¿Qué es una política de seguridad informática?

 

Una Política de Seguridad de las Tecnologías de la Información (TI) identifica las normas y procedimientos para todas las personas que acceden y utilizan los activos y recursos informáticos de una organización. Una política de seguridad informática eficaz es un modelo de la cultura de la organización, en la que las normas y los procedimientos se impulsan a partir del enfoque de sus empleados sobre su información y su trabajo. Así pues, una política de seguridad informática eficaz es un documento único para cada organización, cultivado a partir de las perspectivas de su gente sobre la tolerancia al riesgo, cómo ven y valoran su información, y la consiguiente disponibilidad que mantienen de esa información. Por esta razón, muchas empresas encontrarán inadecuada una política de seguridad informática repetitiva debido a su falta de consideración por la forma en que las personas de la organización utilizan y comparten realmente la información entre ellas y con el público.

Los objetivos de una política de seguridad informática son la preservación de la confidencialidad, la integridad y la disponibilidad de los sistemas y la información utilizados por los miembros de una organización. Estos tres principios componen la tríada de la CIA:

  • Confidencialidad implica la protección de activos frente a entidades no autorizadas.
  • Integridad garantiza que la modificación de los activos se gestione de forma especificada y autorizada.
  • Disponibilidad es un estado del sistema en el que los usuarios autorizados tienen acceso continuo a dichos activos.

La política de seguridad informática es un documento vivo que se actualiza continuamente para adaptarse a la evolución de los requisitos empresariales e informáticos. Instituciones como la Organización Internacional de Normalización (ISO) y el Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST) han publicado normas y mejores prácticas para la formación de políticas de seguridad. Tal y como estipula el Consejo Nacional de Investigación (NRC), las especificaciones de cualquier política empresarial deben abordar:

  1. Objetivos
  2. Alcance
  3. Objetivos específicos
  4. Responsabilidades de cumplimiento y medidas a tomar en caso de incumplimiento.

También son obligatorias en toda política de seguridad informática las secciones dedicadas al cumplimiento de las normativas que rigen el sector de la organización. Ejemplos comunes de ello son la Norma de Seguridad de Datos PCI y los Acuerdos de Basilea en todo el mundo, o la Reforma Dodd-Frank de Wall Street, la Ley de Protección del Consumidor, la Ley de Portabilidad y Responsabilidad de los Seguros Médicos y la Autoridad Reguladora de la Industria Financiera en Estados Unidos. Muchas de estas entidades normativas exigen ellas mismas una política de seguridad informática por escrito.

La política de seguridad de una organización desempeñará un papel importante en sus decisiones y dirección, pero no debe alterar su estrategia ni su misión. Por lo tanto, es importante redactar una política que parta del marco cultural y estructural existente en la organización para apoyar la continuidad de una buena productividad e innovación, y no como una política genérica que impida a la organización y a su gente cumplir su misión y sus objetivos.

 

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas