La Política de Seguridad establece el estado en el que se encuentra la información y los servicios dentro de la entidad y define qué es lo que se desea proteger, así como los correspondientes objetivos de seguridad proporcionando una base para la planificación de la misma.
Describe responsabilidades del usuario y cómo se supervisa la efectividad de las medidas aplicadas. En definitiva, es un conjunto de reglas (directrices y procedimientos) que se deciden aplicar en las actividades del sistema y a los recursos de comunicaciones que pertenecen a una organización, con el fin de proteger sus activos, datos, infraestructura y a su personal de amenazas internas y externas
Estas reglas incluyen áreas como la seguridad física, personal, administrativa y de la red. Además, debe señalar la importancia de las tecnologías de la información para la organización, el período de validez de la política, los recursos con que se cuenta y los objetivos específicos a cubrir.
Con el análisis de riesgos se consigue identificar los riesgos a los cuales está expuesta la organización y cuáles son los impactos, las posibles amenazas y las vulnerabilidades que pueden ser explotadas por estas. Una vez que se establece la política de seguridad, determinando el riesgo residual que se está dispuesto a aceptar, se deben establecer las salvaguardas que den cumplimiento a la misma.
Los Pilares de la Seguridad de la Información
Gobernanza
Los profesionales son la base del éxito de la operación de la seguridad. Por este motivo, en cualquier organización se deben considerar aspectos como gobernanza, estructura, experiencia, entrenamiento y certificaciones del personal.
Se deben establecer los mecanismos de gerencia y gestión de la seguridad, incluyendo soporte a las operaciones, niveles de escalamiento acordes con la clasificación y remediación de incidentes, frecuencia y tipos de notificación, etc. En este sentido, es recomendable implantar el denominado SGSI (Sistema de Gestión de la Seguridad de la Información) un conjunto de políticas de administración de la información, donde se definen, implantan y mantienen un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información
Gestión de la Configuración
La implementación efectiva de control de configuración y gestión de software es fundamental, ya que es la única manera de asegurar que los sistemas operativos y aplicaciones son actualizados de forma correcta tras la publicación de los parches preceptivos
Vigilancia
Junto con el control de configuración y gestión del software se debe valorar un proceso continuo de análisis de vulnerabilidades, ya sea automático o manual.
No hay que perder de vista que mediante la constitución de un Centro de Operaciones de Seguridad (SOC) se mejoran las capacidades de vigilancia y detección de incidentes y se optimiza la capacidad de reacción y respuesta ante cualquier ataque.
Continuidad del Negocio
El término “Continuidad de Negocio” supone pensar y disponer de un plan alternativo en caso de que ocurra un desastre en los sistemas TIC de la entidad. Este plan debe estar documentado para que, llegado el caso, se tengan claros los pasos a seguir para mitigar el problema y volver a la situación previa de normalidad con la mayor brevedad posible.
Acciones como la realización de backups, realización de actividades de restauración de las copias de respaldo, son fundamentales en la Continuidad del Negocio ante tales desastres en los sistemas TIC de las organizaciones
Gestión de Incidentes
La gestión de incidentes forma parte de la cultura de gestión de riesgos. Cuando se produce un incidente de seguridad, es crítico para una entidad disponer de un protocolo eficaz de respuesta que ayude a los equipos de seguridad a minimizar la pérdida o filtración de información, evitar la propagación del incidente o, incluso, la propia interrupción del servicio. La velocidad con la cual se reconozca, analice y responda al incidente limitará el daño y minimizará el coste de la recuperación. Las entidades tienen que habituarse a notificar y compartir incidentes con las organizaciones correspondientes, máxime teniendo en cuenta que, en numerosas ocasiones, los patrones de actuación se repiten.
Conclusiones
Una Política de Seguridad de la Información bien diseñada ayuda a mantener la integridad, confidencialidad y disponibilidad de la información y los sistemas, al tiempo que crea una cultura organizacional orientada a la prevención y respuesta eficaz frente a amenazas.
AUTOR
Rafael Antona
Rafael Antona es licenciado en CC. Químicas en la especialidad de Ciencia de los Materiales e Ingeniería Metalúrgica por la Universidad Complutense de Madrid (U.C.M), Curso Superior en Ingeniería de Calidad por la Fundación Confemetal y Master MBA por el ICADE Business School de la Universidad Pontificia de Comillas. Con una dilatada experiencia nacional como internacional en implantación de Gestión de Proyectos de Sistemas de Información, Consultoría de Sistema de Gestión y Modelos de Excelencia es Sales&Business Director de ExpertSoft.
Inscríbase en nuestra Newsletter y reciba contenidos sobre las mejores prácticas
en gestión producidos por especialistas.
Al hacer clic en el siguiente botón, usted confirma que ha leído y acepta nuestra Política de Privacidad.
Al hacer clic en el siguiente botón, usted confirma que ha leído y acepta nuestra Política de Privacidad.
WhatsApp us