¿Qué son entonces las políticas
de seguridad informática (PSI)?
Como hemos dicho anteriormente en repetidas ocasiones, el principio y
final de toda red es el usuario. Esto hace que las políticas de seguridad
deban, principalmente, enfocarse a los usuarios: “una política de seguridad
informática es una forma de comunicarse con los usuarios y los gerentes”.
Indican a las personas cómo actuar frente a los recursos informáticos de la
empresa, y sobre todo, no son un conjunto de sanciones, sino más bien una
descripción de aquello valioso que deseamos proteger y por qué.
¿Cuáles son los elementos de una
política de seguridad informática?
Si las decisiones tomadas en
relación a la seguridad, dependen de las PSI, cada persona debe estar en
disposición de aportar lo necesario para poder llegar a una conclusión correcta
de las cosas que son importantes en la empresa y que deben ser protegidas. Es
por esto que una PSI debe tener los siguientes elementos:
·
Rango de acción de las políticas. Esto se
refiere a las personas sobre las cuales se posa la ley, así como los sistemas a
los que afecta.
·
Reconocimiento de la información como uno de los
principales activos de la empresa.
·
Objetivo principal de la política y objetivos
secundarios de la misma. Si se hace referencia a un elemento particular, hacer
una descripción de dicho elemento.
·
Responsabilidades generales de los miembros y
sistemas de la empresa.
·
Como la política cubre ciertos dispositivos y
sistemas, estos deben tener un mínimo nivel de seguridad. Se debe definir este
umbral mínimo.
·
Explicación de lo que se considera una violación
y sus repercusiones ante el no cumplimiento de las leyes.
·
Responsabilidad que tienen los usuarios frente a
la información a la que tienen acceso.
Ahora, aunque las PSI deben poseer estos elementos expuestos, también
debe llevar, implícitos en cada ítem, algunas características:
·
Siempre se debe tener en cuenta cuales son las
expectativas de la organización frente a
las PSI, qué es lo que espera de ellas en cuanto a seguridad y eficacia.
·
Siempre que se redacten, las PSI deben
permanecer libre de tecnicismos que
dificulten su comprensión por parte de cualquier persona de la organización.
·
Cada política redactada, debe explicar el porqué
se toma dicha decisión y por qué se protegen esos servicios o conocimientos
particulares.
·
Toda PSI debe ser vigilada por un ente, una
autoridad, que la haga cumplir y apique los correctivos necesarios. Sin
embargo, no debe confundirse una PSI con una ley, y no debe verse como tal.
·
Así como las características y elementos de una
empresa cambian, también deben hacerlo las PSI, por lo que debe tenerse en
cuenta, al redactarlas, que deben establecer un esquema de actualización
constante, que dependa de las características de la organización.
·
No hay nada obvio. Se debe ser explícito y
concreto en cuanto a los alcances y propuestas de seguridad. Esto evita gran
cantidad de malos entendidos, y abre el camino para el establecimiento de la
política de seguridad específica.
¿Cómo se establecen las
políticas de seguridad? Recomendaciones.
Hemos revisado las características generales de las PSI y los elementos
implícitos en cada observación, pero ¿tenemos un esquema de cómo formularlas o
establecerlas? He acá entonces varias recomendaciones de cómo idearlas y
llevarlas a cabo:
·
Antes que nada, se debe hacer una evaluación de
riesgos informáticos, para valorar los elementos sobre los cuales serán
aplicadas las PSI.
·
Luego, deben involucrarse, en cada elemento
valorado, la entidad que maneja o posee el recurso, ya que ellos son los que
tienen el conocimiento y la experiencia manejando ese elemento particular.
·
Después de valorar los elementos e involucrar al
personal, debe explicarles cuales son las ventajas de establecer PSI sobre los
elementos valorados, así como los riesgos a los cuales están expuestos y las
responsabilidades que les serán otorgadas.
·
El siguiente paso es determinar quiénes son las
personas que dan las órdenes sobre los elementos valorados en la empresa. Ellos
deben conocer el proceso de las PSI, ya que sobre ellos recae la
responsabilidad de los activos críticos.
·
Finalmente, deben crearse mecanismos para
monitorear a los elementos valorados, las personas involucradas y los altos
mandos directores de los elementos. Esto con el objetivo de actualizar
fácilmente las PSI cuando sea necesario.
Proposición de una forma de
realizar el análisis para llevar a cabo un sistema de seguridad informática
Antes que nada, se crea una base de análisis para el sistema de seguridad,
que está basada en varios elementos:
·
Factor humano de la empresa
·
Mecanismos y procedimientos con que cuenta la
empresa
·
Ambiente en que se desenvuelve la organización
·
Consecuencias posibles si falla la seguridad de
la empresa
·
Amenazas posibles de la empresa.
Luego de evaluado todo este conjunto de elementos, que conforman la
base del análisis del sistema de seguridad se procede a realizar el programa de
seguridad, El cual contiene todos los
pasos a tomar para asegurar la seguridad deseada. Luego de realizado este
programa, se pasa al plan de acción, que
posee todas las acciones a llevar a cabo para implantar el programa de
seguridad. El paso siguiente es crear un manual de procedimientos y normativas, que serán en suma la forma en la que cada
elemento del programa debe ser aplicado en el elemento correspondiente, y las
acciones a llevar a cabo luego de violada una norma.
Mientras los programas de seguridad, plan de acción y procedimientos
son llevados a cabo, se debe ejercer un control y vigilancia de cada uno de
ellos, para asegurar su realización. Este control debe ser auditado, con el
propósito de generar los log files o archivos de evidencias, que pueden ser
revisados en cualquier momento para analizar la forma en la que fue llevado a cabo el control y poder generar
cualquier cambio. La auditada realizada también sirve para generar simulaciones
que permitan probar el sistema. Estas simulaciones pasan por una
revisión que da fe del desempeño de las políticas de seguridad, y que ayuda a
modificar las bases del análisis, así como el programa, plan y las normativas
de seguridad.
El establecimiento de las
políticas de seguridad es un proceso dinámico.
No hay comentarios:
Publicar un comentario