Pautas para la elaboración de una política de seguridad
En general, al implementar medidas de seguridad es habitual centrarse en los aspectos más técnicos y no prestar atención a aspectos más formales como desarrollar una política de seguridad.
No basta sólo con escribir un documento, éste debe seguir unos pasos y debe implicar a otras personas que están fuera del ámbito estricto de actuación de la seguridad de la información.
A continuación presentamos una serie de pautas para ayudarle en cada una de las fases que debe seguir para el desarrollo de una política de seguridad.
Podemos distinguir diferentes etapas que deben seguirse en el desarrollo de una buena política de seguridad desde su creación hasta su implantación en la organización.
Como observamos en el gráfico anterior, fundamentalmente distinguimos tres etapas en la creación de una Política de Seguridad.
- Fase de desarrollo, en la que se crea, revisa y aprueba la Política.
- Fase de difusión, en la que se comunica, conciencia a los usuarios y/o afectados y se revisa su cumplimiento.
- Fase de mantenimiento, en la que se monitoriza su idoneidad y se llevan a cabo revisiones periódicas de la misma.
Al establecer una Política de Seguridad podemos hablar de un ciclo de mejora continua, en constante evolución. Una Política de Seguridad obsoleta no es útil… más bien todo lo contrario.
FASE DE DESARROLLO
Esta primera fase supone un esfuerzo de investigación y redacción de la política. Es importante que en la misma seamos capaces de dar respuesta a las siguientes preguntas:
- ¿Por qué necesitamos una Política de Seguridad?
- ¿A quién afectará la Política de Seguridad?
- ¿Quiénes serán los responsables de aplicar y garantizar la Política?
- ¿Es factible su implementación en nuestra empresa?
Debemos hacer un gran esfuerzo en investigar y formalizar los requerimientos de acuerdo a marcos de buenas prácticas específicos (por ejemplo, la norma ISO 27002) y extraer de ellas, aquellas que sean aplicables a las necesidades de nuestra empresa. En la web de INTECO puede obtener información muy valiosa para su organización. Así mismo, en la web de la Agencia Española de Protección de Datos puede encontrar la guía de seguridad de datos.
Una vez creada la política, se procederá a su revisión. En este punto, es importante contar con el apoyo de una persona que no haya participado en la fase de creación. Sus comentarios y notas servirán para hacer más entendible la política y para corregir posibles desviaciones de la realidad del negocio.
Una vez llevadas a cabo las modificaciones se procederá a la aprobación de la misma, para lo que debemos contar con el apoyo de la Dirección a través de la firma de la política. Indudablemente la Política de Seguridad debe ser decisión de los más altos cargos de la empresa.
FASE DE DIFUSIÓN
Una vez aprobada la política, debe definirse un plan de comunicación que establezca que recursos son necesarios para conseguir la máxima visibilidad posible de la política. Se puede concienciar a los usuarios de muchas formas diferentes: cursos, presentaciones, circulares, correos electrónicos, boletines, etc.…
Es muy importante contar con un plan de sensibilización de los usuarios y de forma continuada concienciar a los usuarios para ser capaces de garantizar que la política es conocida por todos los interesados.
FASE DE MANTENIMIENTO
Cuando la política es conocida por todos y ya ha sido plenamente implantada en la organización ha llegado el momento de comentar a chequear si los esfuerzos que se han realizado para cumplir la política han sido correctos. Esto puede realizarse mediante la auditoría de la política o de un modo más sencillo, inspeccionando, analizando y revisando toda la información que de la política se haya desprendido (resultado de las jornadas de concienciación, estudio de la respuesta a los incidentes de seguridad, observaciones de los empleados, etc.…).
Cualquier desviación y observación a la política debe considerarse como una oportunidad para mejorarla y por lo tanto volver periódicamente a realizar cada uno de los pasos descritos anteriormente.