Las políticas organizacionales actúan como la base de muchos programas, reglas y pautas al proporcionar un marco para garantizar la claridad y coherencia en torno a las operaciones de una organización.
No se puede subestimar la importancia de la seguridad de la información. Si se ven comprometidos, los datos de clientes y empleados, la propiedad intelectual, los secretos comerciales y otra información altamente sensible y valiosa pueden significar la ruina de una organización, lo que hace que mantenerla segura sea una de las operaciones más críticas de mantener. Por lo tanto, una política que contabilice la seguridad de la información se convierte en una progresión esperada.
Con tantos tipos diferentes de datos, los sistemas que los manejan y almacenan, los usuarios que acceden a ellos y los riesgos que amenazan su seguridad, se vuelve cada vez más importante tener una política de seguridad de la información documentada. Además, los requisitos de cumplimiento regulan las formas en que las organizaciones deben mantener esta información privada y segura, lo que promueve aún más la necesidad de un documento que garantice el cumplimiento de esos requisitos.
Independientemente del tamaño o la industria, cada organización necesita una política de seguridad de la información documentada para ayudar a proteger sus datos y activos valiosos. ¿Pero por dónde empezar?
Indice
¿Qué es una política de seguridad de la información?
Una política de seguridad de la información (ISP) es una política de alto nivel que hace cumplir un conjunto de reglas, pautas y procedimientos que son adoptados por una organización para garantizar que todos los activos y recursos de tecnología de la información se utilicen y gestionen de una manera que proteja su confidencialidad, integridad y disponibilidad.
Por lo general, un ISP se aplicaría a todos los usuarios y datos de TI de la organización, así como a la infraestructura, las redes, los sistemas, terceros y cuartos. Las políticas de seguridad de la información ayudan a las organizaciones a garantizar que todos los usuarios comprendan y apliquen las reglas y pautas, practiquen el uso aceptable de los recursos de TI de una organización y sepan cómo actuar. En última instancia, el objetivo del ISP es proporcionar una guía valiosa a los usuarios con respecto a la seguridad.
La forma en que se configura y personaliza una política eficaz se basa en cómo una organización y sus miembros operan y abordan la información. El ISP marca la pauta para la implementación de controles de seguridad que abordarán los riesgos y procedimientos de ciberseguridad relevantes de una organización para mitigarlos, así como las responsabilidades necesarias para administrar la seguridad de manera adecuada. Además, se implementa de una manera que respalda sus objetivos comerciales al tiempo que se adhiere a los estándares de la industria y los requisitos reglamentarios.
Las organizaciones de todas las industrias diseñan e implementan políticas de seguridad por muchas razones. Estas incluyen:
- Establecimiento de un enfoque fundamental para la seguridad de la información;
- Documentar las medidas, los procedimientos y los comportamientos esperados que apoyan y dictan la dirección de la gestión general de la seguridad;
- Proteger los datos de clientes y usuarios;
- Cumplir con los requisitos reglamentarios y de la industria; y,
- Proteger su reputación.
La tríada de la CIA
Como se mencionó, el objetivo principal de una política de seguridad de TI es mantener la confidencialidad, integridad y disponibilidad de los sistemas y la información de una organización. Esos tres principios conforman lo que se conoce como la tríada CIA, un modelo algo obsoleto, pero aún conocido, que permanece en la base de la infraestructura de seguridad y los programas de seguridad de muchas organizaciones.
- La confidencialidad se refiere a los esfuerzos de una organización para mantener la privacidad de los datos confidenciales. La información de identificación personal, los datos de tarjetas de crédito, la propiedad intelectual, los sectores comerciales y otra información sensible deben permanecer privados y accesibles solo para los usuarios autorizados. Esto generalmente se lleva a cabo controlando el acceso a los datos, que a menudo se ve en forma de autenticación de dos factores al iniciar sesión en cuentas o acceder a sistemas, aplicaciones y similares.
- La integridad en este contexto describe datos en los que se puede confiar. Esto significa que los datos deben mantenerse precisos y confiables durante todo su ciclo de vida, de modo que no puedan ser manipulados o alterados por usuarios no autorizados. En casos de corrupción de datos, las copias de seguridad deben estar disponibles para restaurar los datos a su estado correcto. También puede incluir sumas de comprobación para verificar la integridad.
- La disponibilidad implica mantener la información continuamente accesible a los usuarios autorizados siempre que la necesiten. Esto generalmente se refiere al soporte adecuado de la infraestructura técnica y los sistemas utilizados para almacenar información, y al establecimiento de procedimientos para la continuidad del negocio, en caso de que un incidente tenga el potencial de impedir la disponibilidad de datos.
