Desarrollo e Implementación de una Política de Seguridad de la Información

Objetivos

• Conocer las bases para la documentación necesaria en una política de seguridad, para permitir plasmar de forma correcta todos los elementos requeridos para la misma.
• Identificar las tres partes principales de una política de seguridad: normas, procedimientos y directrices. Éstas permitirán producir una política completa y útil de implantar.

Documentos de la Política de Seguridad

Está formada por tres grandes secciones:

• Las directrices
• Las normas
• Los procedimientos e instrucciones de trabajo

Su estructura de sustentación está formada por tres grandes aspectos: herramientas, cultura y monitoreo.

Directrices (Estrategias)

Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la organización y tiene como base su visión y misión para abarcar toda la filosofía de seguridad de la información.

Las directrices corresponden a las preocupaciones de la empresa sobre la seguridad de la información, al establecer sus objetivos, medios y responsabilidades.

Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido.

Normas (Táctico)

Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público al que se destina, etc.

Las normas, por estar en un nivel táctico, pueden ser específicas para el público al que se destina, por ejemplo, para técnicos y para usuarios.

Normas de Seguridad para Técnicos

Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos, etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros.

Normas de Seguridad para Usuarios

Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros.

Procedimientos e Instrucciones de Trabajo (Operacional)

Procedimiento

Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e interdepartamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información.

Instrucción de Trabajo

Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en modelo de paso a paso para los usuarios del activo en cuestión.

Acompañamiento de la Política

Una política de seguridad, para que sea efectiva, requiere lo siguiente:

Cultura

El entrenamiento de personas debe ser constante, de tal manera que se actualice toda la empresa con relación a los conceptos y normas de seguridad, además de sedimentar la conciencia de seguridad para tornarla como un esfuerzo común entre todos los involucrados.

Herramientas

Los recursos humanos, financieros y las herramientas de automatización deben estar de acuerdo con las necesidades de seguridad. Parte de la seguridad puede ser automatizada o mejor controlada con herramientas específicas, como copias de seguridad obligatorias programadas, control de acceso con registro de ejecución.

Monitoreo

La implementación de la política de seguridad debe ser constantemente monitoreada. Es necesario efectuar un ciclo de manutención para ajustar la estandarización resultante de los problemas encontrados, reclamaciones de empleados o resultados de auditoría. Se debe también adaptar la seguridad a las nuevas tecnologías, a los cambios administrativos y al surgimiento de nuevas amenazas.

Implantación de la Política de Seguridad

Introducción

El éxito en la implantación de un sistema y política de seguridad en la empresa depende en gran medida del conocimiento a fondo de los procesos involucrados cuando dicha implantación es llevada a cabo. Una vez recabada toda la información necesaria y después de comunicar los logros a todo el personal de la empresa, es posible.

Objetivos

• Comprender todos los aspectos necesarios para que la implantación de la política de seguridad sea un éxito en la empresa.
• Conocer el entorno completo que rodea a una política de seguridad, mismo que es necesario para sustentar su implantación en la empresa.
• Comprender que los ámbitos en los que se puede trabajar en una política de seguridad son variados, y plasmarlos en esta política depende de la importancia de cada uno de ellos en nuestra empresa.

Implantación de la Política

Una política se encuentra bien implantada cuando:

• Refleja los objetivos del negocio, es decir, está siempre de acuerdo con la operación necesaria para alcanzar las metas establecidas.
• Agrega seguridad a los procesos de negocio y garantiza una gestión inteligente de los riesgos.
• Está de acuerdo con la cultura organizacional y está sustentada por el compromiso y por el apoyo de la administración.
• Permite un buen entendimiento de las exigencias de seguridad y una evaluación y gestión de los riesgos a los que está sometida la organización.

La Implantación de la Política de Seguridad Depende de:

• Una buena estrategia de divulgación entre los usuarios.
• Una libre disposición de su contenido a todos los involucrados para aumentar el nivel de seguridad y compromiso de cada uno.
• Campañas, entrenamientos, charlas de divulgación, sistemas de aprendizaje.
• Otros mecanismos adoptados para hacer de la seguridad un elemento común a todos.

Algunos Conceptos Claves

La política se debe basar en el análisis de riesgo y tener como objetivo la estandarización de entornos y procesos de manera que se eviten las vulnerabilidades existentes. Su creación está directamente conectada a la concretización de este análisis, pues a través del levantamiento de las vulnerabilidades se puede elaborar la documentación de seguridad, con el objetivo de minimizar los riesgos de que las amenazas se conviertan en incidentes.

Temas de la Política

La división de los temas de una política depende de las necesidades de la organización y su delimitación se hace a partir de:

• El conocimiento del ambiente organizacional, humano o tecnológico.
• La recopilación de las preocupaciones sobre seguridad de parte de los usuarios, administradores y ejecutivos de la empresa.

Algunos Ejemplos de Temas Posibles son:

• Seguridad Física: Acceso físico, infraestructura del edificio, Centro de Datos.
• Seguridad de la Red Corporativa: Configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones.
• Seguridad de Usuarios: Composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia.
• Seguridad de Datos: Criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia.
• Auditoría de Seguridad: Análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoría.
• Aspectos Legales: Prácticas personales, contratos y acuerdos comerciales, leyes y reglamento gubernamental.

Usos de la Política

Debe cumplir por lo menos dos propósitos:

• Ayudar en la selección de productos y en el desarrollo de procesos.
• Realizar una documentación de las preocupaciones de la dirección sobre seguridad para que el negocio de la organización sea garantizado.

Algunas Ventajas

• Permite definir controles en sistemas informáticos.
• Permite establecer los derechos de acceso con base en las funciones de cada persona.
• Permite la orientación de los usuarios con relación a la disciplina necesaria para evitar violaciones de seguridad.
• Establece exigencias que pretenden evitar que la organización sea perjudicada en casos de quiebra de seguridad.
• Permite la realización de investigaciones de delitos por computadora.
• Se convierte en el primer paso para transformar la seguridad en un esfuerzo común.