Políticas de Seguridad

Universidad Tecnológica del Sur de Sonora

José Manuel Acosta RendónMarzo 2010

¿Qué son las políticas de seguridad informática (PSI)?

Una política de seguridad informática es una forma de comunicarse con losusuarios y los gerentes. Las PSI establecen el canal formal de actuación delpersonal, en relación con los recursos y servicios informáticos, importantes de laorganización.

No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresiónlegal que involucre sanciones a conductas de los empleados. Es más bien unadescripción de los que deseamos proteger y el por qué de ello.

Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos yservicios informáticos críticos de la compañía.

Es un conjunto de requisitos definidos por los responsables de un sistema, queindica en términos generales que está y que no está permitido en el área deseguridad durante la operación general del sistema.

Una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán.

¿Qué son las políticas de seguridad informática (PSI)?

La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde sedefinen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...)una política de seguridad es una forma de comunicarse con los usuarios... Siempre hayque tener en cuenta que la seguridad comienza y termina con personas.“ y debe:

Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentidoproteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.

Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte paraproteger un lápiz.

Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia yeficiencia.

Definir estrategias y criterios generales a adoptar en distintas funciones y actividades,donde se conocen las alternativas ante circunstancias repetidas.

Cualquier política de seguridad ha de contemplar los elementos claves de seguridad yamencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control,Autenticidad y Utilidad.

Elementos de una política de seguridad informática

Como mencionábamos en el apartado anterior, una PSI debe orientar las decisiones quese toman en relación con la seguridad. Por tanto, requiere de una disposición por parte decada uno de los miembros de la empresa para lograr una visión conjunta de lo que seconsidera importante.

Las PSI deben considerar entre otros, los siguientes elementos:

· Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cualaplica. Es una invitación de la organización a cada uno de sus miembros a reconocer lainformación como uno de sus principales activos así como, un motor de intercambio ydesarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición.

· Objetivos de la política y descripción clara de los elementos involucrados en sudefinición.

· Responsabilidades por cada uno de los servicios y recursos informáticos a todos losniveles de la organización.

Elementos de una política de seguridad informática

- Requerimientos mínimos para configuración de la seguridad de los sistemas quecobija el alcance de la política.

· Definición de violaciones y de las consecuencias del no cumplimiento de la política.

· Responsabilidades de los usuarios con respecto a la información a la que ella tieneacceso.

Las PSI deben ofrecer explicaciones comprensibles acerca de por qué deben tomarseciertas decisiones, transmitir por qué son importantes estos u otros recursos o servicios.

Algunos parámetros para establecer políticas de seguridad

Si bien las características de la PSI que hemos mencionado hasta el momento, nosmuestran una perspectiva de las implicaciones en la formulación de estas directrices,revisaremos a continuación, algunos aspectos generales recomendados para laformulación de las mismas.

· Considere efectuar un ejercicio de análisis de riesgos informático, a través del cualvalore sus activos, el cual le permitirá afinar las PSI de su organización.

· Involucre a las áreas propietarias de los recursos o servicios, pues ellos poseen laexperiencia y son fuente principal para establecer el alcance y las definiciones deviolaciones a la PSI.

· Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios yriesgos relacionados con los recursos y bienes, y sus elementos de seguridad.

Algunos parámetros para establecer políticas de seguridad

· Recuerde que es necesario identificar quién tiene la autoridad para tomar decisiones,pues son ellos los responsables de salvaguardar los activos críticos de la funcionalidad desu área u organización.

· Desarrolle un proceso de monitoreo periódico de las directrices en el hacer de laorganización, que permita una actualización oportuna de las mismas.

Un último consejo: no dé por hecho algo que es obvio. Haga explícito y concreto losalcances y propuestas de seguridad, con el propósito de evitar sorpresas y malosentendidos en el momento de establecer los mecanismos de seguridad que respondan alas PSI trazadas.

Proposición de una forma de realizar el análisis para llevar a cabo un sistema de seguridad informática

¿ Dudas ?

¡¡ Gracias ¡¡

José Manuel Acosta R.Septiembre 2010