Política de Seguridad “Mito vs Realidad”

Política de seguridad es un término  que nosotros como profesionales de la seguridad informática leemos constantemente en libros, artículos o inclusive escuchamos en juntas de trabajo, sin embargo deténganse un momento antes de seguir leyendo este articulo y trate de recordar ¿Cuantas políticas de seguridad ha diseñado e implementado en su organización? O en el peor de los casos ¿Cuantas políticas han sido implementadas en las organizacións de algún colega? entonces piense ¿Cuántas de las políticas que ha diseñado en su organización han sido realmente llevadas a la practica?, ¿Realmente funcionan? Si el análisis de las últimas 2 preguntas le indican que las políticas no han sido llevadas a la práctica al 100%, entonces la pregunta principal sería ¿Por que las políticas no han funcionado como deberían de hacerlo?

Ahora posiblemente este pensando que las políticas de seguridad en la mayoría de los casos son un mito ya que no funcionan de la manera en que fueron pensadas y diseñadas, cuando nos encontramos con esta controversia podemos apoyarnos en el ciclo de vida de las políticas de seguridad que usted encontrara más adelante en este articulo, pero si en este momento su fe por una política de seguridad se ha perdido y piensa que puede ser mas contraproducente que beneficioso la implementación de una política en su organización, recuerde que estas nacieron por:

  • La necesidad de cumplir con regulaciones legales o técnicas.
  • Para servir como guía y permitir la unificación de la forma de trabajo de personas en diferentes lugares o momentos que tengan tareas similares.
  • Permite encontrar las mejores prácticas en el trabajo.

Así que nos guste o no debemos de aprender a Desarrollar, Implementar, Mantener y Eliminar una política de seguridad.

Para empezar a fondo con este articulo sería correcto que indicáramos una definición clara del concepto “Política de Seguridad” el cuál podemos definir como conjunto de reglas usadas para otorgar y controlar acceso y manejo de información, por medio del establecimiento de roles y funciones  a uno o varios sujetos y objetos; son por definición obligatorias y la incapacidad para cumplirlas exige que se apruebe una excepción. Las políticas son soportadas para un mejor entendimiento e implantación por estándares, mejores prácticas,  procedimientos y guías.

Después de leer esta definición deberá de tener en claro que la información es el activo a controlar, sin embargo una última pregunta que le haría a usted amigo lector es: ¿Sabe bajo que criterios clasificar su información?.

La información para un mayor entendimiento se clasifica en:

  • Sensitiva: Debe ser conocida por las personas que necesitan los datos.
  • Crítica: Indispensable para garantizar la continuidad operativa de la organización.
  • Confidencial: No se podrá difundir, distribuir, publicar o comercializar la información.
  • Valiosa: Es un activo corporativo que tiene valor en sí mismo, esta es la clasificación que le damos a la información genérica.

Podemos tomar los criterios anteriormente mencionados para poder clasificar la información con base en su función e importancia, de esta forma tendremos en claro que tipo de manejo darle a la información.

Ahora que sabemos que es una política de seguridad y la forma correcta de clasificar la información, revisemos como escribir una política de seguridad.

“Prácticas recomendadas para escribir una Política de Seguridad”

1.       Indicar el nombre y cargo de quien autoriza o aprueba la política.

2.       Nombre de la dependencia, del grupo o de la persona que es el autor o el proponente de la política.

3.       Debe de especificarse para que área es dirigida la política y quién es el responsable de garantizar su cumplimiento.

4.       Establecer indicadores para saber si la política se cumple o no.

5.       Indicar las referencias a otras políticas y regulaciones por las cuales es soportada.

6.       Enunciar el proceso para solicitar excepciones

7.       Describir el procedimiento para solicitar cambios o actualizaciones a la política.

8.       Especificar las acciones que se tomaran  en caso de contravenir la política.

9.       Vigencia de la política.

10.   Fecha para realizar revisiones de política y analizar si esta sigue siendo vigente o ya es obsoleta.

11.   Incluir cualquier tipo de forma de contacto de la persona que puede contactar en caso de tener alguna pregunta.

A pesar de seguir las recomendaciones anteriormente mencionadas no se garantiza que la política tenga el éxito que esperamos,  ya que para poder llevar acabo la implementación de una política en una organización con éxito, debemos de conocer y seguir el ciclo de vida de una política de seguridad.

“Ciclo de vida de una Política de Seguridad”

Son 4 fases las que componen el ciclo de vida de una política

1.       Fase de Desarrollo se compone de:

a.       Creación: Esta etapa se basa en identificar necesidades, determinar alcances, factibilidad, aplicabilidad de la política, roles y responsabilidades, con quién coordinar el desarrollo y que autoridades deben de aprobarla.

b.      Revisión: La política debe ser remitida a un grupo o un individuo para su evaluación antes de su aprobación final.

c.       Aprobación: Es obtener el apoyo de la administración a través de la firma de una persona ubicada en una posición de autoridad.

2.       Fase de Implementación se compone de:

a.       Comunicación: Debe de ser inicialmente difundida a los miembros de la organización que sean afectados directamente, esta etapa implica determinar el alcance y el método inicial de la distribución de la política.

b.      Cumplimiento: Implica trabajar con diversas personas relacionadas con el área o departamento al que se aplicara la política, asegurando de esta manera que la política es entendida por aquellos que requieren implementarla.

c.       Excepciones: Cuando el caso lo amerita es probable que se requiera algún tipo de excepción, por lo tanto se debe de establecer un proceso para garantizar que las solicitudes de excepciones son documentadas, evaluadas, vigiladas y aprobadas o rechazadas, este proceso también debe permitir excepciones permanentes.

3.       Fase de Mantenimiento se compone de:

a.       Concienciación: Determinar los métodos de concienciación mas efectivos para los diferentes grupos de audiencia y desarrollar material para su difusión.

b.      Monitoreo: Es realizada para seguir y reportar la efectividad de la política, para esto se tienen diversas herramientas como lo son: auditorias, evaluaciones, inspecciones, revisiones etc.

c.       Garantía de Cumplimiento: Significa que una vez que una contravención sea identificada, la acción correctiva debe de ser determinada y aplicada a las personas responsables.

d.      Depuración: Incluye hacer seguimiento a las tendencias de cambios que pueden afectar el desarrollo de la política.

4.       Fase de Eliminación se compone de:

a.       Retiro: Implica retirar una política obsoleta del inventario de políticas activas, posteriormente se documenta  la decisión del por que retirar la política con su debida justificación, el nombre de la persona que autorizo y la fecha de retiro.

Este Post originalmente lo escribí para el boletín mensual de Auditoria y Seguridad Informática, de quienes recibí la invitación a escribir ocacionalmente  para su página.Si quieres leer los boletines o suscribirte da clic aquí.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s