La gestión de la seguridad es un proceso necesario dentro de las organizaciones que deben proteger su información y otros activos, y requiere de distintos elementos que permitan establecer un marco para  las actividades e iniciativas orientadas a mantener su confidencialidad, integridad y disponibilidad.

En este contexto, las políticas de seguridad cumplen un papel preponderante ya que son los documentos que respaldan los compromisos adquiridos, prácticas a ejercer, o bien las normas que determinan la conducta y comportamiento de los miembros de las organizaciones con relación al manejo y cuidado de los datos.

En WeLiveSecurity hemos abordado algunos puntos a considerar durante el desarrollo o actualización de estos documentos, como por ejemplo el ciclo de vida de las políticas o los beneficios de su aplicación efectiva. A continuación abordaremos otros puntos relevantes en el tema.

Otras consideraciones para el desarrollo o actualización de políticas

Recordemos que una política es un documento que describe requisitos específicos a cumplirse, a través de declaraciones breves, formales y de alto nivel, con el propósito principal de proteger aquello que representa valor para la organización - principalmente la información.

En un amplio sentido, permiten generar el entorno para que las mejores prácticas de seguridad definidas en la industria sean adoptadas y aplicadas, en organizaciones que buscan la autorregulación. Como parte complementaria al análisis de factores para el desarrollo o actualización de políticas de seguridad, en esta segunda entrega se busca responder a la pregunta "¿qué estructura deben tener estos documentos?".

Una característica importante del sentido de las políticas es su enfoque hacia resultados deseados y no tanto hacia la manera de lograrlo, es decir, deben estar encaminadas hacia el qué y no en el cómo. Por ello, parte importante de la manera de redactarlas tiene como sustento esta idea, así como el público objetivo.

Las políticas se enfocan hacia resultados deseados y no hacia la manera de lograrlos. Deben orientarse al qué y no al cómo

La audiencia a la cual están dirigidas determina lo que se debe incluir en cada documento. No siempre es necesario incluir una descripción o detalles acerca de por qué una acción o requisito es necesario en una política.

Cuando el lector es responsable de configurar un sistema o administrar una red, es muy probable que no requiera una explicación de los enunciados descritos en la política. Del mismo modo, el personal administrativo que conoce los principios y el contexto detrás de las acciones en un lenguaje no técnico, también es muy probable que no requiera una explicación de este estilo.

Sin embargo, si el lector de la política es un usuario final, resulta útil incorporar una descripción de por qué un control de seguridad es necesario, utilizando un lenguaje sencillo y conciso; esto contribuye en el entendimiento y cumplimiento de la política.

Además, la extensión y formato de estos documentos es una característica relevante. Uno demasiado extenso puede resultar difícil de leer y, en consecuencia, de cumplir. A la vez, información o enunciados innecesarios también podrían dejar de lado el propósito principal.

La estructura de cada documento puede incluir únicamente las secciones necesarias, como el propósito, alcance, enunciados a cumplir, su relación con otros documentos, términos y definiciones que deban ser aclarados, así como un control de versiones y revisiones.

Política rectora, políticas complementarias, estándares, procedimientos y guías

La estructura de los documentos también juega un rol importante. Una buena práctica consiste en generar una política rectora de carácter gerencial, que debe ser soportada por otro grupo de políticas de carácter técnico. Estas, a su vez, requieren ser complementadas con procedimientos específicos sobre detalles técnicos de la operación.

La política rectora denota el compromiso de la gerencia con la seguridad de la información, establece la importancia de los activos y por qué planea protegerlos; por lo tanto, se trata de un documento de alto nivel.

Como parte complementaria, habrá otros documentos como políticas dependientes, estándares, procedimientos o guías. Estas pueden ser de carácter técnico y por tal razón, son más detalladas que la rectora; en ellas se pueden incluir todos los elementos necesarios para asegurar los activos de información.

politicas

En términos de contenido, las políticas técnicas establecen el qué a mayor detalle. Y como describen lo que se debe hacer, estos documentos técnicos pueden abordar temas como sistemas operativos, redes, recuperación ante desastres, respuesta a incidentes, dispositivos móviles, criptografía, seguridad física y todos aquellos que se consideren prudentes para la protección de los activos.

Estándares, procedimientos y guías determinan cómo llevar a cabo los enunciados de las políticas

Los estándares, procedimientos y guías determinan la manera de llevar a cabo los enunciados descritos en las políticas, es decir, determinan el cómo. Por ello, proporcionan los pasos a seguir para cumplir con los enunciados de las políticas técnicas. La principal diferencia entre un estándar/procedimiento y las guías, es que los primeros deben cumplirse justo como han sido desarrollados; por su parte, las guías no requieren ser cumplidas, pero son abiertamente recomendadas y sugeridas como mejores prácticas.

Como otra característica, están escritos en un nivel de granularidad mayor, ya que describen cómo se deben hacer las cosas de manera detallada. Generalmente, están redactados en un lenguaje técnico debido a que están dirigidos al personal operativo. Por ejemplo, se pueden incluir guías de hardening de sistemas operativos o procedimientos para la configuración de dispositivos de seguridad perimetral.

La idea central: equilibrio entre operación y protección

Estos factores pueden ser considerados para el desarrollo o actualización de las políticas de seguridad dentro de las organizaciones, así como durante el proceso de selección de los controles de seguridad idóneos. Allí, una idea siempre debe estar presente: el equilibrio entre la operación y la protección.

Los controles asociados a las políticas, así como las políticas mismas, deben ser flexibles para permitir que las actividades de todos los días puedan realizarse, al tiempo que se protegen los activos más importantes, principalmente la información.

Sigue leyendo: Infografía sobre cómo implementar un Sistema de Gestión de la Información