Normatividad en las organizaciones: Políticas de seguridad de la información - Parte II

En el artículo anterior se revisaron las características que pueden poseer las políticas y sus objetivos dentro de una organización. Se definió que aquellos que conocen y operan los procesos críticos de la empresa, deben tener los roles encargados de escribir, revisar, aprobar, difundir y actualizar los documentos, por medio de un comité estratégico que permita el cumplimiento de las políticas en todos los niveles de la estructura jerárquica de la organización.

Así mismo, se hizo énfasis en el enfoque de la redacción de los enunciados permisivos (todo lo que no está expresamente prohibido está permitido) y prohibitivos (todo lo que no está explícitamente permitido está prohibido). Sin embargo, se recomendó evitar la escritura en sentido negativo. También se mencionó que la redacción debe estar orientada al tipo de lectores (audiencias), donde se determinará el sentido de los enunciados.

Por último se mencionaron técnicas para la difusión entre las audiencias. En caso de que las políticas no sean documentadas, publicadas, difundidas y aceptadas por los miembros de la organización, la normatividad no será efectiva.

Este último artículo aborda la estructura que puede tener una política, así como los elementos de importancia considerados para el éxito en implantar y aplicar políticas de seguridad de la información en una organización.

Como todo documento, una política se conforma de varias secciones que proporcionan información relevante para la audiencia y permiten tener un contexto amplio de la misma. Las secciones que pueden ser consideradas en el desarrollo se describen a continuación:

• Introducción. Esta sección debe proporcionar una breve descripción de la política, nombre y ubicación dentro de la jerarquía de políticas de la organización.
• Propósito. Indica los objetivos principales de la política y su razón de ser. Permite a las audiencias entender la manera de utilizarla. Puede incluir declaraciones sobre un requerimiento o legislación a la cual se debe adherir.
• Alcance. Indica el ámbito de aplicación de la política, que puede relacionarse con la infraestructura, aplicaciones, información, personas u otro activo de la organización que se desee proteger.
• Enunciados de la política. Son las declaraciones que deben cumplirse en la organización, es decir, todos los enunciados que deben ser acatados por los miembros de la organización.
• Sanciones. Detalla el incumplimiento de la política, considerado como una violación. Define la manera en la que debe ser reportada y las acciones a considerar cuando se presente un evento de esta naturaleza. También se debe incluir información detallada acerca de las acciones correctivas que se aplicarán como resultado de una falta.
• Glosario. Define cualquier término que sea desconocido para el lector. Aunque se recomienda no emplear términos técnicos en la redacción de los enunciados, en ocasiones se puede hacer uso de acrónimos, siglas, anglicismos y otro tipo de argot que pueden ser definidos en esta sección.
• Histórico de revisiones, actualizaciones y aprobaciones. Este apartado define al responsable de realizar las actualizaciones, revisiones y aprobaciones de la política, así como la frecuencia para ejecutar estas tareas. Es útil para determinar la obsolescencia o vigencia de la política.
• Fecha de publicación y entrada en vigor. Esta parte permite erradicar ambigüedades en relación a la vigencia y aplicación de las políticas.
• Versión del documento. Permite conocer el estado de las actualizaciones y revisiones del escrito, así como los cambios que se han presentado en la política.
• Referencias. En esta sección se coloca la lista de documentos asociados a la política (políticas, guías, procedimientos o formatos).

Por otro lado, las guías y procedimientos que soportan las políticas, también contienen secciones que proporcionan información relevante para el lector. Este tipo de documentos están dirigidos a una audiencia generalmente operativa, por lo que el lenguaje suele ser totalmente técnico. Las secciones que pueden incluir son:

• Introducción. Debe proporcionar un panorama general del documento, nombre y ubicación dentro de la jerarquía de documentos de la organización.
• Propósito. Indica los propósitos principales del escrito y su justificación. También permite a los lectores entender la manera de utilizarlo.
• Alcance. Indica el ámbito de aplicación del documento, que puede ser infraestructura, aplicaciones, información y/o personas.
• Desarrollo. Establece las actividades que deben realizarse, así como los roles y responsabilidades encargados de ejecutar tales labores. La guía propone actividades que pueden ser consideradas (son de carácter opcional), mientras que el procedimiento debe tener un apego total.
• Diagrama de flujo. Esquema que permite ver de manera gráfica las actividades descritas en el desarrollo. Puede incluir al personal responsable de ejecutarlas, herramientas e información necesarios para llevar a cabo las tareas.
• Glosario. Define los términos que el lector pudiera desconocer.
• Histórico de revisiones y actualizaciones. Define al responsable de realizar las actualizaciones y revisiones del documento, así como la frecuencia para ejecutar estas tareas. Este apartado permite determinar su obsolescencia o vigencia.
• Fecha de aprobación, publicación y entrada en vigor. Esta sección posibilita erradicar ambigüedades en relación a la vigencia y aplicación del documento.
• Versión del documento. Da a conocer el estado de las actualizaciones y revisiones del documento, así como de los cambios que se han presentado en el mismo.
• Referencias. En esta sección se coloca la lista de documentos asociados (políticas, guías, procedimientos o formatos).

