UNIR Revista
¿Sabes qué son las políticas de seguridad informática? En UNIR analizamos de qué se trata y cuál es su importancia en el ámbito de la ciberseguridad.
Las políticas de seguridad informática consisten en una serie de normas y directrices que permiten garantizar la confidencialidad, integridad y disponibilidad de la información y minimizar los riesgos que le afectan. ¿Quieres saber más sobre las políticas de seguridad informática? En UNIR analizamos sus características y su importancia en el ámbito de la ciberseguridad.
Una política de seguridad se define a alto nivel, esto es, qué se debe proteger y cómo, es decir, el conjunto de controles que se deben implementar. Esta se desarrolla en una serie de procedimientos e instrucciones técnicas que recogen las medidas técnicas y organizativas que se establecen para dar cumplimiento a dicha política.
La definición de una política de seguridad debe estar basada en una identificación y análisis previo de los riesgos a los que está expuesta la información y debe incluir todos los procesos, sistemas y personal de la organización. Además, tiene que haber sido aprobada por la dirección de la organización y comunicada a todo el personal.
Entrando más en detalle, el cuerpo normativo de seguridad de la información de una organización consta principalmente de las siguientes políticas y procedimientos:
Buenas prácticas
El documento de buenas prácticas de Seguridad de la Información —puede ser un documento específico, cláusulas anexas a los contratos de los empleados, etc.— debería recoger, entre otras cosas, el uso aceptable de los sistemas y la información por parte del personal, las directrices para mantener el puesto de trabajo despejado, el bloqueo de equipo desatendido, la protección de contraseñas…
Procedimiento de control de accesos
Recoge las medidas técnicas y organizativas relacionadas con los permisos de acceso a las instalaciones y sistemas que albergan la información de la organización, así como el acceso a la propia información. Los controles de acceso pueden ser físicos o lógicos y algunos ejemplos de ellos son:
Controles de acceso físico
Mecanismos y sistemas implementados para controlar el acceso de personas a las instalaciones de la organización como, por ejemplo, tornos, barreras, cámaras, alarmas, sistemas de apertura de puertas biométricos o por tarjeta, etc. Otros ejemplos de controles de acceso físico son también: albergar la información en armarios cerrados con llave y, en general, cualquier medio físico que dificulte o no permita el acceso no autorizado a la información.
Controles de acceso lógico
Sistemas implementados para controlar el acceso de los usuarios a los distintos sistemas que albergan la información o el acceso a la propia información. Ejemplos de controles de acceso lógico son la implementación de un NAC (control de acceso de equipos y usuarios a la red), la configuración de permisos de lectura y escritura sobre los propios archivos de información, sistemas de login en los distintos sistemas, autorizaciones de acceso remoto de los usuarios a la red a través de una VPN, etc.
Procedimiento de gestión de usuarios
Recoge las instrucciones precisas a realizar para el alta, cambio de puesto de trabajo y baja (voluntaria o cese) de los usuarios en los distintos sistemas de información, así como para la concesión de los permisos de acceso tanto físicos como lógicos que deberían tener a las instalaciones, sistemas y a la propia información.
Este procedimiento se debería basar y recoger una definición clara y concisa de los diferentes roles y responsabilidades de los usuarios, es decir, en función de los roles y responsabilidades del personal se le tendrían que conceder diferentes accesos y permisos, los mínimos y necesarios para el desempeño de su trabajo.
Procedimiento de clasificación y tratamiento de la información
Incluye las instrucciones acerca de cómo clasificar la información de acuerdo a su valor, requisitos legales, sensibilidad y criticidad para la organización y las medidas de protección y manipulación/tratamiento de la misma acorde a su clasificación.
Procedimiento de gestión de incidentes de seguridad de la información
Instrucciones para la notificación de incidentes, de respuesta a los mismos con las acciones a realizar al ser detectados, etc.
Otros procedimientos
Gestión de activos de información, copias de seguridad de la información, seguridad de la red, anti-malware, registro y supervisión de eventos, actualización y parcheo de sistemas y equipos…
En resumen, las políticas de seguridad informática de una empresa u organismo deben adaptarse a todas sus necesidades y, en la medida de lo posible, ser atemporales. Es por ello que cada vez se hace más necesario el rol del experto en ciberseguridad dentro de las organizaciones, un perfil profesional especializado en ciberseguridad y que responde a las nuevas necesidades en materia seguridad en un contexto de digitalización de las organizaciones.