¿Qué es una política de uso aceptable?

Una política de uso aceptable, que a menudo se conoce como AUP, es un documento por escrito que explica qué pueden y qué no pueden hacer los empleados y contratistas con la tecnología de la empresa. Por lo general, incluye laptops, computadoras de escritorio, teléfonos móviles, correo electrónico, aplicaciones de mensajería, acceso a internet, software en la nube y archivos de la empresa.

El objetivo no es castigar a las personas. Se trata de dar reglas claras en un lenguaje sencillo. Una buena política ayuda a evitar conductas riesgosas, protege la información del negocio y brinda a los gerentes una manera justa de manejar errores o problemas repetidos.

En una empresa pequeña, esto puede ser un documento breve. No necesita sonar como un libro de leyes. Solo debe ser claro, realista y estar relacionado con la forma en que tu equipo realmente trabaja.

La mayoría de los problemas tecnológicos en una empresa pequeña no los causa un hacker estilo película. Muchas veces empiezan con confusiones cotidianas. Alguien usa una cuenta personal de correo para el trabajo. Un archivo se guarda en el lugar equivocado. Un empleado instala software no aprobado. Se pierde un teléfono con correo de la empresa. Una política de uso aceptable ayuda a reducir esa confusión.

También ayuda a mantener la consistencia. Si una persona recibe la indicación de que puede usar dispositivos personales para el trabajo y otra persona recibe la instrucción de que no puede, se crea frustración y aumenta el riesgo. Una política escrita establece la misma base para todos.

En algunas industrias, las reglas tecnológicas por escrito también pueden apoyar esfuerzos de cumplimiento más amplios. Los requisitos varían según la industria y el estado. Por ejemplo, las empresas de salud pueden necesitar pensar en HIPAA, que significa Health Insurance Portability and Accountability Act (Ley de Portabilidad y Responsabilidad de Seguros de Salud). Las empresas que procesan tarjetas de pago pueden necesitar considerar PCI, que significa Payment Card Industry Data Security Standard (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago). Una política de uso aceptable no es todo el programa de cumplimiento, pero a menudo es una pieza útil.

Una política práctica suele explicar qué dispositivos y cuentas están aprobados para el trabajo, qué tipo de uso de internet y correo electrónico se permite, cómo los empleados deben manejar los datos de la empresa y qué pasa si se ignoran las reglas. También puede cubrir el trabajo remoto, el uso de dispositivos personales, la descarga de software y cómo reportar un dispositivo perdido o un mensaje sospechoso.

Muchas empresas también incluyen algunas reglas básicas de seguridad en un lenguaje claro. Por ejemplo, exigir contraseñas robustas, activar MFA, que significa autenticación multifactor, y mantener los datos de la empresa fuera de aplicaciones de almacenamiento personales. Si tu equipo usa laptops o teléfonos de la empresa, la política también puede indicar que esos dispositivos están destinados primero para uso de negocio.

Si trabajas con un MSP, que significa proveedor de servicios de TI administrados (managed IT services provider), ellos pueden ayudarte a redactar o revisar una política como parte de una planeación más amplia de TI. NodeBridge IT no redacta ni hace cumplir políticas. Brindamos educación general y podemos ayudarte a encontrar un proveedor independiente de TI administrada si quieres orientación externa.