El aumento en la cantidad y complejidad de las amenazas a la seguridad de la información, así como su diversificación, conducen a aplicar medidas de seguridad de manera constante. Por esta razón, la seguridad debe ser vista como un proceso continuo y no como un estado finito.

Los riesgos a los que está expuesta la información son dinámicos y se encuentran en constante cambio, es por esto que las buenas prácticas recomiendan enmarcar la seguridad en un ciclo de mejora continua, que permita hacer frente a dichos riesgos.

En este sentido, las políticas de seguridad de la información también deben ubicarse dentro de un proceso permanente de revisión y actualización que permita adecuarlas a los cambios, manteniendo su vigencia e idoneidad.

En publicaciones anteriores hablamos de los factores a considerar durante el desarrollo de políticas de seguridad, así como de los beneficios de la aplicación efectiva de las mismas. En esta ocasión vamos revisar el ciclo de vida propuesto para ellas.

¿Quién debe hacer las políticas de seguridad?

El primer aspecto que debe ser considerado consiste en designar al personal encargado de desarrollar las políticas. Es importante que miembros de la organización que están directamente relacionados con los procesos más importantes participen en esta tarea, ya que son ellos quienes conocen las operaciones de todos los días.

Contar con diferentes perspectivas durante el desarrollo de las políticas enriquece su contenido y permite plasmar características y conductas propias dentro de la organización. Además, la aprobación de la alta dirección respalda, patrocina y muestra el compromiso con las iniciativas de seguridad. En este contexto, contar con un foro o comité de seguridad en la empresa es una ventaja.

Etapas en el desarrollo de políticas de seguridad

Una vez definidos los requisitos anteriores, es posible comenzar a redactar los documentos, lo que representa la primera etapa.

  • Redacción

Escribir las políticas requiere utilizar un lenguaje conciso y fácil de comprender, a través de la selección de un enfoque que puede ser permisivo o restrictivo, así como evitar enunciados escritos en sentido negativo. En esta etapa ya deben estar definidos los temas a abordar en los documentos, como la legislación aplicable, información sensible, clasificación de la información, entre muchos otros.

  • Revisión

Luego de contar con la versión preliminar de los documentos, es necesario analizar el contenido para verificar que está alineado con los intereses de la organización, el sentido de la redacción y la funcionalidad de lo descrito en los enunciados, es decir, mantener el equilibrio entre la protección y operación. En esta fase, la retroalimentación es una actividad muy importante para comprobar que se emiten políticas que pueden ser cumplidas.

  • Aprobación

Después de llevar a cabo la revisión y de calificar el contenido como apropiado, las políticas deben ser ratificadas para su publicación. Como una actividad para el desarrollo del gobierno de la seguridad de la información, es conveniente que los niveles jerárquicos más elevados dentro de la organización otorguen el visto bueno y promuevan la aplicación de las mismas.

  • Publicación

Una actividad de gran importancia en este ciclo consiste en dar a conocer las políticas entre las audiencias a las cuales están dirigidas. Es necesario contar con estrategias que permitan difundir el contenido entre los miembros de la organización, así como evaluar el conocimiento del personal con relación a estos documentos. Asumir que las políticas se leen y se cumplen sólo por mandato es una equivocación.

  • Actualización

Como ya se mencionó, la seguridad debe ser vista como un proceso de mejora continua, en donde los controles de seguridad se pueden mantener, corregir o cambiar en función de los resultados obtenidos y de los parámetros de medición establecidos. Nuevos riesgos identificados, la recurrente violación de una política, sugerencias de las partes interesadas, el uso de nuevas tecnologías o cambios significativos dentro de la organización y en su contexto, son algunas de las razones por las cuales se puede actualizar una política.

La siguiente imagen muestra cada una de las etapas consideradas dentro de un proceso cíclico:

ciclo

De esta manera, las etapas definen el ciclo de vida de las políticas de seguridad, como una tarea permanente dentro de las actividades de gestión de seguridad de la información.