Genérico 8min de Leitura - 22 de julio de 2021

Políticas y procedimientos de seguridad de la información

políticas de segurança simbolizada por uma tecla com desenho de cadeado

This post is also available in: Português Español

Políticas e procedimentos

Contar con políticas de seguridad es imprescindible para poder garantizar la integridad de los sistemas, pues además de garantizar la seguridad, establece un comportamiento y controles necesarios para aplicar las estrategias de la empresa.

También ayuda a determinar como prevenir y responder a amenazas a la integridad, disponibilidad y confidencialidad de la información y activos críticos, identificando las responsabilidades, derechos y deberes de los trabajadores.

homem segurando prancheta

La tecnología es esencial para cualquier empresa. Sin importar su tamaño o el área de la empresa, los grandes del mercado operan sus sistemas principales en computadoras; dependiendo de las conexiones para funcionar plenamente.

Por eso existe una grande necesidad en implantar políticas de seguridad en las empresas.

En los últimos tiempos hubo un gran aumento en la cantidad de información confidencial circulando, tanto dentro de las organizaciones como de las organizaciones hacia afuera, vía internet.

Como mínimo, debe tener políticas documentadas, que detallen procedimientos y directrices, para eliminar la incertidumbre cuando se trata de información confidencial. Con eso, las empresas pueden gestionar los riesgos por medio de controles bien definidos, que también son referencia en auditorías y demás acciones correctivas.

Para saber más sobre políticas y procedimientos de seguridad informática, continúe leyendo.

Tópicos abordados:

  • ¿Qué son las políticas de seguridad informática?
  • Objetivos;
  • Principios básicos;
  • ¿Por qué preocuparse con la SI?
  • Beneficios;
  • Documentación;
  • Elaboración.

¿Qué son las políticas de seguridad informática?

Las políticas de seguridad informática (abreviado como PSI) son un conjunto de reglas, procedimientos, padrones, normas y directrices a observar, seguidas por todas las personas que utilizan la infraestructura de la empresa.

Ella incluye informaciones como:

  • Política de contraseñas y acceso a los dispositivos corporativos;
  • Normas sobre el uso de internet;
  • Reglas sobre la instalación de softwares;
  • Buenas prácticas de uso del correo electrónico corporativo;
  • Rutinas de backup;
  • Frecuencia de auditorías.

O sea, las PSI son un documento completo que sirve como guía tanto para el equipo de TI como para los demás trabajadores. Además, estas políticas deben ser bien conocidas por todos y se debe incentivar a adherirse a ellas, así como ser exigida por todos los líderes.

¿Cuál es el objetivo de las políticas de seguridad informática?

Una PSI busca proteger y garantizar los 3 principios de la seguridad de la información, que son: confidencialidad, integridad y disponibilidad. Las normas y prácticas descritas en las políticas de seguridad siempre se deben relacionar a uno o más de tales principios.

Su implantación previene daños en el funcionamiento de la empresa y estandariza los procedimientos, además de prevenir y mediar las respuestas a incidentes. A largo plazo eso repercutirá en la reducción de costos por incidentes de TI.

Principios básicos de la seguridad de la información

Las PSI son implementadas en las organizaciones por medio de ciertos principios básicos, que garantizan que cada cambio importante reciba la debida atención y corrobore que la empresa esté logrando sus objetivos.

Como citamos en el punto anterior, los principios de la seguridad de la información son la confidencialidad, integridad y disponibilidad. Cada uno de ellos tiene un papel diferente dentro de la empresa, que exige acciones puntuales para que se mantengan presentes siempre en la empresa.

Vea de forma detallada cada uno de los principios:

Confidencialidad

La confidencialidad, en el marco de la seguridad de la información, es nada más que la garantía de que determinada información, fuente o sistema solo puede ser accedido por personas previamente autorizadas.

Eso significa que siempre que una información confidencial es accedida por un individuo no autorizado, intencionalmente o no, ocurre lo que se llama una violación de la confidencialidad. El quiebre de esa confidencialidad, dependiendo del contenido de la información, puede ocasionar daños inestimables a la empresa, sus clientes e incluso a todo el mercado.

