Una política de seguridad informática es un conjunto de protocolos de seguridad que un usuario u organización establece para sus equipos. Por lo general, incluye detecciones de intrusiones, configuraciones de firewall, contraseñas de acceso de usuarios, inicios de sesión y procedimientos para usar ciertas aplicaciones de hardware y software. El tipo de política de seguridad informática que se utiliza puede variar ampliamente para las distintas redes informáticas empresariales y domésticas.
El departamento de tecnología de la información de una organización suele ser responsable de determinar y configurar una política de seguridad informática. El departamento debe establecer un conjunto de protocolos relacionados con el acceso a nivel de usuario. Por ejemplo, a algunos usuarios se les puede otorgar permiso para ciertas funciones y paquetes de software que otros no. En algunos casos, ciertos tipos de acceso están restringidos para todos los empleados. Un ejemplo común es que a los usuarios de computadoras en la mayoría de los lugares de negocios se les impide visitar ciertos sitios web que contienen material objetable o que permiten a un trabajador realizar negocios personales mientras están en el trabajo.
La seguridad externa es un componente vital de cualquier modelo de política. Pueden emplearse métodos de cifrado y redes privadas para evitar accesos no deseados. Además, una política de seguridad informática también puede establecer cortafuegos y configuraciones de seguridad individuales.
Parte de una política de seguridad informática especifica cómo se pueden almacenar y transferir los datos entre usuarios. Algunos protocolos permiten que los datos se transfieran desde la estación de trabajo individual de un usuario a una unidad externa o se carguen como un archivo adjunto de correo electrónico. Otras políticas pueden restringir esos privilegios y solo permitir que los usuarios compartan datos en una carpeta de red común. Se puede permitir el acceso remoto a ciertos programas y carpetas de red con ciertas credenciales de inicio de sesión.
Otra gran parte de cualquier política de seguridad informática determina cómo los usuarios pueden acceder a Internet y a los programas que envían datos a través de ella, como el correo electrónico y la mensajería instantánea. Es bastante común que una política de seguridad informática otorgue acceso y uso a algunos de estos programas a ciertos usuarios mientras restringe a otros. Por ejemplo, en un centro de llamadas, los puestos de nivel superior que requieren una mayor cantidad de comunicación pueden necesitar acceso a estas herramientas, mientras que los agentes de nivel inferior que principalmente atienden llamadas entrantes los encontrarían distraídos. Algunas empresas emplean una política general y solo otorgan acceso al personal directivo.
Las políticas de recuperación ante desastres a veces forman parte de un protocolo formal de seguridad informática. La mayor parte de esta área de seguridad tiene que ver con el almacenamiento de respaldo y quién puede acceder a ciertos datos en caso de desastres naturales que destruyan sistemas completos. La planificación de infecciones virales o fallas del servidor también puede afectar las políticas de respaldo de datos. El departamento de tecnología de la información de una organización generalmente será responsable de diseñar planes de recuperación, asignar puntos de contacto y responsabilidades, y educar a los usuarios en el lugar de trabajo sobre qué hacer para prepararse para tales eventos.