martes, 3 de enero de 2017

La importancia de las políticas de seguridad de la información


¿Qué es una política de seguridad de la información? Son lineamientos que reflejan la postura de una organización ante la necesidad de proteger su información. La política establecerá de manera general qué deben hacer los empleados y qué no, para preservar la confidencialidad, integridad y disponibilidad de los activos de información.



¿Debe de haber contraseñas para acceder a las computadoras? ¿Un usuario puede desinstalar un antivirus? ¿Un administrador de sistemas puede realizar un cambio en la configuración de un servidor sin avisar a nadie? Esta es la serie de temas que bien podría abordar la política para que quedaran claros los lineamientos que rigen la seguridad de la información en una empresa.

Sabemos ya qué es una política. ¿Pero quién la necesita? La respuesta es fácil. Todas las organizaciones. Es como preguntar qué país necesita leyes. Tal vez unos tengan leyes muy amplias, otros las tendrán muy generales pero es un hecho que habrá algún tipo de ley. Lo mismo pasa con la política de seguridad de la información.

Idealmente esta política debe de formalizarse, vigilar que se siga y sancionarse si no la cumplimos. La primera parte de “formalización” es para que no sea un papel sin valor o un pliego de buenos deseos que ojalá alguien cumpla.
De alguna manera hay que ver que tenga esa fuerza y cada organización tendrá sus mecanismos para formalizarla. La segunda parte referente a que “vigilemos que se siga” es donde debe de haber alguien que verifique su seguimiento.
Es como el reglamento de tránsito: una parte es que exista el documento y que sea formal, y otra parte es que haya agentes de tránsito vigilando su cumplimiento. La última parte de sancionarse es obvia y es cuando la patrulla levanta una infracción a un conductor que no respetó la luz roja del semáforo.

La política es importante para tener lo que comúnmente se llama “las reglas del juego”. Así habrá un orden y dirección. Los empleados deben seguirla para evitar que la Alta Dirección deje este asunto de seguridad de la información al criterio particular de cada persona.

Y si bien una política es importante, también podemos caer en errores al implementarla, por ejemplo:

  • ¿Debe llamarse política de seguridad de la información? El nombre de este documento es lo de menos. Lo importante es el espíritu de la política. Pueden llamarle “lineamiento”, “norma” o “pautas”, siempre y cuando contenga las “reglas del juego”.
  • ¿Debe de ser un solo documento? No nos equivoquemos buscando un solo documento maestro que aglutine todas las reglas de la política. Estas reglas bien pueden estar dispersas en diversos documentos con diferentes nombres. De nueva cuenta, lo de menos es tener un solo documento o doce: lo importantes es el espíritu de la política, difundirla y seguirla.
  • ¿Debemos de llenarnos de reglas? Imagino una política kilométrica, con todo tipo de lineamientos a seguir para miles de actividades de todo tipo. A eso le llamaríamos sobre-regulación y el primer problema que enfrentaría una política así sería tener tiempo para si quiera leerla.
  • ¿Debe de ser específica? La política tiene generalidades, no pormenores. Para aquellos asuntos que valga la pena tratarse al detalle, deberán existir otros mecanismos que describan el procedimiento o actividad específica y sí, siempre alineado a la política general.

En conclusión, si no hay reglas, regirá el caos. Cada quién hará lo que crea que es correcto con argumentos propios de por qué si debería o no debería de hacerse esto o aquello y la protección de la información quedará a la deriva.
La importancia de la política radica precisamente en eso: en poner orden, en generar lineamientos orientados a la protección de uno de los activos más importantes que es la información que manejan las organizaciones.