Importancia de la ISP
El aumento de la digitalización lleva a todos los usuarios de una red a generar, almacenar y compartir datos, y siempre hay una parte de esos datos que debe protegerse del acceso no autorizado. Ya sea por cuestiones legales, internas o éticas, los datos confidenciales, la información personal y la propiedad intelectual deben protegerse para evitar incidentes de seguridad catastróficos, como una violación de datos.
Una política de seguridad de la información detalla cómo se protegen los datos y evalúa todas las brechas que los ciberdelincuentes pueden aprovechar para acceder a esos datos, así como los procesos que se utilizan para mitigar y recuperarse de incidentes de seguridad. Esto significa que juega un papel crucial en la gestión de riesgos y, además, aborda las necesidades de una organización y las formas de cumplir con los requisitos de cumplimiento normativo cada vez más estrictos.
Elementos clave
Si bien una política de seguridad de la información debe ser un documento diseñado para una organización específica, algunos elementos se aceptan e implementan en todos los ámbitos. Ahora que tenemos una comprensión más clara de la importancia de alto nivel de una política de seguridad de TI, estas son algunas de sus partes clave:
Propósito
El primer elemento, y por lo tanto el más crucial, de una política de seguridad de la información es un propósito claramente definido. Si bien el objetivo general de cualquier política de seguridad es proteger la información digital crítica de una organización, un propósito más concreto y procesable permite a las organizaciones adaptar las medidas y pautas de seguridad, brindar protección a sus datos y alcanzar sus objetivos.
Algunos de los propósitos más comunes para las organizaciones que implementan una política de seguridad de la información son:
- Hacer cumplir un programa de seguridad y un enfoque de seguridad de la información en toda la organización.
- Para cumplir con los requisitos legales, reglamentarios y de la industria.
- Mantener la reputación de la marca con respecto a la seguridad de los datos.
- Para detectar y responder a violaciones de datos y otros incidentes de seguridad.
Alcance
Las organizaciones modernas son grandes y pueden tener muchas dependencias, incluidos proveedores de terceros y cuartos, usuarios de tecnología y más. Y como con todo documento, una política de seguridad de la información debe mencionar claramente el alcance de la audiencia a la que se aplica la política. En general, se recomienda que el alcance de la audiencia sea inclusivo sobre los datos compartidos con terceros, incluso si no están legalmente obligados a hacerlo, ya que muchas organizaciones los omiten de sus políticas. Dejarlo fuera de las reglas y pautas establecidas de la política de una organización puede hacer que esos datos se vean comprometidos, sin los controles adecuados.
Otro aspecto importante del alcance es la infraestructura gobernada en la política, que idealmente incluirá todos los activos: todos los datos, sistemas, programas, aplicaciones, etc. Esto permite, nuevamente, una mejor visión general y la protección de todas las partes de una infraestructura. empoderando a las organizaciones para reducir su superficie de ataque y, en consecuencia, los riesgos de seguridad.
Cronología
Particularmente importante para las políticas de seguridad de la información con el propósito de cumplir con los requisitos reglamentarios, una línea de tiempo es simplemente un elemento que dicta la fecha de vigencia de la política.
Cumplimiento
Otro elemento clave que está diseñado para ayudar a una organización a lograr y mantener el cumplimiento normativo, el documento debe enumerar todas las regulaciones que la política pretende ayudar a la organización a cumplir (con las más comunes, incluidas PCI DSS, HIPAA y RGPD), y cómo la organización logra el cumplimiento de ellos.
Clasificación de datos
Todos los datos y activos que fueron predefinidos en el alcance de la política de seguridad no son iguales y tienen un valor diferente para la organización. La clasificación de datos basada en su valor informará los procedimientos de manejo específicos para cada clase. Esto puede ayudar a las organizaciones a proteger los datos que realmente importan, sin gastar recursos innecesariamente para proteger información insignificante.
Los datos generalmente se clasifican en función del riesgo que pueden representar para la organización si se ven comprometidos, por lo que tenemos:
- datos de alto riesgo que generalmente son muy sensibles, privados y están cubiertos por las regulaciones gubernamentales;
- datos confidenciales que no están protegidos por la ley pero que tienen importancia para la organización; y
- datos públicos, que son de acceso público y no representan riesgo de ser comprometidos.
Autoridad
«Autoridad» se refiere a quién tiene la autoridad para decidir qué datos se pueden compartir y con quién. Por lo general, sigue un patrón jerárquico en el que cuanto más alto es el puesto que uno ocupa en una organización, más autoridad tiene uno para tomar decisiones sobre los datos y su participación. Por ejemplo, los gerentes y ejecutivos de nivel superior tienen más conocimientos sobre la postura y el funcionamiento general de una organización, por lo que tienen derecho a otorgar acceso a la información como mejor les parezca.
