Hace unos días publicamos un post con algunas características que deberían tenerse en cuenta al momento de implementar modelos para gestionar la seguridad de la información. El modelo presentado estaba desarrollado teniendo en cuenta tres áreas fundamentales: los lineamientos de seguridad, la gestión de la seguridad y los grupos de interés, los cuales permiten alinear la gestión de la seguridad de la información con los objetivos del negocio.
Como parte de los lineamientos, la política de seguridad debe convertirse en el punto de articulación del negocio con los intereses de la seguridad de la información, para lo cual debe convertirse en un documento donde se contemplen los diferentes niveles de detalle que requieren ser gestionados. Algunos de los aspectos que cómo mínimo deberían tenerse en cuenta en este documento son la clasificación de la información y los lineamientos de seguridad relacionados con los objetivos del negocio.
La clasificación de la información debe ser el punto de partida para que la empresa priorice y enfoque sus esfuerzos en la gestión de la seguridad. Aunque la clasificación depende de la naturaleza del negocio, en general, debería incluir por lo menos tres niveles: información pública que incluye todos los datos de dominio público y cuyas características principales deben ser la precisión y la disponibilidad, ya que es información a la que pueden acceder sus clientes y proveedores. En el siguiente nivel está la información de uso interno, que comprende toda la información que se intercambia al interior de la empresa entre los empleados y que se convierte en la columna vertebral de las operaciones del negocio y por lo tanto las características que le aplican son la disponibilidad y la integridad. Finalmente en el último nivel está la información de acceso restringido, la cual está muy relacionada con el tipo de negocio que pueden incluir, por ejemplo los planes de negocio, información de nuevos productos, resultados de investigaciones o nuevas estrategias de mercado. La principal característica de este tipo de información es su confidencialidad.
Todas las políticas de seguridad que apunten a garantizar la seguridad informática deben estar alineadas con los objetivos de negocio. Esto se logra a través del establecimiento de objetivos de seguridad, que no son más que la manifestación de las necesidades técnicas que debe satisfacer la información para garantizar el cumplimiento de los objetivos del negocio. Algunos ejemplos de los objetivos de seguridad son proveer entrenamiento en seguridad, administrar el acceso a la información, mantener sistemas para protegerse de códigos maliciosos, monitorear los eventos de seguridad o establecer procesos seguros para el manejo de sistemas y aplicaciones.
La forma en que estos objetivos de seguridad se articulan con los procesos del negocio es a través de los controles de seguridad, los cuales generalmente incluyen con mayor nivel de detalle las guías para garantizar la seguridad de la información. Como parte de estos controles de seguridad se podrían incluir la creación de guías de entrenamiento con mecanismos de evaluación que permitan hacer un seguimiento, creación de perfiles de usuarios basados en los roles o la instalación de herramientas contra códigos maliciosos, como ESET Endpoint Security, de acuerdo a los sistemas operativos que se utilicen. Con estos objetivos es que se desarrollan los procedimientos de seguridad que contribuyen finalmente con el cumplimiento de los procesos de negocio.
Se puede concluir entonces que el objetivo principal del documento con la política de seguridad debe ser que los empleados en todos los niveles de la organización conozcan cuál es la información crítica del negocio y cuáles son las características principales que le deben ser garantizadas, lo cual refleja la importancia del SGSI. Finalmente deben establecerse métricas que permitan retroalimentar todo el sistema, de tal forma que puedan identificarse las ineficiencias para establecer cuáles son los aspectos que más deben ser susceptibles de ser mejorados.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research