Introducción
Uno de los principales objetivos de cualquier organización empresarial es generar ingresos o ganancias. Para que las empresas logren tales objetivos, deben establecer estructuras que faciliten sus funcionalidades hacia los objetivos establecidos. Este documento pondrá énfasis en las estructuras legales y políticas que una empresa debe establecer para alcanzar sus objetivos establecidos.
El manuscrito subrayará el entorno legal de la firma que explora las leyes, regulaciones y políticas, así como la forma en que influyen en las características de los sistemas de información, como la accesibilidad, la confiabilidad y la discreción.
Políticas de seguridad de la información
Las organizaciones no pueden socavar los roles que juegan las políticas hacia el logro de sus objetivos establecidos. Las políticas determinan las reglas y regulaciones, así como los procedimientos que todos los empleados de la organización deben cumplir (Gentile et al. 2005). Regulan todas las funcionalidades de una organización, incluidos los sistemas de información. La seguridad de la información dentro de una organización garantiza que todos los datos se almacenen y protejan de forma segura. Las políticas aseguran un procedimiento a través del cual se puede acceder y utilizar la información. También determinan cómo se debe mantener dicha información para lograr una confidencialidad, integridad y disponibilidad óptimas (Gentile et al. 2005).
Generalmente, hay dos tipos de políticas aplicadas dentro de una organización. Esas son las políticas empresariales y las políticas públicas. Las políticas públicas o del gobierno son aquellas políticas emitidas por los órganos estatales en todos los niveles de gobierno, como los gobiernos federales, estatales y locales (Canavan & Diver, 2007). Con respecto a la seguridad de la información, estas políticas a menudo se emiten y proporcionan estructuras y procedimientos que garantizan la seguridad de los datos de la organización. En un contexto más amplio, las políticas gubernamentales proporcionan un marco a través del cual las organizaciones anclan los procedimientos que requieren para proteger sus recursos de información y conocimiento (Whitman & Mattord, 2011).
Por otro lado, las políticas empresariales u organizacionales son reglas y regulaciones escritas a las que la organización debe adherirse (Danchev, 2003). Por ejemplo, las políticas que guían las conductas de los empleados normalmente se escriben en forma de cuerdas de conducta. Las políticas de seguridad de la información deben establecer procedimientos y directrices a través de los cuales la información y los usuarios deben estar protegidos.
Debe establecer reglas que guíen el uso de la información por parte de la administración, los administradores del sistema de información y el personal de seguridad (Canavan & Diver, 2007). Debe sancionar y describir las consecuencias de cualquier violación, identificar la posición de referencia de la empresa sobre las medidas de seguridad de la información, ayudar a reducir las posibilidades y hacer un seguimiento de la conformidad con el conjunto de leyes legislativas (Danchev, 2003).
Como se indicó anteriormente, el propósito principal de cualquier política, ya sea un gobierno o una empresa, es garantizar que todos los riesgos asociados con los datos de una organización se eliminen o reduzcan (Gentile et al. 2005). Una vez que se implementan estas políticas, se supone que las organizaciones deben asegurarse de que todos los interesados, particularmente los empleados, estén familiarizados con tales pautas. Además, la organización también debe garantizar el cumplimiento (Canavan & Diver, 2007).
Dentro de una organización, las políticas de seguridad de la información son esenciales para garantizar que se minimicen los riesgos asociados con el uso de los recursos de información (Whitman & Mattord, 2011). El primer paso para que las organizaciones garanticen el cumplimiento de la seguridad de la información es introducir procedimientos de política precisos y exigibles. Esto se puede lograr mediante la capacitación del personal sobre la política de información y su cumplimiento (Gentile et al. 2005).
Al mismo tiempo, las empresas también deben desarrollar políticas de seguridad de la información que aborden problemas de información confidencial, incluido el manejo y mantenimiento adecuados de los datos contables, las contraseñas y las identificaciones, además de cómo deben tratarse las amenazas de seguridad. Además, la política de seguridad de la información de la empresa debe explicar cómo la conectividad a Internet y las estaciones de trabajo deben usarse de manera segura y cómo los empleados deben usar el sistema de correo electrónico comercial de manera adecuada y segura.
En esencia, las políticas de seguridad de la información de la empresa se crean a propósito para definir procedimientos, leyes y regulaciones que aseguren que los recursos de información de la organización estén protegidos. La política de seguridad de la información capacita al personal sobre su responsabilidad de proteger los recursos de información y hace hincapié en la necesidad de asegurar la información al hacer negocios en línea (Danchev, 2003).
Leyes y reglamentos de seguridad de la información
Las regulaciones son las otras facetas que presiden sobre una entidad. Las regulaciones son instrucciones, un conjunto de leyes, directrices o resoluciones que detallan lo que se debe hacer y la forma en que se deben hacer las cosas (Canavan & Diver, 2007). En cuanto a la seguridad de la información, las regulaciones garantizan las medidas de control de seguridad para atenuar las amenazas. Las regulaciones normalmente especifican qué información deben o no deben hacer los usuarios.
Por ejemplo, las leyes HIPPA proporcionan pautas federales sobre cómo se supone que las entidades deben asegurar la información con respecto a la salud pública. Según la organización, todas las agencias relacionadas con la atención médica deben garantizar la privacidad, la honestidad y el acceso a toda la información que reciben, generan, transmiten o retienen. Estas agencias también deben proteger la información de salud protegida electrónicamente (e-PHI) alineada con amenazas predecibles plausibles, usos o revelaciones inadmisibles para la integridad de la información o la seguridad, así como el cumplimiento con sus empleados.
Conclusión
En general, se establecen leyes, políticas y regulaciones para estandarizar el entorno de trabajo para la seguridad y el bienestar de todas las partes interesadas. Del mismo modo, las políticas de información se ponen en marcha para proporcionar un medio a través del cual se puede lograr la seguridad de la información. La política de seguridad de la información garantiza la confidencialidad, la fiabilidad y la facilidad de uso de los datos de la organización.