Introducción a las políticas de seguridad

Tiempo estimado: 15 min

Justificación

Antes de empezar las actividades que buscan generar documentos contenidos de políticas y directivas de seguridad, es muy importante que los participantes entiendan qué son y para qué sirven, disminuyendo los errores, mejorando el flujo de las actividades e involucrando de mejor manera a los participantes. La idea de esta actividad es introducir los conceptos de políticas y directivas de seguridad.

A diferencia de otras actividades en este manual, la presente es de carácter expositivo y menos interactivo. En la medida en que el facilitador se sienta cómodo puede diseñar una actividad que logre introducir los conceptos.

Productos

Indirectos

• Conocimiento del equipo de los conceptos de políticas y directivas de seguridad.

Preparación previa

• En el caso de requerirlo, algún material audiovisual como presentaciones, videos o papeles con los conceptos abordados y/o ejemplos.

Instrucciones

1. Presentar el concepto de política de seguridad al grupo:

Política de seguridad: Es un documento formal que recopila las estrategias de seguridad que una organización toma en ámbitos específicos de sus operaciones, brindan un panorama general del estado de seguridad de la organización, los objetivos que persigue en términos de seguridad y criterios para determinar posibles excepciones a la política o acciones a tomar ante situaciones que escapen al alcance actual del documento.

Este concepto puede ser planteado como la unión de varias ideas:

• Es un documento escrito.
• Describe objetivos y estrategias de seguridad.
• Debe abarcar la mayor cantidad de casos posibles en los ámbitos que la definen.

Además de estas consideraciones, las políticas de seguridad deben alinearse con la misión y visión de la organización, por lo cual se diseñan de forma que puedan ser aplicadas por largos períodos de tiempo sin requerir mayores cambios. Es normal que las revisiones de políticas se hagan sólo cuando se cumplen algunas de estas condiciones:

• Ha pasado un período de tiempo largo desde su última revisión. Normalmente en el orden de los años (por ejemplo entre cada 3 y 5 años).
• Hubo un incidente de seguridad que evidenció que la política no es efectiva en cierto escenario y debe ser reformulada para enfrentar mejor futuros riesgos.
• Hubo un cambio relevante en la misión y visión de la organización y se debe refrescar la política para adaptarse al cambio en las operaciones.

Las políticas de seguridad deben ser respetadas por todos los miembros de la organización, por esta razón se hace importante que los encargados de la dirección y operaciones esten involucrados en el proceso, aprueben estas políticas y ayuden a su cumplimiento durante las operaciones habituales.

1. Presentar el concepto de directiva de seguridad al grupo:

Directiva de seguridad: Conjunto de reglas específicas ejecutadas por el equipo de trabajo y sus aliados relevantes para implementar las políticas de seguridad en el trabajo diario. Estas directivas pueden ser más concretas en el uso de herramientas y equipos específicos, y pueden cambiar en el tiempo con más frecuencia.

Este concepto puede ser planteado como la unión de varias ideas:

• Son reglas puntuales.
• Su misión es ayudar al cumplimiento de las políticas.
• Se relacionan con los procesos del día a día.

Dado que las directivas de seguridad son más dependientes de tecnologías y prácticas habituales, están pensadas para ser revisadas y cambiadas mucho más frecuentemente que las políticas, como guía general se sugiere revisar las directivas cuando se cumple alguna de estas condiciones:

• Ha pasado una cantidad de tiempo en donde algunas prácticas de seguridad pudieron ser cuestionadas o mejoradas gracias a descubrimientos o actualizaciones. Por ejemplo, cuando se descubre una vulnerabilidad crítica en una herramienta o cuando sale un nuevo producto que mejora las condiciones de los procesos de la organización y quiere ser implementado. Normalmente estos tiempos se miden en meses (por ejemplo entre cada 3 a 12 meses).
• Hubo cambios en las políticas de seguridad relacionadas, incluyendo cambios producto de incidentes de seguridad que afectan la política en cuestión.

Por lo general, las directivas de seguridad tienen un lenguaje instruccional claro, específicando acciones concretas a tomar en ciertos escenarios, por ejemplo:

• X pieza de información se transmite a través de estos canales: …
• No se permite utilizar Y dispositivo para almacenar información de sensibilidad alta.
• Z pieza de información puede transmitirse por W canal bajo las siguientes condiciones: …

Como diferencias notables entre las políticas y directivas de seguridad están:

• Su alcance: las políticas son generales y las directivas son específicas.
• Su dependencia: las directivas de seguridad son una parte de las políticas de seguridad.
• Su evolución en el tiempo: generalmente las políticas de seguridad cambian en el orden de los años, las directivas de seguridad en el orden de los meses.

En muchos de los marcos de referencia de seguridad de la información, el concepto de directiva de seguridad es representado bajo otros documentos o nombres, pudiendo generar confusión al consultar otro tipo de literatura. En este caso, lo más importante para adaptar este concepto es entender que se trata de instrucciones claras para ejecutar una acción determinada cumpliendo con las políticas de seguridad, en este manual se abstrae el concepto de directiva para armar un modelo que sea de rápida comprensión y facilitación para los grupos objetivo.

Cierre de la actividad

En esta actividad de capacitación se exploraron de una manera rigurosa los conceptos de política y directiva de seguridad, los cuales permitirán avanzar de forma efectiva en las siguientes actividades.

Referencias

• R11:
  Information Security Policy Templates SANS Institute
• R12:
  Introduction to Security Policies, Part One: An Overview of Policies Symantec
• R13:
  Information Security Handbook: A Guide for Managers NIST