de securitate IT eficientă este un model al culturii organizației, în care regulile și procedurile sunt determinate de abordarea pe care angajații săi o au față de informațiile și munca lor. Astfel, o politică eficientă de securitate IT este un document unic pentru fiecare organizație, cultivat din perspectiva oamenilor săi în ceea ce privește toleranța la risc, modul în care își văd și își prețuiesc informațiile și, în consecință, disponibilitatea pe care o mențin pentru aceste informații. Din acest motiv, multe companii vor considera că o politică de securitate IT tip „boilerplate” este nepotrivită din cauza faptului că nu ia în considerare modul în care oamenii organizației utilizează și împărtășesc efectiv informațiile între ei și cu publicul.
Obiectivele unei politici de securitate IT sunt păstrarea confidențialității, integrității și disponibilității sistemelor și informațiilor utilizate de membrii unei organizații. Aceste trei principii compun triada CIA:
- Confidențialitatea implică protecția activelor împotriva entităților neautorizate
- Integritatea asigură că modificarea activelor este tratată într-un mod specificat și autorizat
- Disponibilitatea este o stare a sistemului în care utilizatorii autorizați au acces continuu la activele respective
Politica de securitate IT este un document viu, care este actualizat continuu pentru a se adapta la evoluția cerințelor de afaceri și IT. Instituții precum Organizația Internațională de Standardizare (ISO) și Institutul Național de Standarde și Tehnologie al SUA (NIST) au publicat standarde și cele mai bune practici pentru formarea politicii de securitate. După cum stipulează Consiliul Național de Cercetare (NRC), specificațiile oricărei politici a companiei ar trebui să abordeze:
- 1. Obiectivele
- 2. Domeniul de aplicare
- 3. Obiectivele specifice
- 4. Responsabilitățile pentru conformitate și acțiunile care trebuie întreprinse în caz de neconformitate.
De asemenea, sunt obligatorii pentru orice politică de securitate IT secțiunile dedicate respectării reglementărilor care guvernează industria organizației. Printre exemplele comune se numără Standardul de securitate a datelor PCI și Acordurile de la Basel la nivel mondial, sau reforma Dodd-Frank Wall Street, Legea privind protecția consumatorilor, Legea privind portabilitatea și responsabilitatea în domeniul asigurărilor de sănătate și Autoritatea de reglementare a industriei financiare din Statele Unite. Multe dintre aceste entități de reglementare cer ele însele o politică scrisă de securitate IT.
Politica de securitate a unei organizații va juca un rol important în deciziile și direcția acesteia, dar nu ar trebui să modifice strategia sau misiunea acesteia. Prin urmare, este important să se redacteze o politică care să fie extrasă din cadrul cultural și structural existent al organizației pentru a sprijini continuitatea unei bune productivități și inovații, și nu ca o politică generică care împiedică organizația și oamenii săi să-și îndeplinească misiunea și obiectivele.
.