¿Qué es una política de seguridad de la información? Son
lineamientos que reflejan la postura de una organización ante la necesidad de
proteger su información. La política establecerá de manera general qué deben
hacer los empleados y qué no, para preservar la confidencialidad, integridad y
disponibilidad de los activos de información.
¿Debe de haber contraseñas para acceder a las computadoras?
¿Un usuario puede desinstalar un antivirus? ¿Un administrador de sistemas puede
realizar un cambio en la configuración de un servidor sin avisar a nadie? Esta
es la serie de temas que bien podría abordar la política para que quedaran
claros los lineamientos que rigen la seguridad de la información en una empresa.
Sabemos ya qué es una política. ¿Pero quién la necesita? La respuesta
es fácil. Todas las organizaciones. Es como preguntar qué país necesita leyes.
Tal vez unos tengan leyes muy amplias, otros las tendrán muy generales pero es
un hecho que habrá algún tipo de ley. Lo mismo pasa con la política de
seguridad de la información.
Idealmente esta política debe de formalizarse, vigilar que se
siga y sancionarse si no la cumplimos. La primera parte de “formalización” es
para que no sea un papel sin valor o un pliego de buenos deseos que ojalá
alguien cumpla.
De alguna manera hay que ver que tenga esa fuerza y cada organización
tendrá sus mecanismos para formalizarla. La segunda parte referente a que “vigilemos
que se siga” es donde debe de haber alguien que verifique su seguimiento.
Es
como el reglamento de tránsito: una parte es que exista el documento y que sea
formal, y otra parte es que haya agentes de tránsito vigilando su cumplimiento.
La última parte de sancionarse es obvia y es cuando la patrulla levanta una
infracción a un conductor que no respetó la luz roja del semáforo.
La política es importante para tener lo que comúnmente se
llama “las reglas del juego”. Así habrá un orden y dirección. Los empleados
deben seguirla para evitar que la Alta Dirección deje este asunto de seguridad
de la información al criterio particular de cada persona.
Y si bien una política es importante, también podemos caer en
errores al implementarla, por ejemplo:
- ¿Debe llamarse política de seguridad de la información? El nombre de este documento es lo de menos. Lo importante es el espíritu de la política. Pueden llamarle “lineamiento”, “norma” o “pautas”, siempre y cuando contenga las “reglas del juego”.
- ¿Debe de ser un solo documento? No nos equivoquemos buscando un solo documento maestro que aglutine todas las reglas de la política. Estas reglas bien pueden estar dispersas en diversos documentos con diferentes nombres. De nueva cuenta, lo de menos es tener un solo documento o doce: lo importantes es el espíritu de la política, difundirla y seguirla.
- ¿Debemos de llenarnos de reglas? Imagino una política kilométrica, con todo tipo de lineamientos a seguir para miles de actividades de todo tipo. A eso le llamaríamos sobre-regulación y el primer problema que enfrentaría una política así sería tener tiempo para si quiera leerla.
- ¿Debe de ser específica? La política tiene generalidades, no pormenores. Para aquellos asuntos que valga la pena tratarse al detalle, deberán existir otros mecanismos que describan el procedimiento o actividad específica y sí, siempre alineado a la política general.
En conclusión, si no hay reglas,
regirá el caos. Cada quién hará lo que crea que es correcto con argumentos
propios de por qué si debería o no debería de hacerse esto o aquello y la
protección de la información quedará a la deriva.
La importancia de la política
radica precisamente en eso: en poner orden, en generar lineamientos orientados
a la protección de uno de los activos más importantes que es la información que
manejan las organizaciones.