Al mismo tiempo, un empleado junior puede verse obligado a compartir muy poca información a la que tiene acceso, ya que no tiene el mismo nivel de conocimiento y autoridad para otorgar acceso a ella a otros. Una política de seguridad de TI debe tener términos que aborden todos los niveles de autoridad a través de todas las antigüedad de la organización y su autorización de datos, todo lo cual debe ser parte de la política de control de acceso.
Política de control de acceso
Una vez que se ha decidido la jerarquía de autoridad, debe incluirse en la política de control de acceso. Una política de control de acceso ayuda a documentar la cantidad de autoridad que tiene cada nivel en una organización sobre sus datos y activos, así como también cómo se manejan los datos confidenciales, los controles de acceso que se utilizan y los estándares mínimos de seguridad para el acceso a los datos que la organización debe cumplir.
Si bien una política de control de acceso depende de las necesidades comerciales y de seguridad de una organización, los componentes comunes incluyen:
- El principio de necesidad de saber, o principio de privilegio mínimo, que establece que el usuario debe tener permiso para acceder solo a los recursos necesarios para realizar su trabajo, reduciendo la exposición de información confidencial.
- Una política de contraseñas que dicta las reglas en torno a la seguridad de las contraseñas, como su complejidad, el cronograma en el que deben cambiarse y cómo se manejan.
- Reglas de acceso físico que se aplican a los centros de almacenamiento de datos, salas de servidores y otras ubicaciones y recursos físicos.
- Instrucciones sobre cómo eliminar el acceso de los usuarios y su capacidad para interactuar con los recursos de la organización, algo fundamental ahora que vivimos en una época de políticas de trabajo remoto ampliamente aceptadas.
Política de uso aceptable
Las organizaciones suelen mantener una lista de recursos que están restringidos a sus usuarios. Ya sean instrucciones sobre dónde los usuarios pueden encontrar programas y aplicaciones para descargar cuando sea necesario o usar proxies para bloquear la visualización de redes sociales y otros sitios web para compartir información de la red de una organización, es importante que las organizaciones documenten lo que no se requiere o lo que está restringido a sus usuarios.
Formación y comportamiento de los usuarios
Si bien una política de seguridad de la información generalmente tiene el objetivo de cumplir con los requisitos reglamentarios, o tener una forma clara de comunicar las pautas a terceros, contiene un conjunto de reglas que deben aplicarse en una organización y ser seguidas por los usuarios.
Esos usuarios no pueden simplemente recibir un documento que muestre su comportamiento esperado; debe seguir la conciencia de seguridad y otras capacitaciones de los usuarios. La implementación de capacitación en seguridad y el mantenimiento de la cultura de seguridad cibernética en una organización garantiza que todos los usuarios comprendan lo que se les pide y qué papel desempeñan en el programa de seguridad de una organización, y ofrece apoyo, ya que los usuarios son los componentes más cruciales de una ISP que funcione correctamente.
Otros componentes
Estos son solo algunos de los otros componentes que generalmente se incluyen en una política de seguridad de la información madura:
- La política de gestión de cambios describe los procesos y procedimientos formales para responder a los cambios que pueden afectar a la CIA de la información.
- La política de respuesta a incidentes describe cómo una organización responde y mitiga los incidentes de seguridad, así como su proceso de respuesta a incidentes.
- La retención de información se refiere a cómo se almacenan y respaldan los datos, así como a un cronograma de retención para cuándo se debe mantener la información.
- La política de recuperación ante desastres es fundamental para garantizar la continuidad del negocio en caso de un incidente potencialmente perturbador, ya sea una brecha de seguridad o un desastre natural.
- La política de administración de identidad y acceso describe los tipos de dispositivos en uso para los sistemas y aplicaciones, el estándar para crear y autorizar cuentas y cómo se desaprovisionan las cuentas.
- Política de dispositivos personales va de la mano con las políticas de acceso remoto, ya que con un gran número de usuarios remotos se produce un mayor volumen de dispositivos personales que se utilizan para acceder a las instalaciones de la organización. Esta política dicta qué dispositivos pueden acceder a qué información y sistemas, así como los métodos de autenticación para hacerlo.
- La gestión de parches aplica los procedimientos específicos para parchear y actualizar sistemas operativos, software, soluciones antivirus, etc.
