Las políticas de seguridad de la información es una frase que, aunque no lo crean, generan confusión entre el personal de las organizaciones. Como profesional de seguridad de la información me he topado con situaciones bastantes complejas donde debo explicar lo que realmente son las políticas de seguridad de la información.
Cuando alguien que no haya escuchado esta frase anteriormente se le da una definición todo va bien, el problema surge cuando alguno de nuestros interlocutores ya tiene un paradigma previo sobre el tema, sobre todo los de informática y áreas afines (sin alusiones personales). ¿Por qué sucede esto? se preguntarán ustedes, pues la cuestión es que a lo largo de su carrera y/o experiencia parece que les indican que las políticas de seguridad de la información son otra cosa (o lo asumen). Por ejemplo, una vez llegue a una organización a realizar una valuación de riesgos e hice la pregunta de rigor ¿Existen políticas de seguridad de la información en la organización? rápidamente respondió el Director de Informática diciendo “Claro, tenemos activas las políticas del Firewall y las del Active Directory”.
Apartando el hecho de que confundimos seguridad informática con seguridad de la información, de acuerdo a la definición de política de la RAE, la respuesta del Director de Informática es correcta, pero solo a medias, ya que si bien es cierto que las medidas implementadas en el Firewall y el Active Directory son políticas; las misma no son de seguridad de la información sino de configuración.
Si se tuviera que dar un definición, para mí sería esta: «Las políticas de seguridad de la información son un conjunto de documentos de alto nivel (nivel estratégico) donde se definen las directrices a seguir por una organización en un aspecto en concreto para garantizar la confidencialidad, integridad y disponibilidad de la información.
Es decir, estos documentos deben ser elaborados, revisados y mantenidos por el consejo directivo (preferiblemente) o la máxima autoridad de la organización, depende de cómo funcione la misma; la cuestión es que las políticas de seguridad de la información son una decisión y gestión estratégica, no táctica y mucho menos operativa. La intención de ellas es generar y/o confirmar el compromiso de la alta gerencia (de allí la importancia de la participación del consejo directivo) en materia de seguridad de la información.
Así como se debe crear un Comité de Seguridad de la Información para incluir a las unidades de negocio en la gestión de esta actividad, también debemos tener políticas aprobadas de seguridad de la información y no olvidar hacer cumplir las mismas ya que de lo contrario estaríamos arando en el mar.
Otro aspecto importante, por el cual existen fuertes debates y que a simple vista parece algo tonto; es que si es “política” o son “políticas”, es decir, que si es un sólo documento o son un conjunto de ellos. Mi experiencia dicta que es mucho más funcional la elaboración de un conjunto de documentos, les seré un poco más claro en lo que hago; el primer documento que se crea es una “Política General de Seguridad de la Información” la cual está basada en el dominio 5 de la ISO 27002, después se van creando políticas especificas para diferentes tópicos (por ejemplo, control de cambios, contraseñas, continuidad de negocios, entre muchos más) claro, no hay que abusar con el numero de políticas, ya esto puede traer como consecuencia la redundancia, contradicciones y ausencia de directrices y a la larga puede hacer la tarea de gestionarlas casi imposible. Un número razonable, para mi, podría ser entre 10 y 15 documentos.
¿Por qué hacerlas de esta forma? una de las razones es la practicidad, es más probable que los miembros de comité de dirección puedan revisar un conjunto de documentos de 5-7 páginas cada uno que un gran documento de 150 páginas. Otra razón es, que si las políticas son elaboradas por personal interno de la organización es más factible sacar una o dos políticas al mes y que la alta gerencia pueda ir obteniendo resultados tangibles al corto plazo, que esperar 6-8 meses a que esté listo el gran documento para que lo revisen los directivos, teniendo como inconveniente la razón anterior.
Para finalizar, una opción para apoyarnos en realización de esta tarea es contratar un tercero para que elabore las políticas de seguridad de la información, si vamos hacer esto (que se conmigo, lol) verifiquen que el producto que les están entregando no es un producto prefabricado y/o genérico, deben tratar en lo posible que estos documentos se ajusten a la realidad de la organización, estoy seguro que las políticas de seguridad de la información de Google no son las mismas que las de una agencia gubernamental, ni son parecidas a las de una pequeña empresa de consultoría, entonces ¿Por qué sus políticas de seguridad de la información deben parecerse a la de otra organización?
NOTA: la situación dada como ejemplo en esta entrada es una experiencia personal, no quiero alegar que todo el personal del área de informática tiene esa apreciación de los términos. También por experiencia personal me he topado con profesionales de esta área que han sido grandes mentores en materia de seguridad de la información.
¿Tienes otra definición de políticas de seguridad de la información? ¿Crees que es una o varias políticas?¿Cual a sido tu experiencia? Deja tus comentarios.
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.
