Política de seguridad informática

La política de seguridad informática es un componente fundamental en la gestión de la seguridad de la información. En un entorno donde las amenazas y ataques cibernéticos están en constante evolución, la necesidad de mantener y mejorar las medidas de seguridad se vuelve crucial.[1]​ Esta política se basa en la conciencia de que los sistemas de información están expuestos a amenazas que pueden aprovechar las vulnerabilidades para causar daños a los activos de información.

Se convierten en una estrategia integral que desarrolla normas, técnicas y establece lineamientos para el buen funcionamiento y administración dentro de la organización en la que se apliquen. En caso de un imprevisto que afecte a la organización o su renombre, la política de seguridad puede contra arrestar o minimizar este acto de forma que la organización sea afectada lo menos posible.[2]

Las políticas de seguridad ayudan en la promoción de la cultura de seguridad organizacional, para el establecimiento de un marco de trabajo, así como cumplir con requisitos legales relacionados con la seguridad de la información.[2]

Una política de seguridad es un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad.

Las políticas de seguridad deben contar con los siguientes elementos, pero cada organización puede adaptarlas según las necesidades y requisitos que se tengan.[2]

  • Una introducción.
  • Un propósito.
  • Un alcance. Se refiere a quiénes van dirigidas las políticas.
  • Enunciados de la política.
  • Sanciones. Estas se dan cuando se incumplen las políticas de seguridad. Puede que algunas políticas tengan sanciones, ya que no todas tienen.
  • Glosario y acrónimos. Cuidar los conceptos que van dirigidos hacia todos para que los conozcan.
  • Histórico de revisiones así como actualizaciones y aprobaciones.
  • Fecha de publicación y entrada en vigor.
  • Versión del documento.
  • Referencias.

Buenas prácticas sobre las políticas de seguridad

Las políticas de seguridad utilizan las siguientes buenas prácticas al momento de hacer uso de estas:

  • Deben estar documentadas, difundidas y aceptadas por todos los empleados y proveedores de servicio, según corresponda.[3]
  • Deben ser claras y concisas Deben aplicarse en todos los niveles: directivos, empleados, proveedores, entre otros.[3]
  • Deben ser incluyentes de todos los niveles de la organización.[3]
  • Deben balancear el nivel de control con el nivel de productividad.
  • Deben ser aprobadas por la alta gerencia.

Tipos de políticas de seguridad

Cada política de seguridad tiene un enfoque específico y se complementan con las demás. Son fundamentales y se deben ir adaptando según las nuevas amenazas y tecnologías de la información[2]​.

  • Políticas de seguridad de la información.
  • Políticas de uso aceptable. Son las normas y comportamientos esperados de los usuarios en el uso de las tecnologías de la información.
  • Políticas de Gestión de Incidentes.
  • Políticas de Control de Acceso. Conocer los recursos entrantes para regular el acceso a la información.
  • Políticas de Seguridad Física. Son medidas de seguridad de acceso físico a las instalaciones de la organización.
  • Políticas de Seguridad en Redes. Para proteger la infraestructura de la red.
  • Políticas de Copias de seguridad. Aseguran que la información se pueda recuperar en caso de pérdida o daño.
  • Políticas de Formación y Concienciación.
  • Políticas de Protección de datos.
  • Políticas de Seguridad de aplicaciones. Las aplicaciones que forman parte de la organización sean usadas de forma segura.
  • Políticas de Gestión de cambios.

El enfoque continuo de la seguridad

La seguridad informática se concibe como un proceso continuo que exige la adaptación constante a un entorno de amenazas en constante cambio. La norma UNE-ISO/IEC 27001, que define un sistema de gestión de la seguridad de la información, se enfoca en la mejora continua como un principio rector.[4]​ Esto implica conocer y gestionar las vulnerabilidades y amenazas de manera dinámica y continua.

El papel de la política de seguridad

En este contexto, la política de seguridad desempeña un papel esencial. Se trata de un conjunto de directrices que regulan la utilización de recursos y el tratamiento de la información en un sistema. Estas directrices se concretan en un modelo de seguridad formal que se implementa a través de mecanismos de seguridad específicos. La política de seguridad se convierte en el pilar que guía la toma de decisiones y acciones relacionadas con la protección de los activos de información.[5]

Amplia aplicabilidad de la política de seguridad

La política de seguridad no se limita únicamente al ámbito de la informática y la tecnología, sino que abarca áreas más amplias. Puede incluir desde buenas prácticas para la seguridad de un solo dispositivo informático hasta reglas que rigen la seguridad en toda una empresa o incluso en un país entero. Esto refleja la importancia y el alcance de la seguridad de la información en diversas escalas.

Un compromiso de la gerencia

Una política de seguridad informática no es simplemente un conjunto de reglas, sino un compromiso de la alta gerencia con la seguridad de la información. Sirve como un documento de alto nivel que define cómo se percibe y se aborda la seguridad desde la perspectiva de una entidad o una organización.[6]​ La política de seguridad debe ser enriquecida y ser compatible con otras políticas, objetivos de seguridad y procedimientos relacionados.

Accesibilidad y responsabilidad

Para que la política de seguridad sea eficaz, debe estar fácilmente accesible para todos los empleados. La concienciación es esencial, y los empleados deben comprender su contenido y relevancia. Es fundamental designar un propietario de la política que sea responsable de su mantenimiento y actualización para garantizar que se adapte a cualquier cambio necesario.[7]

Referencias

  1. Michael E. Whitman; Herbert J Mattord (2005). Principles of Information Security. Thompson Course Technology. pp. 51–52. 978-0-619-21625-5. 
  2. a b c d «La importancia de las políticas de seguridad informática en el entorno empresarial». 2023. 
  3. a b c «Políticas y prácticas de seguridad en la empresa». CYBEREOP. 
  4. ISO/IEC. «ISO/IEC 27001:2022». ISO.org (en inglés). Consultado el 2 de abril de 2024. 
  5. John R. Vacca, Computer and Information Security Handbook, p. 442, ISBN 9780123946126 .
  6. NIST, Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800–14). (September 1996)
  7. Charles P. Pfleeger; Shari Lawrence Pfleeger (2011), Analyzing Computer Security, Prentice Hall, ISBN 9780132789462 .