Al hablar de seguridad de la información, comúnmente se hace referencia a controles de seguridad que permiten mitigar los riesgos. Como la teoría lo marca, pueden ser controles físicos, técnicos o administrativos.
Las organizaciones que buscan aplicar medidas de seguridad deben considerar la implementación de los tres tipos de controles, ya que el alcance de la seguridad de la información, como su nombre lo indica, es proteger los datos en sus diferentes formas (digital, impresa o escrita, incluso ideas) y estados (almacenado, procesado o en transmisión).
Para obtener resultados efectivos, las herramientas y los medios técnicos deben ser soportados por aspectos administrativos, como capacitación y educación del personal para desempeñar sus actividades, concientización sobre los riesgos de seguridad, sobre la importancia y sensibilidad de la información, así como las políticas de seguridad que permitan normar la conducta y definir las responsabilidades de cada miembro de la organización.
De acuerdo con el estudio 2014 Data Breach Investigations Report de Verizon, en los últimos dos años los incidentes internos en las empresas se han posicionado nuevamente como la segunda causa de violaciones de seguridad, es decir, eventos que comprometen la integridad, confidencialidad o disponibilidad de un activo de información, que resulta en la divulgación o la potencial exposición de datos.
Ya sea por motivos ideológicos, de espionaje o financieros, en muchos de los casos este tipo de incidentes se deben a la ausencia de normas internas de seguridad que permitan controlar el comportamiento y las acciones del personal. Por esta razón hacemos hincapié en el desarrollo y/o actualización de las políticas de seguridad, como elemento de protección interna.
En publicaciones anteriores hemos hablado de lo que se tiene que tomar en cuenta para el contenido de las políticas, así como políticas para PyMEs. En esta y en publicaciones posteriores se tratarán aspectos a considerar durante el desarrollo de políticas de seguridad de la información para cualquier tipo de organización, en caso de no contar con ellas, o en su defecto para la actualización de las mismas.
Para comenzar, se hablará sobre el objetivo y las características que debe tener un documento de esta naturaleza.
En el ámbito de la seguridad, una política es un documento que describe los requisitos o las reglas específicas que deben cumplirse. Se debe presentar a través de una declaración breve, formal y de alto nivel.
Tienen como objetivo describir lo que se desea proteger, principalmente los activos, es decir, aquello que representa valor para la organización. Los activos pueden ser información sensible, la infraestructura de TI, las aplicaciones, las personas o intangibles, como las marcas o la misma reputación de la empresa.
Las políticas deben enfocarse en abarcar las creencias generales de la organización, sus metas, objetivos y los procedimientos aceptables para un área determinada. Además, deben proveer un entorno para que las mejores prácticas en materia de seguridad sean adoptadas y aplicadas por los miembros de la organización.
Una característica es el enfoque que debe tener, ya que deben dirigirse hacia los resultados que se desean obtener y no en la manera de lograrlo. En otras palabras, deben estar encaminadas hacia el qué y no en el cómo.
También deben ser concisas y fáciles de entender, ya que esto permitirá una mejor adopción y aplicación. En la medida de lo posible, se debe evitar el uso de un lenguaje técnico en la redacción de esta clase de documentos. En este sentido, también es importante utilizar una redacción en sentido positivo, es decir, eliminar expresiones del tipo “No se permite”.
Otra característica importante es que deben desarrollarse políticas que puedan cumplirse. Redactar enunciados que no puedan ser respaldados por alguna tecnología o control físico no tiene sentido, la política constantemente será infringida. En algunos casos, será necesario modificar los hábitos y las actitudes del personal, por lo que se deben considerar otros elementos, como la resistencia al cambio.
Una característica más se relaciona con que las políticas requieren de cumplimiento obligatorio, por lo que un desapego a ellas debe ser sancionado, es decir, un incumplimiento debe derivar en una acción disciplinaria, que dependerá de la gravedad de la falta.
Finalmente, durante el desarrollo de las políticas y la selección de controles de seguridad, es importante considerar el equilibrio entre la operación y la protección. Los controles asociados a las políticas, así como las políticas mismas, deben ser flexibles para permitir que las actividades cotidianas puedan realizarse, al tiempo que se protegen los activos, principalmente la información.
Hasta este punto se han definido las características y el objetivo que deben tener estos documentos, pero a partir de aquí surgen muchas preguntas: ¿Qué beneficios obtengo al publicar políticas de seguridad? ¿Qué estructura deben tener? ¿Cuál es el ciclo de vida de las políticas? ¿Quién debe redactarlas? En publicaciones posteriores responderemos estas y otras interrogantes. ¡Nos vemos en la siguiente entrega!