it-swarm-es.com

¿Dónde están algunas políticas de seguridad que están en uso?

Sé que hay muchas muestras de política de seguridad y plantillas en la web. Tengo curiosidad por saber si hay políticas de seguridad que realmente están en uso y aún se publican públicamente. Sé que están ahí fuera , así que estoy preguntando aquí para ver si alguien más tiene conocimiento de empresas u organizaciones que publican estas políticas para que todos lo vean. Si lo sabe, proporcione el enlace e incluso mejor si sabe por qué se publica públicamente que saciaría perfectamente mi curiosidad en el asunto.

12
James Santiago

Estaba recientemente mirando al otro día de Yammer: PDF

Un par de otros que he visto:

MIT

niversidad de MI

6
Josh Brower

Esto puede verse más como una plantilla que una política, pero creo que vale la pena mencionar aquí.

El Instituto Nacional de Estándares y Tecnología de los Estados Unidos tiene varias publicaciones especiales (SPS) con respecto a la seguridad de los sistemas de información. Estos se denominan colectivamente la 800 series , ya que todos ellos tienen designaciones numéricas que comienzan con 800. Son utilizadas por algunas organizaciones gubernamentales, y me imagino que algunas corporaciones también han adoptado los conceptos.

Quizás la más significativa de estos (y la más relevante para esta pregunta) es NIST SP 800-53 ", controles de seguridad recomendados para sistemas y organizaciones de información federales". A partir de esta escritura (Jan. 29, 2011), la versión más reciente de este documento es Rev. 3 y se puede descargar como A PDF aquí:

http://csrc.nist.gov/publications/nistpubs/800-53-rev3/sp800-53-rev3-final_updated-erRata_05-01-2010.pdf

Podría escribir un documento completo que describe lo que es este documento, cómo leerlo y cómo usarlo. Aquí, creo que es suficiente decir que proporciona una base sólida a partir de la cual una organización puede construir un plan de seguridad para la protección de sus sistemas de TI.

12
Iszi

Muchas compañías están muy nerviosas por la publicación de sus políticas por razones obvias. El mérito de esas razones, sin embargo, está al lado del punto. Por otro lado, he tenido mucha suerte encontrando tales políticas en los sitios educativos.

Debido al entorno específico dentro de las normas y políticas de la institución educativa, suelen estar disponibles públicamente. Las razones son muchas y varían dependen de la cultura de la institución, pero son a menudo algo en la línea de una noción inherente de "devolver" a la comunidad. Sobre la base de eso, puede encontrar un número significativo de visitas utilizando una norma Búsqueda de Google .

Estos son algunos que he usado para referencia a lo largo de los años, ya sea por sus políticas/estándar, o para los tipos de información que ponen a disposición:

7
Scott Pack

contra:

  • Costo: algunas organizaciones sienten que sus políticas deben ser su propiedad intelectual y, a medida que se cuesten el dinero para desarrollarse, no se deben entregar a otros
  • Fuga de datos: ¿la información de fugas de la política puede ser útil para un atacante? Muchas organizaciones no tendrán recurso de sobra para verificar, así que tome la decisión general de mantenerlos en todo privado.

Para:

  • Entornos compartidos: si tiene un buen conjunto de políticas, sus clientes, socios, etc. podrían usarlos para mejorar su propia seguridad, lo que lleva a un entorno empresarial más seguro y beneficiando a su organización indirectamente
  • Reputación: si su póliza parece muy buena, esto puede vincularse con una fuerte reputación de seguridad, que puede disuadir ciertas clases de atacantes, pueden apuntar a una fruta colgante más baja

Ejemplos

5
Rory Alsop