• Categories
• Seguridad y privacidad en línea
• Seguridad informática
• Seguridad y salud ocupacional
• Valores
• Seguridad de la información

Citation preview

¿Qué son las políticas de seguridad? Las políticas de seguridad son un conjunto de reglas, normas y protocolos de actuación que se encargan de velar por la seguridad informática de la empresa. Se trata de una especie de plan realizado para combatir todos los riesgos a los que está expuesta la empresa en el mundo digital. De esta forma mantendremos nuestra organización alejada de cualquier ataque externo peligroso. En la actualidad existe una gran cantidad de ciberdelincuencia que apuesta por atacar a las empresas de sus aparatos informáticos para conseguir información valiosa que pueda permitirles realizar estafas o sacar algún beneficio. Con la transformación digital que han sufrido las empresas actuales, es necesario controlar mucho más todos los aspectos relacionados con la tecnología, ya que cualquier error puede provocarnos grandes problemas. Estas políticas deben definir cuáles son los aspectos de la empresa más importante que deben estar bajo control. De esta forma se detallan una serie de procesos internos de la empresa que se deben realizar de forma periódica para no mantenerlos vulnerables. Las políticas de seguridad no solo van destinadas a los equipos técnicos e informáticos de una empresa, sino que van dirigidos a todos los puestos de trabajo que sean susceptibles de producir algún error o descuido de seguridad. Cabe destacar que muchos de los problemas de seguridad de las empresas se producen por errores de las personas que no tienen en cuenta la vulnerabilidad de los datos y la información de las empresas. También es necesario establecer cuáles son los mecanismos de seguridad que vamos a implantar en nuestra empresa. Estos tendrán que plantearse en tres ámbitos de actuación diferentes:   

Prevención: Recuerda que más vale prevenir que curar, por lo que esta primera fase será imprescindible para no tener problemas. Detección: En el caso de tener alguna amenaza será necesario saber cómo detectar y realizar diagnósticos adecuados sobre los errores recibidos. Actuación: Por último, en el caso de que se produzca alguna inviolabilidad de nuestro sistema informático es necesario establecer protocolos de actuación que nos permitan solucionar cualquier amenaza de la forma más rápida y efectiva posible.

Siguiendo este esquema tendremos muchas posibilidades de mantener la seguridad de nuestra compañía. Debemos tener en cuenta que también es posible utilizar el concepto de políticas de seguridad para hacer referencia a la salud laboral de los trabajadores de la empresa y a todas las cuestiones en materia de prevención de riesgos laborales, aunque es menos utilizado en la actualidad. Estas políticas también son fundamentales para la empresa ya que resguardan la salud y la integridad de cada uno de los empleados. Además, existen una serie de normas y leyes que se deben seguir con carácter obligatorio. Las políticas preventivas o de salud laboral, como suelen denominarse ahora, son más necesarias en los empleos con un mayor riesgo, ya que sea por la actividad que se realiza o por los productos con los que se trata.

Políticas relacionadas: A continuación, se detallan aquellas políticas que proporcionan principios y guía en aspectos específicos de la seguridad de la información: 1. 2. 3. 4. 5. 6.

Política del Sistema de Gestión de Seguridad de la Información (SGSI). Política de control de acceso físico. Política de limpieza del puesto de trabajo. Política de software no autorizado. Política de descarga de ficheros (red externa/interna). Política de copias de seguridad.

Creación de un plan ANÁLISIS DE RIESGOS El objetivo del análisis de riesgos es identificar los activos que aportan valor a la organización, las amenazas que podrían afectar el funcionamiento normal de las actividades de la organización además del impacto que podrían causar estas de llegar a darse, y las medidas que se deben llevar a cabo para minimizar o eliminar el impacto de los riesgos existentes. Estrategias de recuperación Los planes de recuperación de desastres TI proporcionan unos procedimientos detallados a seguir, paso a paso, para recuperar los sistemas y redes que han sufrido disrupciones y ayudar a resumir la normalidad en las operaciones. El objetivo de estos procesos es minimizar cualquier impacto negativo en las operaciones de la compañía. El proceso de recuperación identifica los sistemas y redes críticos de TI; fija las prioridades para su recuperación y dibuja los pasos necesarios para reiniciar, reconfigurar y recuperar dichos sistemas y redes. Desarrollo de estrategias La estrategia debe Recomendaciones para el Desarrollo de la Estrategia Nacional de Ciberseguridad identificar y priorizar los objetivos a corto, mediano y largo plazo. Aunque constantemente emergen nuevos vectores de amenazas en el entorno digital, es importante que la empresa siga centrada en la estrategia, formando y fortaleciendo sus bloques fundamentales clave y agregando iniciativas de manera incremental, en lugar de multiplicar iniciativas nuevas hacia muchas direcciones. Desarrollo de procedimientos Definición detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas. Los procedimientos de seguridad permiten aplicar e implantar las políticas de seguridad que han sido aprobadas por la organización. Pruebas y entrenamiento Se debe capacitar a los recursos humanos, según su perfil y nivel de acceso a la información, para que adhieran y cumplan con esa política”.

