¿Y de las politicas de seguridad que?

Publicado hace 6 años por en Seguridad Informática


Siempre escuchamos que las políticas de seguridad son importantes y que debemos aplicarlas, pero? Que son las políticas de seguridad? Como debemos implementarlas?. Como ayudan las mismas a mantener nuestra información segura?  Si estudiamos un poco la definición de políticas de seguridad, encontraremos diferentes conceptos.  ISO (International Standards Organization). Define políticas de seguridad como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales qué está y qué no está permitido en el área de seguridad durante la operación general de dicho sistema.

Analizando esta definición vemos como el o los  responsable del área de sistema debe definir, procedimientos, reglas o normas a seguir, es necesario entonces conocer bien las necesidades de la empresa en seguridad informática. Cuál es la información confidencial, cual es la información más crítica o sensible y el impacto que tiene sobre la organización la misma, que tenemos cubierto, que soluciones hay implementadas, es decir hay que hacer un análisis de riesgo. Tema que trataremos de cubrir en otro post.  Este analisis  sera la base para fijar nuestras politicas.

Las politicas de seguridad no solo nos permiten fijar normas y procedimientos, estas nos ayudaran a conseguir los objetivos que nos tracemos, dan orientacion con repecto a la seguridad de la informacion, de acuerdo con los requisitos del negocio, los reglamentos y las leyes pertinentes. Ahora bien, ¿quien debe cumplir las politicas de seguridad?. TODOS.. Por eso las mismas deben formar parte de un documento que este al alcance de todos los usuarios del sistema dentro de la organizacion y quiero hacer enfasis en tres aspectos importantes.

1) Las politicas de seguridad deben  ser dadas conocer a todos. Debemos garantizar que el manual de las politicas de seguridad sea conocida por todos. Para esto podriamos por ejemplo crear una seccion en la intranet o enviarla por correo o reunir al personal para darlas a conocer.

2) Hay que asegurarnos que las politicas de seguridad son entendidas por todos. Es importante que las politicas tengan un contenido claro y expresado en teminos sencillos. Ademas se deben realizar evaluaciones al personal con el fin de identificar quien las entiende y quien no.

3) Las politicas deben ser aceptadas por todos. No podemos asumir que por el hecho de que las publiquemos o las enviemos por correo estas han sido entendidas o aceptadas. Puede ocurrir en muchas ocaciones que la violacion a una politica puede derivar en la no aceptacion de la misma y para efectos legales debemos tener una constancia de comunicacion y aceptacion.

Otro aspecto importante es la revision de las politicas con regularidad para garantizar que siguen siendo adecuadas a las necesidades de la empresa.

Otra pregunta a responder es ¿Que deben cubrir las politicas de seguridad?. Deben cubrir todos los aspectos que puedan poner en peligro la informacion de la empresa tales como el Hardware, software, control de acceso a redes, los procedimientos entre otros.

Lo insolito, es que en muchas empresas las politicas de seguridad simplemente NO EXISTEN. Y para las empresas que realmente las implementan es un verdadero reto, ya que son muy pocas las soluciones tecnologicas que en la actualidad puedan ayudar a las organizaciones en este tema. Quiero compartir con ustedes una excelente solucion llamada NETconsent. Esta herramienta permite automatizar todo el proceso de administracion de politicas de seguridad dentro de su compañia. De esta forma se garantiza un conocimiento de las mismas, elevando el nivel de conducta y responsabilidad individual de los usuarios en la empresa, facilita el proceso de evaluacion y aceptacion de las politicas,  es facil de usar y administrar  permitiendo incluso  minimizar las responsabilidades legales. En otro post hablaremos en detalle de NETconsent,  pienso  que es muy interesante conocer todas los beneficios que nos brinda.

Los invito a darme sus opiniones acerca de este tema (Politicas de seguridad). Y lo que piensan acerca de la importancia de las mismas, asi como cualquier informacion que desees brindarme para ampliar el tema.


 

Dejar un comentario