8/14/2019 Lectura Polticas de Seguridad Informtica

1/6

PAUTAS Y RECOMENDACIONES PARA ELABORARPOLTICAS DE SEGURIDAD INFORMTICA (PSI)

Jeimy J. CANO__________________________________________________________________

Descriptores: Seguridad, Informtica, Polticas de Seguridad, Controles, Seguridad Informtica.

Resumen

Este documento es un ejercicio fruto de la experiencia y documentacin de situaciones

propias de las organizaciones que requieren una posicin frente a la definicin o ms

bien, identificacin de las directrices de seguridad informtica que intrnsecamente

maneja. Ofrece un resumen de ideas prcticas que pueden orientar la elaboracin de

polticas de seguridad informtica.

INTRODUCCIN

Actualmente la seguridad informtica ha tomado gran auge, dadas las cambiantescondiciones y nuevas plataformas de computacin disponibles. La posibilidad de

interconectarse a travs de redes, ha abierto nuevos horizontes para explorar ms all

de las fronteras nacionales, situacin que ha llevado la aparicin de nuevas amenazas

en los sistemas computarizados.

Esto ha llevado a que muchas organizaciones gubernamentales y no gubernamentalesinternacionales [1,2] hayan desarrollado documentos y directrices que orientan en el

uso adecuado de estas destrezas tecnolgicas y recomendaciones para obtener el

mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cualpuede ocasionar serios problemas en los bienes y servicios de las empresas en el

mundo.

En este sentido, las polticas de seguridad informtica (PSI) surgen como una

herramienta organizacional para concientizar a cada uno de los miembros de unaorganizacin sobre la importancia y sensibilidad de la informacin y servicios crticos

que permiten a la compaa desarrollarse y mantenerse en su sector de negocios.

De acuerdo con lo anterior, el proponer o identificar una poltica de seguridad

requiere un alto compromiso con la organizacin, agudeza tcnica para establecerfallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin

Ingeniero de Sistemas y Computacin, Universidad de los Andes, Colombia. Maestra en

Sistemas y Computacin, Universidad de los Andes, Colombia. Doctor of Philosophy inBusiness Administration, Newport University, USA. Profesor de la Facultad de Derecho,

Universidad de los Andes, Colombia.Email: jcano@uniandes.edu.co

1

8/14/2019 Lectura Polticas de Seguridad Informtica

2/6

del dinmico ambiente que rodea las organizaciones modernas.

QU SON LAS POLTICAS DE SEGURIDAD INFORMTICA?

Una poltica de seguridad informtica es una forma de comunicarse con los usuarios y

los gerentes. [3, pg.382] Las PSI establecen el canal formal de actuacin del

personal, en relacin con los recursos y servicios informticos importantes de laorganizacin.

No es una descripcin tcnica de mecanismos de seguridad, ni una expresin legal

que involucre sanciones a conductas de los empleados, es ms bien una descripcin

de los que deseamos proteger y el por qu de ello.

Cada PSI es una invitacin de la organizacin a cada uno de sus miembros areconocer la informacin como uno de sus principales activos as como, un motor de

intercambio y desarrollo en el mbito de sus negocios. Invitacin que debe concluir

en una posicin consciente y vigilante del personal por el uso y limitaciones de losrecursos y servicios informticos crticos de la compaa.

ELEMENTOS DE UNA POLTICA DE SEGURIDAD INFORMTICA

Como hablamos en la seccin anterior, una PSI debe orientar las decisiones que se

toman en relacin con la seguridad. Por tanto, requiere una disposicin de cada unode los miembros de la empresa para lograr una visin conjunta de lo que se considera

importante.

Las PSI deben considerar entre otros, los siguientes elementos: [4]

Alcance de la polticas, incluyendo facilidades, sistemas y personal sobre la cual

aplica.

Objetivos de la poltica y descripcin clara de los elementos involucrados en su

definicin.

Responsabilidades por cada uno de los servicios y recursos informticos a todos

los niveles de la organizacin.

