La formulación de políticas es un elemento imprescindible cuando se pretende gestionar la seguridad de la información en una empresa. Junto con otros elementos, permiten diseñar un marco o framework de operación para alcanzar los objetivos planteados en la materia.
También, son los documentos básicos para respaldar lo que se ha denominado gobierno de seguridad de la información, es decir, todas aquellas responsabilidades y prácticas que ejerce la alta dirección en cuanto a la seguridad.
En la publicación anterior conocimos el objetivo y las características que deberían tener las políticas, y para continuar con la serie enfocada en analizar los factores a considerar durante el desarrollo o actualización de este tipo de documentos, en esta ocasión vamos a revisar los beneficios que se obtienen al desarrollar y aplicar políticas de manera efectiva.
¿Tiene sentido dedicar tiempo y esfuerzo al desarrollo de políticas de seguridad?
La respuesta a la pregunta anterior deberá ser contestada por los encargados de aplicar las medidas de seguridad en la empresa, a partir de los resultados esperados y los recursos necesarios para tal fin. A continuación, se mencionan beneficios que podrían ser alcanzados si la implementación resulta satisfactoria.
La primera utilidad que se obtiene está relacionada con la protección de los activos, es decir, todo aquello que es importante para la organización, incluyendo la información considerada como sensible, y que en la mayoría de los casos no debería ser del dominio público.
Durante la identificación de los activos a proteger, es muy importante definir los objetivos de seguridad de la información y de las políticas, en función de lo que pretende alcanzar el negocio y de sus procesos más importantes, lo que se conoce como alineación estratégica.
Las políticas también contribuyen a crear un entorno para que las medidas de seguridad que han sido aplicadas en la industria y han generado buenos resultados, puedan ser aplicadas dentro de la organización. En otras palabras, nos permiten adoptar y al mismo tiempo adaptar a las necesidades propias, las mejores prácticas en materia de seguridad.
En este sentido, también ayudan en la definición de los lineamientos para determinar la conducta esperada de los miembros de la organización, a través de la definición de funciones y responsabilidades.
Además, con la declaración de las actividades que están permitidas y aquellas que se prohíben, se crea un marco normativo que determina la postura de la organización hacia la protección de sus activos.
La definición de dicho marco tiene como propósito crear conciencia entre el personal sobre la importancia de la información a la cual tiene acceso, los riesgos de seguridad que pueden afectarlos y principalmente sobre la manera de minimizar sus consecuencias o la frecuencia con la que se presentan.
Un beneficio más está relacionado con el cumplimiento, ya que las políticas deben establecer lo necesario para estar en apego con las leyes aplicables de acuerdo con el negocio de la organización, así como con las regulaciones y obligaciones contractuales directamente relacionadas con seguridad de la información. Por ejemplo, con las leyes de protección de datos personales y de privacidad.
Los beneficios de aplicar de manera efectiva las políticas son diversos y de gran utilidad para los propósitos de seguridad establecidos. Su importancia es tal, que incluso en estándares utilizados internacionalmente es mandatorio contar con ellas, si se desea estar en concordancia con lo que establecen dichos marcos normativos.
Sino, piensa en los casos de eBay y Target: las brechas de seguridad que sufrieron las afectaron no sólo económicamente, sino también en términos de reputación y confianza por parte de sus clientes.
En publicaciones posteriores seguiremos abordando e intentando dar respuesta a las interrogantes inicialmente planteadas. ¡Hasta entonces>