Analizando las palabras por separado, las políticas y normas son el instrumento que adopta una empresa para definir las reglas de comportamiento aceptables, y la seguridad es la ausencia de peligro o riesgo. Ahora bien, ¿de qué hablamos cuando nos referimos a las políticas de seguridad?

Las políticas de seguridad son un plan de acción para afrontar riesgos de seguridad o, también, un conjunto de reglas para el mantenimiento de cierto nivel de seguridad informática.

El desarrollo de las políticas de seguridad inicia con la priorización de los temas que deben abordarse, la identificación del personal al cual van dirigidas y los activos a proteger. Para ello, se pueden realizar las siguientes actividades:

  • Seleccionar las áreas que utilicen información que deba ser protegida por alguna ley (nacional, estatal o local).
  • Identificar información utilizada para la toma de decisiones críticas dentro de la organización.
  • Identificar información crítica para la continuidad de las operaciones.
  • Definir la sensibilidad de la información.
  • Especificar un esquema de clasificación de información.

Una vez que se han realizado las actividades anteriores, el equipo de desarrollo de políticas debe comenzar la redacción de los documentos y seguir su ciclo de vida, el cual se basa en un proceso de mejora continua. La identificación de incumplimientos, inconsistencias y la retroalimentación de las partes involucradas permite realizar adecuaciones en los documentos.

Cinco fases de las políticas de seguridad

Escritura

La redacción debe emplear un lenguaje conciso y fácil de comprender, los responsables definen el sentido de la política, evitando el uso de negaciones directas en los enunciados. Por ejemplo:

  • “El usuario debe bloquear su equipo al ausentarse de su lugar de trabajo”, es una política que indica lo que está permitido.
  • “Se prohíbe que el usuario deje un equipo desatendido sin bloquear la sesión”, es una política que indica lo que está prohibido.

Ambas redacciones son aceptables siguiendo un enfoque permisivo o prohibitivo respectivamente, pero

  • “El usuario no debe dejar su equipo desatendido sin bloquear la sesión” es una redacción de carácter negativo que debe evitarse.

Revisión

Permite definir el contenido de las políticas de acuerdo a los intereses de la organización, el sentido de la redacción y la funcionalidad de lo descrito en los enunciados, sin afectar las operaciones cotidianas, es decir, mantener un equilibrio entre la funcionalidad y la operatividad.

Aprobación

Una vez que hayan sido revisadas y se considere que el contenido es apropiado, las políticas deben ser ratificadas por el comité para su publicación. Se debe incluir la fecha de aprobación.

Difusión

Una actividad primordial consiste en dar a conocer las políticas y su entrada en vigor, el crear las políticas y no difundirlas resulta un gran esfuerzo desperdiciado. Por tal motivo, el comité debe idear mecanismos para dar a conocerlas entre las audiencias, a través de actividades como la creación de carteles, trípticos, sesiones informativas y otras.

Actualización

La aplicación de políticas es una actividad permanente y de mejora continua, por lo que pueden realizarse reajustes. La presencia recurrente de la violación de una política, una sugerencia de las partes involucradas, el uso de nueva tecnología o cambios en la estructura organizacional son algunas de las razones por las cuales se actualiza una política.

Los responsables de la creación de políticas deben considerar las operaciones cotidianas, los hábitos y la cultura organizacional, para instar a las audiencias en su aceptación y cumplimiento, basados en el principio de que las políticas no representan restricciones o cargas laborales, sino elementos que permiten proteger los activos al tiempo que madura la operación. De esta manera las organizaciones podrán gozar del beneficio que ofrecen.

Fuente: Normatividad en las organizaciones, Ing. Sandra Atonal Jiménez, Ing. Rubén Aquino Luna, Revista Bimestral, Seguridad Cultura de prevención para TI

Adaptado por la División Consultoría de Evaluando

 
Share This
Suscríbase a nuestras novedades

Suscríbase a nuestras novedades

¿está interesado en nuestros contenidos de ERP? Suscríbase para nuestros newsletter y no deje de estar informado.

¡Listo, ya está suscripto!