Con muy pocas excepciones. El pantano del hedor eterno. En pocas palabras: las políticas no son leyes. No tienes ese poder. Las políticas de ciberseguridad documentan una dirección de viaje; cómo nos gustaría que fueran las cosas. Todo lo que existe antes de que una política sea aplicable puede cumplirla o no. Esto no significa que debamos documentar las excepciones. Si algo no cumple, pero planeamos hacerlo compatible, por ejemplo, si algo no está integrado con SSO, trabajamos para integrarlo o dejamos de intentarlo. De cualquier manera, no tiene ningún valor documentar una excepción. Siempre que descubrimos que algo no puede cumplir con la política, lo mejor es actualizar la política. Por ejemplo podemos declarar que las cuentas compartidas están prohibidas. Posteriormente nos encontramos con que las cuentas de redes sociales de las empresas son compartidas y no podemos crear cuentas nominales. En lugar de escribir en alguna parte que las redes sociales son una excepción, es mejor cambiar la política para que diga «se deben evitar las cuentas compartidas a menos que exista una necesidad comercial específica para ellas». La única razón que se me ocurre para no actualizar una política con disposiciones que son inviables aplicar, es cometer el error de pensar que de algún modo son equivalentes a leyes. Ellos no son. Las políticas deben reflejar la realidad de su organización; lo contrario simplemente no sucederá, por mucho que lo intente.

Source link