La política de seguridad establece el estado en el que se encuentra la información y los servicios de la organización y define qué es lo que se desea proteger, así como los objetivos establecidos al respecto.
Describe las responsabilidades de los usuarios y cómo se va a efectuar la supervisión de la efectividad de las medidas aplicadas. Es, en definitiva, un conjunto de reglas que se deciden aplicar en las actividades el sistema y a los recursos de comunicaciones que pertenecen a una organización.
Estas reglas incluyen las áreas de seguridad física, personal, administrativa y de la red de sistemas de información. Incluye las tecnologías usadas para el procesamiento de la información, el período de validez de las políticas, los recursos y objetivos a cubrir.
ELEMENTOS
PROTEGER
ASEGURAR CARACTERÍSTICAS
La gestión de riesgos utiliza los resultados del análisis de riesgos para seleccionar e implantar las medidas de seguridad adecuadas para controlar los riesgos identificados y que se pueden dividir en las siguientes:
- Preventivas: tienen como objeto reducir el riesgo.
- Protección física: guardias, control de acceso, protección del hardware, …
- Medidas técnicas: cortafuegos, detectores de intrusos, criptografía, …
- Medidas Procedimentales: cursos de mentalización, actualización de conocimientos, normas de acceso a la información, sanciones, …
- Análisis: orientadas a la identificación del riesgo.
- Protección física: sistema de vigilancia, detectores de movimientos, …
- Medidas técnicas: control de acceso lógico, sesión de autenticación, …
- Medidas Procedimentales: gestión de logs, monitorización de auditoría, …
- Correctivas: se orientan a impedir o reducir el impacto sobre los activos.
- Protección física: respaldo de fuente de alimentación (SAI), …
- Medidas técnicas: antivirus, antimalware, auditorías, copias de respaldo de la información, …
- Medidas Procedimentales: planes de contingencias, gestión de incidentes, notificación de brechas, …
Un elemento clave asociado a política de seguridad de información es, sin lugar a dudas, el tema de la gobernanza. Las organizaciones las componemos personas y son los profesionales que se desempeñan en esta área la base del éxito del conjunto de operaciones de seguridad objeto del alcance de la política de seguridad. Por tanto, es básico considerar aspectos como gobernanza, estructura, experiencia requerida, entrenamientos a realizar y certificaciones del personal. Una herramienta adecuada es usar una matriz RACI. La matriz RACI es una forma de realizar la asignación de responsabilidades, y lleva el nombre de las cuatro responsabilidades más comunes: Responsable, Aprobador, Consultado e Informado.
Responsable
Aprobador
Consultado e Informado
Lo primero que debemos tener presente es que se trata de un proceso dinámico y, por tanto, cíclico en cualquier organización, por lo que debe ser objeto de atención, supervisión y revisión constante para verificar la efectividad y eficiencia del mismo. Los pasos se podrían catalogar en los siguientes seis:
Metodología COBIT 2019
Un segundo ejemplo de matriz RACI
Por último, se debe considerar la posibilidad de establecer una oficina de seguridad que asista en la implementación de las políticas, procedimientos y normativa que sienten las bases para dirigir, gestionar, comunicar, evaluar, controlar y mejorar la seguridad de la información relacionada con las actividades que son propias de la organización en conformidad con la legislación, normativa y buenas prácticas.
- Debe definir la postura de la dirección o la gerencia con respecto a la necesidad de proteger la información corporativa
- Orientar a los funcionarios con respecto al uso de los recursos de información
- Definir la base para la estructura de seguridad de la organización
- Ser un documento de apoyo a la gestión de TI y Seguridad Informática
- Ser general sin comprometerse con tecnologías especificas (Principio de Neutralidad Tecnológica)
- Debe abarcar toda la organización
- Debe ser de larga vigencia, manteniéndose sin grandes cambios en el tiempo.
- Debe ser clara y evitar confusiones o interpretaciones
- No debe generar nuevos problemas
- Debe permitir clasificar la información en confidencial, uso interno, publica.
- Debe identificar claramente funciones específicas de los empleados como: Responsable, Custodio o Usuario.
Quieres saber más sobre Ciberseguridad
Revisa el siguiente paso para saber cuales son los factores de amenza