1. Establezca políticas de seguridad que cubran toda la información de la compañía. Esto incluye identificar al propietario de la información y señalar a cuales personas se les permite acceder a ella y en qué momento. Estas políticas deben cubrir a los empleados fijos y temporales, clientes, proveedores, socios, contratistas, y a cualquier otra persona asociada a la empresa. 2. Asegure el "Elemento Humano". Las personas son el elemento más importante de un programa de seguridad de información. Al fin y al cabo, la difusión de información está bajo su control. El entrenamiento y conocimiento de la seguridad, por ende, es esencial. Los empleados necesitan ser aconsejados sobre las amenazas, represalias y responsabilidades de salvaguardar la información. Los contratos de confidencialidad (NDAs, no-disclosure agreement) son el medio más adecuado para advertir a los empleados sobre sus responsabilidades. Si un empleado expone secretos intencionalmente, el NDA permite terminar el contrato o demandar. La verificación de antecedentes ayuda a identificar empleados que puedan comprometer secretos de la industria antes que ellos se vendan a otras empresas. Entrevistas y contratos de despido pueden recordarle a los empleados sus responsabilidades al dejar la empresa. 3. Utilice barreras físicas de seguridad. Las barreras físicas, incluyendo puertas, entradas, cajas de seguridad, escritorios y archivos con llave, pueden ser utilizados para controlar el acceso a la información. La entrada a personas debe ser permitida mediante guardias de seguridad, llaves, distintivos, accesos con tokens y biométricos. Botar apropiadamente la basura, incluyendo los residuos provenientes de destructores de papel es una práctica permite mantener la información sensible fuera del alcance de los "escobitas" o "recolectores de información", así como también de algunos empleados que escudriñan en los botes de basura de las oficinas. Tenga en mente que las destructoras de papel no son 100% seguras, ya que los documentos pueden ser reconstruidos en forma manual o digital. 4. Actualice sus herramientas electrónicas de seguridad. La información debe ser protegida tanto en el sitio de almacenamiento como en las redes de transmisión de datos y telecomunicaciones. Esto requiere una combinación de resguardos que incluya controles de acceso, autenticación, encriptación y detección de intrusos. Los controles de acceso -incluyendo claves para acceso a computadores y a la red, firewalls y aplicaciones de control- previenen el acceso no autorizado a los recursos de información. Estos controles pueden aplicarse también a registros, documentos individuales, o sistemas completos. 5. Adopte una estrategia para planes de contingencia y manejo de incidentes. El paso final de un programa de seguridad de información es prepararse para lo peor -y entonces responder a los incidentes que se presenten. Esto incluye obtener pólizas de seguros y establecer procedimientos para manejo de incidentes.