59 - Escribiendo Políticas de Seguridad - 14/01/2007


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Esta semana nació un nuevo proyecto en Segu-Info, llevado adelante por colaboradores del Foro. En el mismo, y respetando un poco los resultados de la encuesta para este 2007 (ver abajo), se comenzó a trabajar en el texto de una Política de Seguridad.

El objetivo es plasmar una Política para una empresa genérica, sin entrar en pormenores puntuales, ni estándares, ni guías, ni procedimientos técnicos.

El proyecto es abierto y cualquier persona puede participar (ver condiciones) aportando ideas, conocimiento, documentos o simplemente las ganas de ayudar.

En el transcurso de esta semana he observado lo difícil que es plantear un trabajo y llevarlo a cabo cuando los participantes son un grupo de personas, ubicado en distintas latitudes, que desconocen a los otros participantes, con distintos niveles de conocimiento, con distinta educación y con distintas experiencias.

Esta tarea titánica que se han propuesto es una muestra de lo que sucede en las organizaciones cuando se desea llevar a cabo un proyecto de estas características y también es una muestra de lo que se puede realizar en una comunidad organizada (aunque la misma sea virtual como en este caso).

Por supuesto no existe una forma única y perfecta de escribir una política y, todo lo contrario, quizás la misma esté teñida de circunstancias y hechos únicos e irrepetibles en otros contextos

Cuando se desea escribir una Política lo primero que se observa es la falta de decisión de hacia donde se debe apuntar con la misma.

Esto viene asociado a la falta de madurez de las organizaciones y del mercado actual en la realización de este tipo de tareas.

Una Política (de Seguridad) es un plan determinando los recursos (activos) críticos de la organización y la forma en que ellos deben y pueden ser protegidos adecuadamente, informando que está permitido y que no, así como la responsabilidad de protección de los recursos que deben asumir todos los miembros de la organización.

Actualmente pueden obtenerse distintas políticas para observar como las mismas han sido desarrolladas, siguiendo los estándares internacionales al respecto (BS, ISO, COBIT, ITIL, SOX, etc.).

En sus primeros puntos el documento debería explicar el porqué de la necesidad de la política, sus objetivos, sus alcances, la forma que la misma será actualizada (recordar que es un ciclo continuo) y debería dar algunas definiciones globales utilizadas en el resto del documento.

Además, en esta primera instancia es fundamental contemplar los requisitos legales, jurídicos y contractuales vigentes en los países en los que la organización desempeñe sus actividades.

A continuación, el paso fundamental es determinar cuales son los activos (y procedimientos) de la organización que deben protegerse, así como su funcionalidad y su criticidad.

Muchas veces se comete el error de evitar o no llevar a cabo este procedimiento, generalmente conocido como "Análisis de Riesgo".

Recordar que, así como no se puede saber donde ir si no se sabe donde se está; no se puede saber el estado deseado, desconociendo el estado actual.

En este paso se deben contestar las siguientes preguntas:

  • ¿qué se desea proteger?. Se definen los activo.
  • ¿de que/quién se lo desea proteger?. Se define el riesgo y su ocurrencia probable.
  • ¿cómo se protege?

Una vez obtenido este análisis se estará en condiciones de comenzar a desglosar cada una de los activos y las formas de protección así como los responsables de esos activos.

Se deberá establecer un plan efectivo para medir los beneficios que acarrea la implementación de la política. Eso ayuda a contrastar el pasado (anterior a la política) con el presente, brindando resultados reales de su implementación.

Este paso puede bajarse al trabajo diario a través de tableros de control y encuestas.

Por ejemplo en la política se puede exigir una política de uso de claves seguras y luego medir dos aspectos de su implementación:

  • aumento de cantidad de llamadas en el call center por "usuarios olvidadizos".
  • disminución de cantidad de claves obtenidas al realizar ataques por diccionario a los usuarios.

También deberán definirse los premios y los castigos correspondientes a cada buena acción y a cada violación de la política. Debe tenerse en cuenta que luego de definirlos, se debe cumplir con lo estipulado, lo que dará mayor confianza en la veracidad de lo escrito, ayudando a que sea tomado como "la ley" de la organización.

Aquí es donde otro punto fundamental debe ser tenido en cuenta: la política parte de la Alta Gerencia, con su autorización y apoyo incondicional.

Sin este apoyo nada se lleva a cabo, pero esta misma Alta Gerencia debe cumplir lo estipulado en la política. Como es adivinable esto es sumamente difícil de cumplir en cualquier organización lo que quita fuerza a la implementación: ¿si él lo hace por qué yo no puedo?. Incluso este punto puede ser el motivo de fracaso de la política.

En la misma política se deberá contar con un plan adecuado de Capacitación y Concientización que acompañe a la implementación de la política. Los miembros de la organización deben comprender y estar convencidos de los beneficios de la misma, pero además es la forma óptima de que ayuden y faciliten su implantación.

Con lo que respecta a la protección de los activos propiamente dichos, los estándares actuales como BS, ISO, COBIT e ITIL dan los lineamientos necesarios para llevar a cabo la correcta implementación de los mismos.

En líneas generales, básicamente se podrá seguir la ISO 27000 (anterior 17799) para llevar a cabo mejoras en las siguientes áreas:

  • Seguridad Física y del Ambiente
  • Seguridad de las Comunicaciones y de las Operaciones
  • Seguridad del Personal
  • Control de Accesos
  • Desarrollo e Implementación de Sistemas
  • Continuidad del Negocio

Como puede verse el documento no tiene porque ser extenso ni complejo pero debe comprenderse desde el comienzo el objetivo del mismo así como los puntos básicos a contemplar.

También, luego de la implementación (o durante), este documento no debe ser olvidado y se deberá mantener actualizado cumpliendo el ciclo establecido previamente en la misma Política.

Finalmente, al contrario de lo que suele creerse, no tiene porque ser certificable (si bien puede serlo) ante ninguna entidad nacional o internacional. La política que se acaba de escribir es un plan guía interno. Se deber ser consciente que lo plasmado es un conjunto de "Buenas Prácticas" que tienden a mejorar (y asegurar) el trabajo diario.

Más Información sobre el Proyecto

Nuestro Foro

Capacitación y Concientización en Organizaciones

Descargar Políticas e Información

Buenos Aires, 14 de enero de 2007

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto