La protección de los datos implica que una empresa o ente gubernamental, mantenga en resguardo cualquier tipo de información que pueda ser confidencial. Como podemos ver, hoy la información que manejamos puede estar en la lupa de algún hacker o perseguidor cibernético.
En el caso de las empresas, las políticas de seguridad deberían ser manejadas con estricto rigor, puesto que, está en juego información confidencial, que podría ser vulnerada.
En este sentido te preguntarás cómo hacer una política de seguridad y quiénes están involucrados. Además, que acompaña a una política de seguridad de datos y qué pasos se deben seguir.
¿Qué es una política?
Como explicaba Ignacio Iñigo en nuestro artículo anterior, una política: “Define el alcance de la seguridad dentro de una organización, los activos que deben ser protegidos y que nivel de protección es aceptable. Proporcionan una visión general de las necesidades de seguridad en una organización y definen los objetivos de seguridad. Es el plan estratégico. Define roles, asigna responsabilidades, requisitos de auditoría, regulatorios, y niveles de riesgo aceptables. Son de obligatorio cumplimiento. Generalmente sirven como prueba de que se está teniendo el debido cuidado (Due Care)”.
Asimismo, contempla aquellos aspectos que se deben tomar en cuenta para evitar la pérdida o robo de información dentro de una empresa o ente gubernamental.
Contempla mayor seguridad en la información de tu empresa…
Además de las políticas, la postura de seguridad de una empresa se debe documentar en otros documentos adicionales que explica Ignacio:
Estándar (Standard): Requisitos obligatorios de hardware, software y controles de seguridad. Es la forma de documentar nuestro plan táctico.
Línea base (Baseline): Se refiere al mínimo nivel de seguridad que todo sistema en la organización debe garantizar. Es un estado seguro sobre el cual se pueden implementar otras medidas de seguridad aún más restrictivas.
Guía (Guideline): Recomendaciones sobre cómo implementar estándares y líneas base. Son sugerencias, metodologías y recomendaciones, pero no es obligatorio utilizarlas, a pesar de que normalmente si no se siguen conviene documentar claramente el por qué.
Procedimientos (Procedures): Documentos, paso a paso de cómo implementar un mecanismo o control de seguridad. Te aseguran que siguiéndolos, cumples con un determinado estándar o política. Normalmente son específicos de cada sistema o producto.
Tener un plan reduce el riesgo…
Un plan será la mejor guía para el cumplimiento de las políticas, luego de que se definen, como se menciona en el artículo anterior, se recomienda su debida revisión aunque sea, de forma anual, por si se presentan cambios en el camino.
En este sentido, estos son los planes que debe tomar en cuenta una empresa al momento de implementar una política de ciberseguridad:
Plan Estratégico: Define la postura de seguridad de la organización. Se alinea con los objetivos y metas de la misma. Normalmente se revisa anualmente y se documenta en forma de políticas de seguridad.
Plan Táctico: Es un plan a medio tiempo, y es más detallado a la hora de describir cómo conseguir los objetivos marcados en el plan estratégico. Algunos ejemplos: planes de proyectos, planes de adquisición, planes de contratación, desarrollo de sistemas y planes de soporte técnico.
Plan Operacional: Se refiere a un plan para lograr un objetivo concreto definido en los planes estratégico y táctico. Incluye planificación, presupuestos, personal requerido, procedimientos paso a paso, etc. Algunos ejemplos serían: planes de formación, planes de despliegue o planes de diseño de un producto.
De igual forma, Ignacio nos cuenta quienes son los involucrados a la hora de crear las políticas de seguridad: “Típicamente el Director de la Seguridad de la Información (CISO) liderará la creación de la política o políticas de seguridad. Para ello suele formar un comité o grupo de trabajo en el que hay representantes de varios departamentos dentro de la empresa (directivos, recursos humanos, finanzas, departamento legal, etc.)”.
Cada empresa maneja sus políticas…
Aunque parezca que todas las empresas o entes gubernamentales deban seguir un mismo patrón, es importante mencionar que dependerá del rubro o sector al que se dedique la empresa. Donde si bien, las políticas se verán afectadas por las leyes de ciberseguridad de cada país, cada una es consciente del nivel de protección que se debe brindar a la información que se maneja.
Sin duda alguna, hoy en día, es necesario evitar fuga de información porque, no solo tiene consecuencias a nivel monetario sino a nivel personal. Los datos y la información que se maneja debe ser tratada con el rigor que se merece.
¿Quieres saber más? Mantente alerta y sigue los siguientes artículos #WeBlogIt