Requerimientos mnimos

para configuracin de la seguridad de los sistemas quecobija el alcance de la poltica.

p Nota al pie del autor de la referencia 4: Los requerimientos mnimos de seguridad para la

configuracin de los sistemas pueden contener estndares los cuales se pueden aplicar a unsubconjunto de facilidades o reas organizacionales que se encuentren dentro del alcance de la

poltica.

2

8/14/2019 Lectura Polticas de Seguridad Informtica

3/6

Definicin de violaciones y de las consecuencias del no cumplimiento de la

poltica.

Responsabilidades de los usuarios con respecto a la informacin a la que l o ella

tiene acceso.

Las PSI deben ofrecer explicaciones comprensibles sobre por qu deben tomarse

ciertas decisiones, transmitir por qu son importantes stos u otros recursos o

servicios.

De igual forma, las PSI establecen las expectativas de la organizacin en relacin conla seguridad y lo que ella puede esperar de las acciones que la materializan en la

compaa. Deben mantener un lenguaje comn libre de tecnicismos y trminos

legales que impidan una comprensin clara de las mismas, sin sacrificar su precisiny formalidad dentro de la empresa.

Por otro lado, la poltica de debe especificar la autoridad que debe hacer que las cosas

ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicacionessobre la clase de sanciones que se puedan imponer. No debe especificar con exactitudque pasar cuando algo suceda; no es una sentencia obligatoria de la ley. [4, pg.383]

Finalmente, las PSI como documentos dinmicos de la organizacin, deben seguir un

proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes:

crecimiento de la planta de personal, cambio en la infraestructura computacional, altarotacin de personal, desarrollo de nuevos servicios, cambio o diversificacin de

negocios entre otros.

ALGUNOS PARMETROS PARA ESTABLECER POLTICAS DESEGURIDAD

Si bien las caractersticas de la PSI que hemos mencionado hasta el momento, nos

muestran una perspectiva de las implicaciones en la formulacin de estas directrices,

revisemos algunos aspectos generales recomendados para la formulacin de lasmismas.

Considere efectuar un ejercicio de anlisis de riesgos informtico, a travs del cual

valore sus activos, el cual le permitir afinar las PSI de su organizacin.

Involucre a los reas propietarias de los recursos o servicios, pues ellos poseen la

experiencia y son fuente principal para establecer el alcance y las definiciones deviolaciones a la PSI.

Comunique a todo el personal involucrado en el desarrollo de las PSI, los

beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de

seguridad.

Recuerde que es necesario identificar quin tiene la autoridad para tomar

3

8/14/2019 Lectura Polticas de Seguridad Informtica

4/6

decisiones, pues son ellos los interesados en salvaguardar los activos crticos de lafuncionalidad de su rea u organizacin.

Desarrolle un proceso de monitoreo peridico de las directrices en el hacer de la

organizacin, que permita una actualizacin oportuna de las mismas

Un consejo ms, no d por hecho algo que es obvio. Haga explcito y concreto los

alcances y propuestas de seguridad, con el propsito de evitar sorpresas y malos

entendidos en el momento de establecer los mecanismos de seguridad querespondan a las PSI trazadas.

POR QU LAS POLTICAS DE SEGURIDAD INFORMTICAGENERALMENTE NO SE LOGRAN IMPLANTAR?

Muchas veces las organizaciones realizan grandes esfuerzos para definir susdirectrices de seguridad y concretarlas en documentos que orienten las acciones de las

mismas, con relativo xito. Segn algunos estudios [5] resulta una labor ardua el

convencer a los altos ejecutivos de la necesidad de buenas polticas y prcticas deseguridad informtica.

Muchos de los inconvenientes se inician por los tecnicismos informticos y la falta de

una estrategia de mercadeo de los especialistas en seguridad, que llevan a los altos

directivos a pensamientos como: ms dinero para los juguetes de los ingenieros.Esta situacin ha llevado a que muchas empresas con activos muy importantes, se

encuentren expuestas a graves problemas de seguridad, que en muchos de los casos

lleva a comprometer su informacin sensitiva y por ende su imagen corporativa.

Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que laspersonas relevantes entienden los asuntos importantes de la seguridad, conocen sus

alcances y estn de acuerdo con las decisiones tomadas en relacin con esos asuntos.

En particular, la gente debe saber las consecuencias de sus decisiones, incluyendo lo

mejor y lo peor que podra ocurrir. [3, pg.394] Una buena intrusin o una travesurapuede convertir a las personas que no entendieron, en blanco de las polticas o en

seuelos de los verdaderos vndalos.

Luego, para que las PSI logren abrirse espacio al interior de una organizacin deben

integrarse a las estrategias del negocio, a su misin y visin, con el propsito de quelos que toman las decisiones reconozcan su importancia e incidencias en las

proyecciones y utilidades de la compaa. De igual forma, las PSI deben ir

acompaadas de una visin de negocio que promueva actividades que involucren alas personas en su diario hacer, donde se identifiquen las necesidades y acciones que

materializan las polticas.

En este contexto, el entender la organizacin, sus elementos culturales y

comportamientos nos deben llevar a reconocer las pautas de seguridad necesarias y

4

8/14/2019 Lectura Polticas de Seguridad Informtica

5/6

suficientes que aseguren confiabilidad en las operaciones y funcionalidad de lacompaa.

A continuacin algunas recomendaciones para vender las preocupaciones sobre la

seguridad informtica:

Desarrolle ejemplos organizacionales relacionados con fallas de seguridad que

capten la atencin de sus interlocutores.

Asocie el punto anterior a las estrategias de negocio y la imagen de la empresa en

el desarrollo de sus actividades.

Articule las estrategias de seguridad informtica con el proceso de toma de

decisiones y los principios de integridad, confidencialidad y disponibilidad de la

informacin.

Muestre una valoracin costo-beneficio, ante una falla de seguridad.

Desarrolle las justificaciones de la importancia de la seguridad informtica enfuncin de hechos y preguntas concretas, que muestren el impacto, limitaciones y

beneficios sobre los activos claves de la organizacin

Un consejo ms, sea oportuno y sagaz para presentar su producto, procurando

tener la mayor informacin del negocio y los riesgos asociados con los activos

crticos de la organizacin.

LAS POLTICAS DE SEGURIDAD INFORMTICA COMO BASE DE LAADMINISTRACIN DE LA SEGURIDAD INTEGRAL.

Las polticas de seguridad informtica conforman el conjunto de lineamientos que

una organizacin debe seguir para asegurar la confiabilidad de sus sistemas. En razn

a lo anterior, son parte del engranaje del sistema de seguridad que la organizacinposee para salvaguardar sus activos.

Las PSI constituyen las alarmas y compromisos compartidos en la organizacin, que

le permiten actuar proactivamente ante situaciones que comprometan su integridad.

Por tanto, deben constituir un proceso continuo y retroalimentado que observe laconcientizacin, mtodos de acceso a la informacin, monitoreo de cumplimiento y

renovacin, aceptacin de las directrices y estrategia de implantacin, que lleven a

una formulacin de directivas institucionales que logren aceptacin general.Las polticas por s solas no constituyen una garanta para la seguridad de laorganizacin, ellas deben responder a intereses y necesidades organizacionales

basadas en la visin de negocio, que lleven a un esfuerzo conjunto de sus actores por

administrar sus recursos, y a reconocer en los mecanismos de seguridad informticafactores que facilitan la formalizacin y materializacin de los compromisos

adquiridos con la organizacin.

5

8/14/2019 Lectura Polticas de Seguridad Informtica

6/6

REFERENCIAS

1. Organisation for Economic Cooperation and Development (OEDC) Guidelines forSecurity of Information Systems. 1992.

2. SWANSON et al. (1996) National Institute of Standard and Technology (NIST).

General Principles for Information Systems Security Policies.

3. CHAPMAN, B y ZWICKY, E.(1997) Construya Firewalls para Internet. OReally.Edicin en Espaol por McGraw Hill.

4. BAYUK, J. (1997) Security through process management. Price Waterhouse, LLP.

5. WILSON, M (1996) Marketing and Implementing Computer Security. NIST.

6