Las políticas de seguridad de la información tienen diferentes ámbitos de aplicación, los cuales deben ser seleccionados por cada área de acuerdo a sus necesidades y características propias. Una referencia para la elección pueden ser los objetivos de control y controles de estándares o marcos de referencia (frameworks).

ISO 27001:2005 es un estándar internacional auditable para la seguridad de la información ampliamente utilizado. Define los requisitos para un sistema de gestión de seguridad de la información (SGSI) y los controles enfocados a proteger la información necesaria para la operación y permanencia de las organizaciones. Algunos ámbitos que incluye son:

• Responsabilidades relacionadas con la seguridad de la información.
• Ética y conducta.
• Recursos humanos/administración.
• Seguridad física.
• Clasificación, manejo, respaldo y eliminación de información.
• Uso adecuado de activos, inmobiliario e infraestructura.
• Protección de hardware/software.
• Uso de correo electrónico, Internet y mensajería instantánea.
• Accesos remotos y conexiones de red.
• Administración de cuentas de usuarios y contraseñas.
• Autenticación y control de acceso.
• Aplicaciones y desarrollo de aplicaciones.
• Dispositivos periféricos, de seguridad o móviles.
• Criptografía (cifrado y manejo de llaves).
• Monitoreo.
• Auditoría.
• Detección y respuesta a incidentes.
• Recuperación de desastres y continuidad del negocio.
• Administración de cambios.
• Administración de proveedores de servicios/terceras partes.
• Cumplimiento contractual y legal.

En este sentido, el estándar puede ser la base para el desarrollo de las políticas organizacionales de seguridad de la información. Sin embargo, ésto no limita la inclusión de temas de interés para la organización y sus miembros, así como asuntos de relativa actualidad, como el uso de dispositivos móviles o cómputo en la nube (temas que, por su importancia, se han considerado integrar en la actualización del marco de referencia ISO 27001 en su versión 2013[1], el cual se espera sea publicado el segundo semestre del presente año).

Una vez que se hayan desarrollado las políticas de seguridad alineadas a algún estándar o framework, es necesario considerar elementos de importancia para el éxito y funcionalidad durante la implantación de políticas de seguridad de la información. Por ejemplo, la resistencia al cambio por parte de los miembros de la organización, quienes con la entrada en vigor de las políticas, deberán realizar sus actividades bajo la normatividad establecida en los documentos y modificar algunos hábitos.

En el caso de las personas que se integran a la empresa, es importante informarles y darles a conocer en el momento que inicia la relación laboral con la organización. La capacitación es un elemento necesario durante el proceso de implantación.

La aceptación y cumplimiento de las políticas se pueden facilitar a través de la concientización de los miembros de la organización. Se comprende la importancia de la seguridad de la información al explicar las medidas de protección de los activos por parte de los dueños, custodios y usuarios al sensibilizar sobre amenazas y riesgos.

Por otro lado, resulta necesario definir objetivamente sanciones de las que serán acreedoras aquéllas personas que de forma deliberada, intencional o por desconocimiento, infrinjan alguna política de seguridad de la información. Estas sanciones serán aplicadas para que se cuente con un marco sólido de estricto apego.

Finalmente, las políticas junto con los procedimientos y guías (controles administrativos) deben estar integrados con un conjunto de controles físicos y técnicos que permitan la interacción entre lo descrito en los enunciados y la implementación tecnológica.

Participaron como coautores de este artículo: Ing. Sandra Atonal Jiménez, Ing. Rubén Aquino Luna

Referencias

International Organization for Standardization. ISO/IEC 27001:2005.

SANS Institute. Information Security Policy - A Development Guide for Large and Small Companies.

SANS Institute. Security Policy Roadmap - Process for Creating Security Policies.

SANS Istitute. A Short Primer for Developing Security Policies.