Integridad

Cuando las empresas manejan datos, uno de sus mayores deberes es mantenerlos intactos, de manera que mantenga su originalidad y confiabilidad. En caso contrario, pueden aparecer errores en la interpretación de esa información, lo que también rompe con la cadena de responsabilidad y cumplimiento del negocio, pudiendo terminar en sanciones penales pesadas, en el peor de los casos.

Garantizar la integridad es adoptar las precauciones necesarias para que la información no sea modificada o eliminada sin autorización. O sea, es necesario mantener la legitimidad y coherencia, de acuerdo a la realidad.

Cualquier falla en este punto, sea por una alteración o falsificación, quebrará la integridad.

Así como una violación de confidencialidad, la violación en la integridad de la información puede causar impactos negativos a la empresa.

Disponibilidad

La disponibilidad de la información es muy importante. Ya que el negocio puede depender de la disponibilidad de sus datos y sistemas para atender sus socios y clientes.

¿Por qué preocuparse con la seguridad de la información?

La seguridad de la información (SI) es un área estratégica de los negocios. Para cualquier empresa que mantenga datos en un ambiente virtual, sean data centers locales o en nube, es primordial asegurar su protección y uso adecuado.

La SI va más allá de la instalación de un antivirus, debe ser planificada evaluando desde los riesgos de la infraestructura de TI, contra robos, crisis o catástrofes naturales, hasta las amenazas digitales, como malwares, phishing y ransomwares.

Las políticas de seguridad de la información, por su lado, hace oficial las normas y buenas prácticas de la empresa con relación a la protección de sus datos. Esta asegura que esos procedimientos sean de carácter perpetuo aunque se den cambios en la dirección y gestión de la empresa.

Beneficios en la gestión de la empresa

El mercado se ve obligado a recibir cantidades masivas de información en diversas camadas, por lo que se hace preciso que se mantenga constantemente atento a las situaciones que envuelven el trato de datos.

Las empresas sufren cada vez más con ciberataques, corriendo el riesgo de que su información vital y confidencial sea corrompida, se pierda y caiga en las manos de ciberdelincuentes. Por tanto, los daños pueden ser invaluables para la empresa.

Con las políticas de seguridad informática bien diseñadas y planificadas, es posible reducir considerablemente esos riesgos, dando a la organización la debida protección contra amenazas internas y fallas en la seguridad.

Al establecer y comunicar al equipo de trabajo sobre las directrices de un uso aceptable de la información, se asegure de que los trabajadores sepan cual es el comportamiento que se espera de ellos al tener que tratar con diferentes niveles de importancia y privacidad, este conocimiento previne violaciones accidentales.

Una vez implantadas las políticas de seguridad informática, el aumento de la transparencia y mejora de la eficiencia del negocio vienen de forma natural consecuentemente. Esas políticas deben ser los más claras posibles, para que los trabajadores entiendan como organizar la información siguiendo un padrón para facilitar los flujos de procesos en todas las escalas.

Ejecutando bien tales reglas de SI, verá una reducción en los daños a la infraestructura de TI de la empresa. Además, la experiencia del usuario también se ve beneficiada significativamente.

¿Qué se describe en los documentos de seguridad?

Existe una estructura normativa que divide los documentos de seguridad en 3 categorías:

Política

Dirigida al nivel estratégico, define las reglas de alto nivel que representan los principios básicos. Servirá como base para que las normas y los procedimientos sean creados y detallados.

Normas

Dirigida al nivel táctico, especifican las opciones tecnológicas y los controles que deben aplicarse para alcanzar la estrategia definida en las directrices de la política.

Procedimientos

Dirigida al nivel operacional, describe los procedimientos que serán utilizados para realizar las actividades citadas en las normas y las políticas.

También puede realizarse una clasificación de la información. Tal como se presenta a continuación:

Confidencial

Información crítica para el negocio de la organización o de sus clientes. La revelación no autorizada de dicha información puede causar impactos de tipo financieros, de imagen, operacional o, también, sanciones administrativas, civiles y criminales a la empresa o a sus clientes. Está siempre restringida a un grupo específico de personas, pudiendo este compuesto por empleados, clientes y/o proveedores.

Interna

Información de la empresa que la misma no quiere hacer pública y que el acceso de personas externas debe ser evitado. Si ocurriera que la información sea accedida de forma indebida, podrá causar daños a la imagen de la Organización, sin embargo, no con la misma magnitud de una información confidencial. Puede ser accedida sin restricciones por todos los empleados y prestadores de servicios.