Recursos Humanos desempeña un rol clave para reforzar el cumplimiento de las normas corporativas de seguridad informática. Para Nicolás Ramos, de la consultora EY Argentina, esta función se extiende “a lo largo de todo el ciclo de vida del empleado en la compañía”. De acuerdo con Ramos, esto abarca desde el momento de dar el alta a un usuario para el acceso a la información: “Hacer firmar el contrato de confidencialidad, dar a conocer el código de conducta de la empresa, controlar que se cumplen las políticas de seguridad, capacitar y concientizar”. Y sigue hasta que la persona se desvincula de la empresa, “para lo cual hay que asegurarse de que no se lleve los accesos y avisar al área de Sistemas para que se dé la baja a ese usuario”. El entrenamiento es otro eje. Según la encuesta de Deloitte entre empresas del sector financiero, el 46,3% desarrolla planes de capacitación específicos sobre el uso de blogs y redes sociales, mientras que el 12% asegura que la capacitación y concientización en seguridad de la información ha sido una de las tres principales iniciativas de seguridad este año. “La capacitación a los empleados promueve la conciencia sobre la seguridad de la información, los problemas e incidentes y cómo deben responder según su papel laboral”, señala Daniel Nocella. Para el ejecutivo de Swiss Medical Group, RR.HH. tiene la responsabilidad de “desarrollar un plan de concientización por el cual los empleados reciban información de las políticas, normas, procedimientos y estándares de la organización”. Según Nocella, los empleados deben cursar un programa de inducción donde se definan tanto las políticas de seguridad como las expectativas de acceso a la información: “En la inducción se deben especificar las exigencias (uso de software), las responsabilidades (uso correcto) y el control de la organización; y también se deben incluir las posibles amenazas y los procedimientos para mitigarlas”. Plan de mantenimiento Los riesgos de seguridad cambian constantemente, por lo que deberás revisar periódicamente tu plan de seguridad informática. Mantente al día de las vulnerabilidades de seguridad emergentes suscribiéndote a boletines de empresas de seguridad. Asegúrate de que actualizas regularmente tus protecciones. Si se realizan cambios en tu sistema informático o inviertes en nuevo hardware o software, revise tu plan de seguridad informática. Tratar de identificar nuevas vulnerabilidades de seguridad y revisa también las políticas y procedimientos al menos cada 12 meses. Por último, pon a alguien a cargo del plan de seguridad informática, para que no haya ninguna posibilidad de que quede descuidado.

Fuentes ¿Qué son la políticas de seguridad? https://www.emprendepyme.net/politicas-de-seguridad.html Puntos a considerar en la política de seguridad https://www.ceupe.com/blog/ejemplo-politica-seguridad-informacion-y-sgsi.html Creación de un plan Análisis de riesgos http://bibdigital.epn.edu.ec/bitstream/15000/10499/1/CD-6217.pdf Estrategias de recuperación https://seguinfo.wordpress.com/2013/03/25/plan-para-la-recuperacion-de-desastresde-ti/ Desarrollo de estrategias https://sontusdatos.org/wp-content/uploads/2017/09/Recomendaciones-para-elDesarrollo-de-la-Estrategia-Nacional-de-Ciberseguridad.pdf Desarrollo de procedimientos https://www.edisa.com/wp-content/uploads/2014/08/Ponencia__Politicas__planes_y_procedimientos_de_seguridad.pdf Pruebas y entrenamiento https://www.clarin.com/economia/empleados-ponen-prueba-seguridadinformatica_0_HJ8xkEt5Pmg.html Plan de mantenimiento https://www.universidadviu.com/crear-plan-seguridad-informatica-facilmente/