Seguridad de la información

Las políticas de seguridad son las reglas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños. Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.

No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos, así como un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.

Objetivos de las políticas de seguridad

Mantener completamente informados a los usuarios y gerentes de las  reglas y mecanismos que se deben seguir para mantener protegidos los sistemas de la empresa. Los componentes de una política de seguridad comprenden:

  1. Una política de privacidad
  2. Una política de acceso
  3. Una política de autenticación
  4. Una política de contabilidad
  5. Una política de mantenimiento para la red
  6. Una política de divulgación de información

Parámetros para establecer políticas de seguridad

Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos:

  1. Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa.
  2. Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.
  3. Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
  4. Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos de su área.
  5. Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
  6. Detallar explícita y concretamente el alcance de las políticas.

Por dónde comenzar

El desarrollo de políticas de seguridad puede verse como una labor complicada debido al bloqueo creativo del responsable durante la redacción y generación de su contenido, generalmente suelen ser víctimas del síndrome de la hoja en blanco. Para evitar esto, es recomendable responder las siguientes interrogantes:

  1. ¿Quién debe ser la persona responsable de crear las políticas?
  2. ¿En qué estándar o mejor práctica deben tener base?
  3. ¿Cuáles son los ámbitos de aplicación?
  4. ¿Qué estructura debe tener el documento?
  5. ¿Cómo redactar los enunciados?
  6. ¿Existen o deben crearse otros documentos que complementen a las políticas?

La respuesta a cada una de estas preguntas resulta complicada si no se cuenta con los elementos básicos para la elaboración de las políticas. Un elemento esencial es conocer el objetivo y las características que debe poseer un documento como este.

En el ámbito de la seguridad de la información, una política es un documento que describe los requisitos o reglas específicas que deben cumplirse en una organización. Presenta una declaración formal, breve y de alto nivel, que abarca las creencias generales de la organización, metas, objetivos y procedimientos aceptables para un área determinada.  Entre otras características:

  1. Requiere cumplimiento (obligatorio).
  2. El incumplimiento deriva en una acción disciplinaria.
  3. Se enfoca en los resultados deseados y no en los medios de ejecución.
  4. Deben ser concisas y fáciles de entender.
  5. Deben mantener un balance entre la protección y la productividad.

Las políticas de seguridad de la información proveen un marco para que las mejores prácticas puedan ser seguidas por los empleados, permiten minimizar riesgos y responder a eventos indeseados e inesperados. También ayudan al personal de la organización a asegurar sus activos, definir la postura de la organización hacia la protección de la información frente a accesos no autorizados, modificación, divulgación o destrucción. De manera específica, las políticas permiten:

  1. Proteger activos (personas, información, infraestructura y sistemas).
  2. Definir reglas para la conducta esperada del personal y usuarios.
  3. Definir roles y responsabilidades del personal.
  4. Definir y autorizar sanciones en caso de una violación.
  5. Mitigar riesgos.
  6. Ayudar en el cumplimiento de leyes, regulaciones y contratos.
  7. Crear conciencia entre el personal sobre la importancia y protección de los activos, principalmente de la información.
  8. ¿Cómo deben difundirse entre los empleados?

Los beneficios que ofrecen las políticas pueden ser fácilmente descartados si no se definen de manera previa las personas a las cuales están dirigidas, lo que determina el sentido de los enunciados escritos. Se pueden tener diversos intereses dentro de la organización, por lo que los destinatarios de las políticas pueden dividirse  en categorías. Todos los usuarios se incluyen en al menos una categoría, por ejemplo:

  1. Personal administrativo (recursos humanos, contabilidad, etc.).
  2. Personal técnico (programadores, administradores de sistemas, administradores de red, etc.).
  3. Usuarios finales.

El destinatario determinará que se debe incluir en cada política. Por ejemplo, no siempre se incluirá una descripción del porqué cierta acción es necesaria en una política. Si el destinatario es responsable de configurar un sistema, es posible que no requiera una explicación del enunciado de la política. Un miembro del personal administrativo conoce los principios y el contexto detrás de esas acciones en un lenguaje no técnico, por lo que tampoco requiere de la explicación. Sin embargo, si el destinatario es un usuario final, sería útil incorporar una descripción del porqué un control de seguridad es necesario, esto contribuye en el entendimiento y cumplimiento de la política.

La estructura jerárquica también juega un rol importante para el cumplimiento. Es recomendable contar con una política rectora de carácter gerencial, soportada por otro grupo de políticas de carácter técnico, de las cuales pueden derivar guías y/o procedimientos.

Política rectora. Es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información, establece la importancia de los activos, el qué y porqué una organización planea protegerlos. Debe ser enriquecida con otras políticas dependientes, guías y procedimientos.

Políticas técnicas. Son más detalladas que la política rectora y definen los elementos necesarios para asegurar los activos. En términos de nivel de detalle, una política técnica establece el qué (a mayor detalle), quién, cuándoy dónde. Describe lo que se debe hacer, pero no la manera de llevarlo a cabo, esto está reservado para las guías y procedimientos. Los temas que pueden ser considerados son:

  1. Sistemas operativos
  2. Aplicaciones
  3. Red
  4. Administración
  5. Planes de negocio
  6. Dispositivos de seguridad
  7. Dispositivos periféricos
  8. Dispositivos móviles
  9. Criptografía
  10. Seguridad física

Guías y procedimientos. Proporcionan los pasos a seguir para llevar a cabo los enunciados de las políticas técnicas. Son documentos adjuntos y están escritos en un siguiente nivel de granularidad, ya que describen cómo se deben hacer las cosas. Generalmente, están redactados en un lenguaje técnico avanzado debido a que está dirigido a personal operativo. Por ejemplo, se pueden incluir guías de hardening de sistemas operativos.

Por otro lado, el desarrollo de políticas requiere de la participación de miembros de la organización directamente relacionados con los procesos esenciales de la misma, por lo que es importante contar con un comité o equipo que se encargará de autorizar cambios y actualizaciones de los documentos relacionados (políticas, procedimientos, guías y formatos). El comité puede estar integrado por personal clave en la operación de la organización, que tenga el conocimiento y dominio de los procesos operativos. Por ejemplo, los jefes de departamento, dueños o custodios de activos, etc. Dentro de sus responsabilidades con relación a las políticas, se debe agregar:

  1. Aprobar nuevas políticas, iniciativas y actividades.
  2. Crear, revisar, aprobar y difundir.
  3. Sancionar violaciones.
  4. Realizar reuniones periódicas para la revisión, adecuación y cumplimiento.
  5. Establecer roles y responsabilidades para asegurar que las actividades se realizan en tiempo y forma.

Fuente: Universidad Nacional de México, Revista Digital, Número 16
Adaptado por División Consultoría de Evaluando Software

 

¿qué software es apto para su empresa?

Acceda a nuestros evaluadores

Deja un comentario