LAS POLÍTICAS DE SEGURIDAD INFORMÄTICA EN LAS ORGANIZACIONES

LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA EN LAS ORGANIZACIONES
Diofanor Rodríguez CPP



La seguridad informática tiene como objetivo proteger los recursos informáticos del daño, modificación, hurto y perdida, lo cual incluye equipos software, hardware, medios de almacenamiento, listado de impresoras y algo muy importante, los datos.

La seguridad es un elemento fundamental de cualquier sistema y servicio informático: No obstante, muchas veces es un tema que preferimos tomar más adelante, a pesar de que una vulnerabilidad en la seguridad puede generar graves daños o incluso la quiebra de una organización.

Por esta razón se hace necesario abordar el tema de la seguridad de inmediato, generando los procesos y las normas que deben regular o controlar el uso de la tecnología informática, toda vez que siempre existirán eslabones débiles en una cadena, que para nuestro caso se trata sin duda del factor humano.

Tras el impulso que ha tomado la seguridad informática, motivado por los constantes cambios y las nuevas tecnologías disponibles en el mercado, se ha hecho posible que las organizaciones interactúen entre si mediante las redes internas (LAN) y externas (WAN), generando con esto un aumento en la productividad y la competitividad de las organizaciones. Pero como contraparte, también inherente a estos avances, han llegado nuevos riesgos y amenazas a los sistemas de información.

Estas nuevas amenazas a las que nos enfrentamos han hecho que se generen un sin número de documentos, procedimientos, reglas y directrices que contribuyen de forma activa al direccionamiento de la utilización de la tecnología en forma segura, generando recomendaciones para obtener un mejor provecho y evitar el mal uso de la misma.

Con esta perspectiva, las políticas de seguridad informática llegan como una herramienta organizacional dirigida a lograr el apoyo y la concientización del recurso humano sobre la importancia y la sensibilidad de la información, que permiten a las empresas mantenerse en un mercado compitiendo. Visto así, el generar políticas de seguridad lleva consigo un alto compromiso con la organización, una habilidad técnica para establecer fallas y debilidades y una perseverancia para mantener actualizadas dichas políticas, siempre pensando en función del ambiente cambiante de las organizaciones modernas.

¿QUE ES LA POLÏTICA DE SEGURIDAD?

Una política de seguridad son las normas, los procedimientos, el control y el mecanismo de comunicación con los usuarios, toda vez que en ella se plasma una forma de comportamiento formal del usuario con los sistemas de información de la organización.

No podríamos decir que una política de seguridad es una descripción técnica de mecanismos, ni tampoco un procedimiento legal que involucre sanciones a conductas de los usuarios. Considero que es más bien una descripción de lo que vamos a proteger y el por que de esa protección.

Cada una de las políticas generadas por las empresas se debe convertir en una invitación para los empleados a reconocer que la información es uno de los activos más valiosos que poseen las organizaciones modernas, además el inductor de intercambio en los negocios.

Es este el motivo por el cual las políticas deben tener como fin una posición conciente y vigilante por el uso y limitaciones de los servicios y recursos informáticos.

ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD INFORMÁTICA

Como las políticas están enfocadas a orientar las decisiones que se toman en lo que hace referencia a seguridad, se hace necesario el compromiso de todos los actores del proceso, con el único fin de lograr una visión compartida de lo que se considera importante.

Una política de seguridad debe considerar los siguientes elementos:

Alcance de las políticas, incluyendo estructuras, sistemas y factor humano sobre la cual aplica.
Objetivos de la política y descripción clara de los elementos involucrados en su definición.
Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
Definición de violaciones y sanciones por no cumplir con las políticas.
Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.

Las políticas de seguridad informática también deben dar explicaciones del por que se deben tomar ciertas decisiones. Obviamente estas deben ser claras y precisas. Además, se debe realizar una explicación de los recursos. De igual manera se deberán comunicar las expectativas que la organización tiene con respecto a la seguridad y ser específica en el tema de quien es la autoridad responsable de aplicar las correcciones y sanciones según sea el caso.
Otro tema importante en la creación de políticas de seguridad informática es el uso de un lenguaje sencillo y fácil de entender, quizás sin tecnicismos y sin términos ambiguos, que causen confusión y generen un mal entendimiento de la misma; obviamente sin realizar sacrificios en su exactitud.

Quiero con esto contribuir un poco al cambio de la forma como se miran las políticas de seguridad informática en las organizaciones, pues en el camino siempre encontraremos quienes nos ayuden a defenderlas como también los detractores que se ingenian nuevas formas para desvirtuarlas.