IEDGE – Políticas de Seguridad Informática


1 Star2 Stars3 Stars4 Stars5 Stars (Valora este post)
Loading...

La seguridad informática abarca un campo muy amplio, ya que va desde la protección del ordenador de sobremesa del que disponemos, pasando por la información disponible y alcanzando las redes que lo comunican con el mundo exterior. De ahí que la definición de seguridad sea bastante compleja y dentro de un entorno auditoría informática continua. Si que tenemos que tener claro que la seguridad del entorno informático deben basarse en:

  • La confidencialidad o privacidad, que debe impedir que personas no deseadas accedan al sistema, ni a la información disponible. Para eso es muy importante disponer de las herramientas oportunas para el control de accesos a los sistemas y que la información confidencial sea cifrada
  • La integridad de la información a la que se tiene acceso, impidiendo que la información sea manipulada por personal ajeno. Debe ser incluido en este punto además, la posible modificación de la información por causas accidentales en el desarrollo de los procesos
  • La disponibilidad de la información a cualquier usuario. La misma puede ser accesible e cualquier instante y el sistema debe ser capaz de recuperarse ante posibles fallos en el mismo.

Las políticas de seguridad informática han surgido como una herramienta en las empresas para concienciar a los usuarios sobre la importancia y la sensibilidad de la información y de los servicios de la empresa.

Una política de seguridad es la forma de comunicación con los usuarios, estableciendo un canal de actuación en relación a los recursos y los servicios informáticos de la empresa. Describe lo que se desea proteger y el porqué, mediante normas, reglamentos y protocolos a seguir, definiendo funciones y responsabilidades de los componentes de la organización y controlando el correcto funcionamiento.

Los directivos y los expertos en tecnologías de la información definen estos requisitos de seguridad, considerándola como parte de la operativa habitual y no como una acción adicional.

La creación de las políticas conlleva la creación de reglamentos de seguridad.

Las políticas de seguridad deben considerar:

  • El alcance de las mismas, cubriendo todos los aspectos relacionados.
  • Objetivos y descripción de los elementos involucrados, protegiendo todos los niveles: físico, humano, lógico y por supuesto logístico.
  • Responsabilidades de los servicios y recursos informáticos implicados.
  • Requerimientos mínimos de seguridad, incluyendo la estrategia a seguir en caso de fallo.
  • Definición de violaciones y sanciones.
  • Responsabilidades de los usuarios y sus accesos.

Las políticas de seguridad informática deben utilizar un lenguaje sencillo, sin tecnicismos y ambigüedades, que puedan ser entendidos por todos. Deben ser actualizadas periódicamente,  por ejemplo en cambios organizacionales como son el aumento de personal, desarrollo de nuevos negocios,…

Los parámetros para establecer las políticas son:

  • Analizar los riesgos a nivel informático, incluyendo hardware, software, los propios usuarios y la interacción entre todos.
  • Reunirse con los departamentos de los distintos recursos.
  • Comunicar a todo el personal afectado del desarrollo de las políticas.
  • Identificar los responsables de cada departamento en la toma de decisiones.
  • Revisar periódicamente los procedimientos y operaciones de la empresa.
  • Detallar el alcance de las políticas, basándonos en los recursos que deben ser protegidos y el valor de los mismos.

Es básico, para que las políticas de seguridad surtan efecto en una organización, que dichas políticas sean aceptadas y para ello deben integrarse en el modelo de negocio de la empresa, para que el personal entienda de su importancia.

Muchas gracias y espero sus comentarios!

Juan Manuel Escudero

Profesor de Dirección en Tecnología y Sistemas de Información

Nota: Para aprender de una forma práctica y rápida todo sobre la gestión profesional de un departamento de Sistemas y Tecnología de la Información, les invitamos a que consulten la Especialidad Europea en Gestión de Sistemas y Tecnologías de la Información donde se formará con los mejores profesores de Europa y Latinoamérica y conocerá las mejores prácticas en el área de SITI.

* Los contenidos publicados en este post son responsabilidad exclusiva del Autor.