Las políticas de la seguridad en la informática, muy divertido no suena, pero vamos a ponernos en situación, con el aumento del uso de la tecnología en las empresas y organizaciones, la necesidad de la ciberseguridad se ha hecho evidente.
Las empresas adoptan cada vez más medidas de seguridad y, por tanto, aumentan las políticas de ciberseguridad. Los objetivos de estas políticas incluyen la protección de la información, los sistemas informáticos, las redes y los datos para que no sean dañados o robados por ciberdelincuentes como los hackers, una vez puestos en situación empezamos el artículo de las políticas de la seguridad en la informática.
¿Qué son las políticas de la seguridad en la informática?
Podemos definir las políticas de la seguridad en la informática como un conjunto de normas y procedimientos que con su cumplimiento, garantizan una privacidad, reducción de riesgos y disponibilidad de la información.
Debemos ser conscientes a que tanto las empresas como usuarios cada vez utilizan mas las aplicaciones en la cloud es por ello que, se ha vuelto extremadamente importante contar con políticas de seguridad estrictas para garantizar que todos estos datos permanezcan seguros y protegidos.
Importancia de las políticas de la seguridad en la informática
La importancia de estas políticas es reducir cualquier amenaza potencial contra nuestra información personal, asegurando que todo el mundo se adhiere a las mismas normas de uso de los dispositivos.
Ejemplos de políticas de la seguridad en la informática
Como dijimos las políticas de seguridad en la informática son un conjunto de procedimientos y normas, por lo tanto voy a exponer los procedimientos mas habituales que utilizan las empresas para la ciberseguridad, ya que atrás quedó el uso de un usuario y su clave como método de seguridad y autentificación, veamos algunos ejemplos:
Código de buenas prácticas
Aquí es donde se recoge toda la información sobre las políticas de la seguridad en la informática aplicada a en la empresa, en este se documenta la utilización de dispositivos y de la información disponible por los empleados.
Debe establecer unas directrices para saber que hacer en cada puesto de trabajo, esto se entiende mejor si ponemos un ejemplo. Si trabajamos con el ordenador y nuestro horario es partido, en este código debería poner si:
- Debemos apagarlo antes de irnos.
- Dejarlo encendido pero con la sesión cerrada.
- Ponerlo en suspensión.
Otro ejemplo podría ser cuando realizar una copia de seguridad del equipo o de la base de datos.
Acceso a los dispositivos
Esto básicamente es la manera de acceder al ordenador, tablet, móvil, o cualquier otro dispositivo de la red o incluso el acceso a la red misma ya que los dispositivos pueden estar desconectados y requerir de un acceso a la red individual (pero esto se suele hacer solo en empresas muy grandes). Voy a exponer los métodos mas comunes con los que se suele trabajar en el control de accesos:
Controles de acceso físico
Como dijimos las políticas de la seguridad en la informática se presenta en cualquier tipo de dispositivos, desde un celular hasta poder entrar por una puerta cerrada por un dispositivo electrónico, por lo cual existen documentos físicos, como tarjetas de identificación, tokens, memorias usb que te permiten el acceso al dispositivo etc.
Ejemplos de este tipo:
- Puertas controladas electrónicamente que necesite pasar un código, llave USB o cualquier otro dispositivo para que se abra o se cierre.
- Un USB que se deba colocar en el ordenador para que arranque.
- Un lector de tarjetas para poder acceder a cierta información, etc.
Control por identidad
En este caso deberemos confirmar que somos nosotros los autorizados para acceder al sistema o la información que queramos, este tipo de acceso se suele denominar identificación por múltiples factores (aquí lo que hablábamos del usuario y contraseña, pasa a un segundo lugar), para saber mas sobre este sistema de identificación te dejo un enlace.
Control acceso tráfico de usuarios
Se debe tener un registro de todos los usuarios de la empresa y no solamente de cuando acceden y desde donde, sino también cuando se dieron de alta, control de la baja, control de autorización al sistema. Un ejemplo de esto sería recoger en una base de datos todas las altas y bajas de los empleados, así como su rango de autoridad el cual le permitirá acceder a una u otra información.
Lo bueno de este tipo de políticas o procedimientos es que no es necesario que se conecte desde un dispositivo de la empresa, en caso de que se permita, podrá acceder desde otro punto geográficamente distinto.
Por ello y para que esto se convierta en política debe estar escrito y tener un procedimiento automatizado de todo el proceso de alta, registro, acceso, etc.
Política de tratamiento de la información
En este documento debe estar expuesta como se debe tratar, proteger, organizar y trabajar con la información de la empresa, siendo esta clasificada por sus importancia, legalidad, o cualquier otro tipo de clasificación.
Un ejemplo de esto sería no utilizar la información de los clientes para que la competencia pueda acceder a ellos.
Otro ejemplo sería no colgar en la red información clasificada o cualquier otro tipo de documentación que pueda exponer a la empresa.
Filtrar temas legales, etc.
Saber dar respuesta
En caso de existir algún tipo de problema a nivel informático y sobre todo si está relacionado con la seguridad, el empleado debe saber que debe hacer en un momento determinado, por ejemplo:
- En caso de que se introduzca en nuestro ordenador un malware, desconectarlo de la red.
- Si se introduce un phishing en nuestro pc, desconectarlo de la red y realizar una restauración del equipo con una copia anterior.
- Si existe alguna intrusión desconocida avisar al responsable de ciberseguridad, etc.
Otras políticas de seguridad
Cada empresa determinará sus propias políticas pero vamos a exponer alguna mas además de las ya mencionadas, lo ideal es que todas ellas estén escritas en el código de buenas prácticas o en un documento detallado:
- Actualización de sistemas.
- Control y monitoreo de antivirus.
- Análisis de posibles malware.
- Realización de copias de seguridad.
- Cambio de contraseñas anuales, etc.
Características de las políticas de la seguridad en la informática
Ya sabemos como son las políticas de la seguridad en la informática, ahora vamos a exponer como deben ser dichas políticas o al menos que deben tener en común. Son tres las características que deben poseer:
- Específicas:
- es algo lógico que estas deban ser precisas ya que si se implementan a través de procedimientos, estos deben saber como realizarse y no pueden ser abstractos o tener lagunas.
- Concisas:
- no solamente deben indicar como se debe hacer, sino también quien es el responsable de realizar dicho procedimiento.
- Exigidas:
- son procedimientos y reglas que todo empleado debe realizar y respetar siempre y cuando su puesto laboral y sus herramientas se lo permitan.