Política de seguridad

Introducción

Una política de seguridad en Tecnologías de la Información (IT) identifica las normas y procedimientos para todas las personas que acceden y utilizan los activos y recursos IT de una organización.

Para ser efectiva una política de seguridad:

• Debe modelas la cultura de la organización → las normas y los procedimientos son impulsados desde el enfoque de sus empleados hacia su información y su trabajo.
• Un documento único para cada organización, cultivado a partir de las perspectivas de su gente sobre la tolerancia al riesgo, cómo ven y valoran su información y la consiguiente disponibilidad que mantienen de esa información.
• Documento vivo que se actualiza continuamente, adaptación a evaluación de requisitios empresariales y de IT!

El objetivo de la política de seguridad es la preservación de la confidencialidad, la integridad y la disponibilidad de los sistemas y la información utilizados por los miembros de una organización (tríada CIA o el concepto ampliado de CIDANA)

• Confidencialidad: protección de los activos frente a entidades no autorizadas
• Integridad: garantiza que la modificación de los activos se gestiona de forma específica y autorizada
• Disponibilidad: estado del sistema en el que los usuarios autorizados tienen acceso continuo a dichos activos

Instituciones como la Organización Internacional de Normalización (ISO) y el Instituto Nacional de Normas y Tecnología (NIST) de Estados Unidos han publicado normas y mejores prácticas para la elaboración de políticas de seguridad.

En general, las especificaciones de cualquier política de empresa deben abordar:

• Objetivos
• Alcance
• Objetivos específicos
• Responsabilidades de cumplimiento y acciones a tomar en caso de incumplimiento

Suelen ser también obligatorias en toda política de seguridad secciones dedicadas a:

: La adhesión a la normativa que rige el sector de la organización (p.e., PCI Data Security Standard, RGDP, etc.)

• La política de seguridad de una organización desempeñará un papel importante en sus decisiones y dirección, pero no debe alterar su estrategia o misión.

Recomendación: redactar una política que se extraiga del marco cultural y estructural existente en la organización para apoyar la continuidad de una buena productividad e innovación PERO NO como una política genérica que impida a la organización y a su gente cumplir con su misión y objetivos.

A grandes rasgos (1/2)

• Normalmente, la primera parte describe las expectativas generales de seguridad, lsa funciones y las responsabilidades en la organización

• Entre las partes interesadas se encuentran los consultores externos, el personal de TI, el personal financiero, etc –> sección de “funciones y responsabilidades” o “responsabilidad de la información y rendición de cuentas” de la política

• La política puede incluir secciones para diversas áreas de ciberseguridad, como los requisitos para el software antivirus o el uso de aplicaciones en la nube

Para grandes organizaciones / sectores regulados, política de ciberseguridad con decenas de páginas pero organizaciones pequeñas quizá pocas páginas y cubrir las prácticas básicas de seguridad como:

• Reglas para el uso de cifrado en email, pasos para acceso remoto a las aplicaciones de trabajo, directrices para crear y almacenar contraseñas, normas sobre uso de las redes sociales

A grandes rasgos (2/2)

• Independientemente de la extensión, la política debe dar prioridad a las áreas de mayor importancia para la organización, p.e., seguridad de los datos más sensibles o regulados, o la seguridad para abordar las causas de anteriores violaciones de datos (análisis de riesgos para poner de relieve las áreas a las que hay que dar prioridad en la política)

La política también debe ser sencilla y fácil de leer:

• Incluir información técnica en los documentos de referencia, especialmente si esa información requiere una actualización frecuente

• Por ejemplo, la política puede especificar que los empleados deben cifrar toda la información personal identificable (Personal Identifiable Information, PII) PERO la política no necesita detallar el software de cifrado específico que se debe utilizar o los pasos para cifrar los datos

Quién es quién la política de seguridad de la empresa:

: CIO (Chief Information Officer) o CISO (Chief Information Security Officer) es el principal responsable de todas las políticas de seguridad de la información

: Otros participantes (política en función de sus conocimientos y funciones dentro de la organización)

• Ejecutivos de nivel C definen las necesidades clave del negocio en materia de seguridad, así como los recursos disponibles para apoyar una política de ciberseguridad

Redactar una política que no puede aplicarse por falta de recursos es una pérdica de tiempo del personal. {: .prompt-tip }

• Departamento legal: política cumple con los requisitos legales y con la normativa gubernamental

• Departamento RRHH: responsable por explicar y hacer cumplir las políticas de los empleados (que la política se lee y que se sanciona a quien infringe)

• Departamentos adquisiciones responsables de investigar a los proveedores de servicios (p.e., gestion de servicios en la nube). Compras → verificar que la seguridad de un proveedor de la nube cumple con las políticas de ciberseguridad de la organización

• Consejo de administración de las empresas públicas y de las asociaciones revisan y aprueban las políticas como parte de sus responsabilidades (grado medio en creación)

¿Qué personal debe participar en la elaboración de la política? → ¿Quién es más importante para el éxito de la misma? p.e., ¿quién hará cumplir la política o proporcionará recursos para ayudar a aplicarla?. {: .prompt-tip }

Actualización y auditoria de los procedimientos de ciberseguridad:

: La tecnología cambia continuamente → ACTUALIZAR procedimientos de ciberseguridad regularmente → establecer proceso de revisión y actualización anual implicando a principales interesados

: Tres objetivos de la auditoría de políticas:

• Comparar la política de ciberseguridad de la organización con las prácticas reales (descubrir las normas que ya no se ajustan a los procesos de trabajo actuales, identificar dónde se necesita una mejor aplicación de la política de ciberseguridad)

• Determinar la exposición de la organización a las amenazas internas

• Evaluar el riesgo de las amenazas de seguridad externas

Política de ciberseguridad actualizada es un recurso de seguridad clave para todas las organizaciones

: De lo contrario: usuarios finales pueden cometer errores y provocar violaciones de datos, multas a la organización, pérdida de confianza pública, degradación de la marca, …

: Varios organismos gubernamentales facilitan la creación de políticas de seguridad:

• SANS: Ejemplos/templates base MUY INTERESANTES de política de seguridad por categorías (en inglés)

• FCC US:

  • Herramienta de creación: Cyberplanner

  • Action plans:

Guía de planificación

Normativa de Seguridad y uso de los recursos informáticos en la Universidad Politécnica de Cartagena (acorde al ENS)

Política de Seguridad de la Información de la UPCT (acorde al ENS)

¡IMPRESCINDIBLE PERSONALIZAR DESPUÉS!. {: .prompt-warning }