Pública

Información de la empresa o de sus clientes con lenguaje y formato exclusivo para la divulgación al público en general, es de carácter informativo, comercial o promocional. Destinada al público externo o debido al cumplimiento de una ley vigente que exija publicidad de la misma.

También es posible visualizar dentro del documento de políticas de seguridad, papeles y responsabilidades. En esta parte del documento, se describen las obligaciones de cada tipo de trabajador.

Así como todas las reglas criadas en el documento de las PSI, existe una penalidad para el individuo que no las cumpla. Generalmente, en cada documento, existe un capítulo exclusivo para penalidades. Y en este capítulo se reúne información sobre las violaciones de política, sanciones y tipo de legislación aplicada.

Para cada norma no seguida, se evalúan los riesgos y por cada penalidad la empresa tomará las medidas pertinente basándose en lo expresado en el capítulo sobre penalidades.

La norma NBR ISO/IEC 27002 puede orientar la creación del documento de PSI.

Políticas e procedimentos

¿Por dónde comenzar a elaborar las políticas de seguridad informática?

Las PSI deben ser elaboradas por lo menos en 5 pasos. A continuación vea los pasos a seguir.

Paso I – Diagnóstico

El primer paso es realizar la identificación de los activos de información de la empresa, las vulnerabilidades, la jerarquización de accesos y de las amenazas. Al final del diagnóstico, usted sabrá exactamente cuales datos y activos precisan ser protegidos, cuales son los riesgos y lo que ya se ha realizado hablando en términos de seguridad.

Paso II – Elaboración

El segundo paso es la elaboración. Las PSI deben estar directamente relacionadas con los objetivos estratégicos del negocio. La pregunta es como la SI puede ayudar a la empresa a alcanzar sus metas.

Es muy importante también tener en mente que esa no es una tarea solamente del equipo de TI o del área de seguridad. Todos los líderes de la empresa deben estar envueltos en el proceso de definición de políticas y procedimientos, de manera que las necesidades específicas de todos los sectores se alcancen.

Paso III – Educación

Para que las PSI sean de utilidad, es necesario difundir y educar a los usuarios para que entiendan los beneficios de la seguridad informática.

La concientización siempre será una gran herramienta para prevenir accidentes. Por eso, más que una lista de prohibiciones, permisos y reglas, las PSI deben ser vistas por los usuarios como una herramienta de trabajo que sirve para ayudarlos en sus prácticas diarias.

Paso IV – Implementación

En el momento de la implementación, es necesario planificar una fase de adaptación gradual a las reglas. Las empresa precisa ofrecer medios para que los trabajadores aprendan a trabajar respetando las PSI. Para eso, se pueden realizar charlas y entrenamientos, además de establecer sanciones cuando no se cumplan las reglas.

Una óptima estrategia puede ser realizar eventos donde se presenten ejemplos de escenarios, para educar a los trabajadores y para hacer real la importancia de las políticas de seguridad en el trabajo.

Paso V – Monitoreo y actualización

Como punto final, vale la pena recordar que el proceso no termina con la implantación. El punto es, que una vez la empresa esté adaptada a las reglas, se comiencen a identificar oportunidades de mejoría, así como, realizar actualizaciones siempre que sea necesario.

Entonces, es válido buscar maneras de medir el retorno de la inversión de las acciones de seguridad y de las inversiones. Al mismo tempo, verificar si las PSI aún reflejan los objetivos de la empresa.

Las políticas de seguridad informáticas son el empujón inicial de un proceso para resguardar datos, además de archivos y dispositivos valiosos para la empresa. La elaboración de las PSI y su implantación muestran que la empresa está caminando hacia la educación de los usuarios sobre la seguridad informática; así como hacia tener sistemas seguros y confiables.

¿Necesita ayuda para la creación de políticas y procedimientos de seguridad en su empresa? Conozca nuestros servicios OSTEC y cuente con la experiencia de especialistas certificados para realizar esta actividad.

Si aún tiene dudas sobre el tema, siéntase libre en contactar a uno de nuestros profesionales.

This post is also available in: Português Español