Políticas y Procedimientos (Parte I)

Para el negocio, el diseño de una administración de seguridad consistente requiere de una combinación de mecanismos de seguridad y control implantados en los componentes de la infraestructura tecnológica, aunado a un marco referencial basado en normas que establezcan los criterios y medidas básicas que deben aplicarse a los activos de información para facilitar su correcta identificación, clasificación, manejo y protección.

Muchas bibliografías definen las políticas de seguridad como los documentos que describen, principalmente, la forma adecuada de uso de los recursos de un sistema computarizado, las responsabilidades y derechos tanto de usuarios como administradores, describe lo que se va a proteger y de lo que se está tratando de proteger; éstos documentos son el primer paso en la construcción arquitecturas de seguridad efectivas y son considerados como parte fundamental de cualquier esquema de seguridad eficiente.

Metodología de desarrollo

El desarrollo de políticas y procedimientos de seguridad debe incluir ciertos aspectos, para garantizar su funcionalidad y permanencia en la organización. De forma intuitiva, la definición de normativas de seguridad comprende:

- Considerar la preparación necesaria, para abordar un proyecto de definición de políticas y procedimientos, lo cual constituye una actividad principal en función de recopilar todo tipo de material relacionado con aspectos de seguridad en la organización. A tal efecto, existen interrogantes que deben establecerse en esta fase, tales como: ¿qué quiero proteger?; y como respuesta inmediata, se listan los recursos: personal, información, hardware, software, telecomunicaciones, dispositivos, documentación, consumibles, etc.

- Asimismo, es importante hacer preguntas relacionadas con el uso externo, como por ejemplo: ¿se concederá a usuarios autorizados el acceso remoto?; ¿cómo se determinará el acceso no autorizado cuanto ocurra?. Preguntas relacionadas con el uso interno: ¿existen restricciones de acceso a la información importante?, ¿a qué grupos, departamentos o usuarios se les restringirá el acceso a información interna?. Y finalmente, hacer preguntas concernientes a la administración: ¿está planificado implantar diferentes niveles de acceso?; ¿quién está autorizado para tomar decisiones acerca de la seguridad?

- Finalmente, se debe proceder a la definición y elaboración de tópicos y puntos sensibles a proteger, cuyo producto final está representado por las normativas y procedimientos de seguridad generados a partir de la información recopilada, y expresa en su forma más simple, la cultura organizacional con respecto al tema. Es de hacer notar, que la forma final de esta macro-actividad, debe poseer características que permitan agilizar los procesos de mantenimiento y consultas de las políticas y procedimientos, por parte de la comunidad usuaria, y que la misma debe poder ofrecer facilidades para su uso y manejo, lo cual constituye un factor fundamental para la aplicación efectiva de las normas establecidas.

En términos generales, se tiene que lograr que las políticas de seguridad cumplan con todos los servicios de seguridad, a saber:

- Autenticación.
- Confidencialidad.
- Integridad.
- No repudio.
- Disponibilidad de los recursos a personas autorizadas.
- Control de acceso.

Asimismo, el desarrollo de procedimientos específicos constituye una combinación efectiva que permite el cumplimiento de las políticas de seguridad y, a su vez, establecen las actividades a ser realizadas por el personal con inherencia en el soporte de la tecnología y en la administración de seguridad de la información.

Enfoque metodológico

La base metodológica para el desarrollo de las políticas y procedimientos debe partir de los objetivos y metas definidas en la planificación estratégica de la empresa, tomando en cuenta la tecnología de información como elemento habilitador de estas estrategias. Es de hacer notar, que en condiciones ideales, es necesario tomar en cuenta asesorías externas, que además de proveer el enfoque metodológico, aplican las mejores prácticas provenientes de empresas en donde la implantación de políticas haya reportado beneficios tangibles e intangibles. Finalmente, estos insumos constituyen el origen del desarrollo tanto de las políticas como de los procedimientos, lo cual demandará una serie de recursos para aplicabilidad, tal como se muestra en la Figura N° 1.


Figura N° 1. Insumos necesarios para la elaboración de las políticas y procedimientos de Seguridad de Activos de Información

Un enfoque más formal basa la metodología para el desarrollo de políticas y procedimientos de seguridad de activos de información, en fases cuyos productos finales se consolidan para presentar un único documento que exprese de manera estándar el marco de referencia para el tratamiento y uso de los activos de información de la organización. A grandes rasgos, las fases y actividades a realizar en cada una de ellas, se describen a continuación:

- FASE I - Identificación de estructura y requerimientos, cuyo objetivo principal es la identificación del negocio en términos de su misión, visión, políticas actuales, cultura organizacional, ambiente de control, entre otros; asimismo, se identifica la estructura organizacional y funcional de la empresa.

- FASE II – Identificación de activos de información y riesgos. Esta fase se persigue el reconocimiento de los recursos o activos de información, para luego proceder a su clasificación según sus usos y niveles de acceso. Adicionalmente se detectan las vulnerabilidades y amenazas, analizando la factibilidad que las mismas se produzcan, y examinado los controles que pueden ser aplicados.

- FASE III – Elaboración de las políticas y procedimientos de seguridad de activos de información, la cual constituye el proceso de desarrollo propiamente dicho, y se generan las políticas y procedimientos agrupados en: seguridad lógica, física y administrativa. En esta fase también se definen las sanciones en caso de incumplimientos de las normativas establecidas, por parte de la comunidad usuaria.

Es de hacer notar, que mientras las políticas indican el “qué”, los procedimientos indican el “cómo”, y son estos últimos los que nos permiten llevar a cabo y aplicar las políticas. Ejemplos que requieren la creación de un procedimiento son:

• Crear o eliminar una cuenta de usuario.
• Otorgar o revocar privilegios de acceso en aplicaciones de negocio y de automatización de oficinas.
• Actualizar aplicaciones o software base.
• Respaldar y restaurar información.
• Manejar un incidente de seguridad, entre otros.

Espiñeira, Sheldon y Asociados, Firma miembro de PricewaterhouseCoopers´

Fuente: http://www.pc-news.com/detalle.asp?sid=&id=11&Ida=1128

Mi perfil

Julio Carreto:

Ingeniero Civil, Maestría en Administración con especialidad en Comercialización Estratégica.

Diplomado en Mercadotecnia, Diplomado en Administración de Ventas.

Consultor Especialista en Planeación de Negocios, Planeación Estratégica y Comercialización Estratégica.
Catedrático de Maestría, Diplomado y Licenciatura

Mail to: carreto.julio@gmail.com

Ver todo mi perfil

Advertencia

Este Blog no tiene fines de lucro, ni propósitos comerciales, el único interés es compartirlo con fines educativos con estudiantes y docentes del tema.