Mejores prácticas
Ahora que sabes lo que implica la elaboración de una política de seguridad de la información, echemos un vistazo a las mejores prácticas para desarrollar un ISP:
Mantén una visibilidad completa de todos los activos digitales
Para garantizar la seguridad de la información, debemos conocer esa información o, mejor dicho, mantener la visibilidad de todos los activos digitales que posee una organización. Sin visibilidad completa, existe la posibilidad de que los datos confidenciales se pierdan, se queden fuera de la política y sigan existiendo sin los controles de seguridad adecuados para salvaguardarlos.
Identificar el riesgo
Una vez que tengas una descripción general de todos los activos y datos digitales que estarán dentro del alcance de la política de seguridad de la información, será más fácil identificar los riesgos para esos activos. Como uno de los primeros pasos hacia el desarrollo de una política de seguridad de TI, identificar riesgos (como vulnerabilidades de seguridad en una red) es crucial para informar controles de seguridad adicionales que mitigarán esos mismos riesgos, evitando el compromiso de los datos y las violaciones regulatorias.
Personaliza la política
Si bien mencionamos que una política de seguridad de TI debe personalizarse para las distintas necesidades de seguridad, comerciales y legales de una organización, no es raro ver que las organizaciones utilicen plantillas listas para usar para diseñar su política. El uso de plantillas de políticas de seguridad de la información puede presentar un error crítico, ya que no todas las organizaciones tienen los mismos datos, se les aplican las mismas regulaciones o tienen las mismas estructuras para respaldar la aplicación de diferentes políticas.
Si bien existen plantillas específicas de la industria disponibles, no deben usarse más allá de proporcionar una descripción general de cómo se hace generalmente en una industria en particular o para un propósito específico.
Cumplir con todas las regulaciones aplicables
Si bien el cumplimiento de los requisitos reglamentarios es un objetivo común de una política de seguridad de TI, es posible que no siempre lo sea. Sin embargo, al desarrollar una política de seguridad, debes asegurarte de estar familiarizado con todas las regulaciones que se aplican a los tipos de datos que manejas, la ubicación y jurisdicción de la organización, la industria en la que opera y todos los estándares mínimos de privacidad e integridad de datos que deben cumplirse. Estos requisitos son una guía importante de la dirección de tu política de seguridad de la información.
Incluye las consecuencias de la infracción
Establecer una política de seguridad de la información y los comportamientos recomendados en torno al acceso y el uso de datos internos es importante. El incumplimiento de las reglas establecidas en la política puede resultar en violaciones del cumplimiento normativo y, por lo tanto, daños legales, financieros y de reputación, así como una mayor probabilidad de sufrir un compromiso de datos. Es por eso que se deben delinear las ramificaciones de la violación de políticas.
Si bien las repercusiones no tienen por qué ser estrictas, debe haber una manera de detectar las infracciones y manejarlas, incluida la medida de proporcionar una nueva capacitación al usuario «infractor», para garantizar que comprendan cómo actuar al servicio de mantener la confidencialidad e integridad y disponibilidad adecuadas de la información sensible.
Supervisar, auditar y modificar
Como ocurre con cualquier cosa en el ámbito de la seguridad de la información en constante cambio, una política de seguridad de TI no es un tipo de práctica de «configurar y salir». Los procedimientos, controles y el alcance de la política deben monitorizarse continuamente para detectar cualquier cambio en el entorno de la red y hacer cumplir los nuevos procedimientos para abordarlos. Además, mantener el cumplimiento es una hazaña en la que es necesaria una visión general constante de los controles relevantes para garantizar que no se produzcan infracciones.
¿Cómo hacer cumplir una política de seguridad de TI?
Existen diferentes enfoques sobre cómo se aplican las reglas. Si bien algunas organizaciones adoptarán un enfoque más indulgente y confiarán en que sus empleados harán lo correcto, otras implementarán un enfoque de arriba hacia abajo más forzado en el que los directores generales supervisarán todo el proceso.
Por supuesto, necesitarás encontrar el equilibrio adecuado para tu organización. No es ningún secreto que las personas no siempre eligen seguir las reglas, especialmente si creen que es más rápido y práctico no hacerlo. Al mismo tiempo, debes tener cuidado de no destruir el sentimiento de confianza hasta el punto de que los empleados se sientan tratados como niños en edad escolar.
Un aspecto importante es más bien motivar a todos y hacer que comprendan por qué las políticas son importantes y cómo son útiles. No solo están ahí para auditorías y para mostrar que todo cumple con los estándares adecuados en papel, sino que están ahí para la propia empresa y sus empleados, para proporcionarles conocimientos.
Al final del día, es importante no olvidar que nuestros clientes y accionistas deben tener la seguridad de que hacemos las cosas de la manera más segura y mejor posible, incluso si lleva tiempo, y que les ofrecemos confianza.