Desarrollo e Implementación de Políticas de Seguridad Informática

Políticas de Seguridad Informática

Es frecuente que las personas involucradas con la seguridad informática tengan una visión estrecha de lo que significa desarrollar políticas de seguridad, pues no basta con escribirlas y pretender ponerlas en práctica. En ocasiones, se incluye la asignación de responsables, se realizan actividades para dar a conocerlas y, quizá, se supervise su cumplimiento, pero esto tampoco basta. Muchas políticas de seguridad informática fallan ya que se desconoce lo que implica realmente desarrollarlas.

Es importante recalcar que una política de seguridad tiene un ciclo de vida completo mientras está vigente. Este ciclo de vida incluye un esfuerzo de investigación, la labor de escribirla, lograr que las directivas de la organización la acepten, conseguir que sea aprobada, lograr que sea diseminada a través de la empresa, concienciar a los usuarios de la importancia de la política, conseguir que la acaten, hacerle seguimiento, garantizar que esté actualizada y, finalmente, suprimirla cuando haya perdido vigencia. Si no se tiene en cuenta este ciclo de vida, se corre el riesgo de desarrollar políticas que sean poco tenidas en cuenta, incompletas, redundantes, sin apoyo por parte de los usuarios y las directivas, superfluas o irrelevantes.

¿Por qué tener políticas escritas?

  • Para cumplir con regulaciones legales o técnicas.
  • Como guía para el comportamiento profesional y personal.
  • Permitir unificar la forma de trabajo de personas en diferentes lugares o momentos que tengan responsabilidades y tareas similares.
  • Permiten recoger comentarios y observaciones que buscan atender situaciones anormales en el trabajo.
  • Permite encontrar las mejores prácticas en el trabajo.
  • Permiten asociar la filosofía de una organización (lo abstracto) al trabajo (concreto).

Definición de Política

Política: declaración general de principios que presentan la posición de la administración para un área de control definida. Las políticas se elaboran con el fin de que tengan aplicaciones a largo plazo y guíen el desarrollo de reglas y criterios más específicos que aborden situaciones concretas. Las políticas son desplegadas y soportadas por estándares, mejores prácticas, procedimientos y guías. Las políticas deben ser pocas (es decir, un número pequeño), deben ser apoyadas y aprobadas por las directivas de la empresa u organización, y deben ofrecer direccionamientos a toda la organización o a un conjunto importante de dependencias. Por definición, las políticas son obligatorias y la incapacidad o imposibilidad para cumplir una política exige que se apruebe una excepción.

Identificación de Amenazas

Una vez conocidos los riesgos, los recursos que se deben proteger y cómo su daño o falta pueden influir en la organización, es necesario identificar cada una de las amenazas y vulnerabilidades que pueden causar estas bajas en los recursos. Como ya se mencionó, existe una relación directa entre amenaza y vulnerabilidad, a tal punto que, si una no existe, la otra tampoco.

Se suele dividir las amenazas existentes según su ámbito de acción:

  • Desastres del entorno (Seguridad Física).
  • Amenazas del sistema (Seguridad Lógica).
  • Amenazas en la red (Comunicaciones).
  • Amenazas de personas (Insiders-Outsiders).

Elementos de una Política de Seguridad Informática

Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante.

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:

  • Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
  • Objetivos de la política y descripción clara de los elementos involucrados en su definición.
  • Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
  • Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
  • Definición de violaciones y sanciones por no cumplir con las políticas.
  • Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Fases del Ciclo de Vida de una Política de Seguridad

Estas 11 etapas pueden ser agrupadas en 4 fases:

  1. Fase de desarrollo: durante esta fase, la política es creada, revisada y aprobada.
  2. Fase de implementación: en esta fase, la política es comunicada y acatada (o no cumplida por alguna excepción).
  3. Fase de mantenimiento: los usuarios deben ser conscientes de la importancia de la política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se le debe dar mantenimiento (actualizarla).
  4. Fase de eliminación: la política se retira cuando no se requiere más.

Etapas del Ciclo de Vida

  • Creación: planificación, investigación, documentación y coordinación de la política.
  • Revisión: evaluación independiente de la política.
  • Aprobación: obtener la aprobación de la política por parte de las directivas.
  • Comunicación: difundir la política.
  • Cumplimiento: implementar la política.
  • Excepciones: gestionar las situaciones donde la implementación no es posible.
  • Concienciación: garantizar la concienciación continuada de la política.
  • Garantía de cumplimiento: afrontar las contravenciones de la política.
  • Mantenimiento: asegurar que la política esté actualizada.
  • Retiro: prescindir de la política cuando no se necesite más.