• Flock of wintering Barnacle Goose(branta leucopsis)in wadden Sea,East Frisia,lower saxony,Germany

#ADNCLOUD

Innovación en la sociedad digital

Categorías

Políticas de seguridad informática y su aplicación en la empresa

politicas de seguridad informatica
Tiempo de lectura: 4 minutos

Las políticas de seguridad informática son reglas que tenemos que cumplir todo el personal relacionado con una empresa. Así se asegura la integridad, disponibilidad y privacidad de las infraestructuras informáticas y de la información que contienen. En este artículo se explica qué son las políticas de seguridad informática y sus aplicaciones prácticas  en la empresa en distintos ámbitos.

New Call-to-action

¿Qué son las políticas de seguridad informática?

Las políticas de seguridad informática son declaraciones formales de las reglas que debemos cumplir las personas que tenemos acceso a los activos de tecnología e información de una organización. Esta es la definición según la RFC 2196 del Internet Engineering Task Force (IETF) de 1997. Esta publicación sustituye a la anterior de 1991, lo que pone en evidencia como la seguridad informática es una prioridad que nació casi al mismo tiempo que Internet.

Existen dos grupos principales de políticas de seguridad:

  • Las que definen lo que tenemos que evitar. Se trata de aquellos comportamientos y prácticas que pueden poner en riego los sistemas y la información, como, por ejemplo: abrir archivos o enlaces sospechosos, compartir contraseñas o utilizar redes Wi-Fi abiertas.
  • Las que definen lo que tenemos que hacer siempre, para mantener un correcto nivel de protección y seguridad. Por ejemplo: implementación de copias de respaldo, uso de contraseñas y su renovación periódica, instalación de software antivirus y antimalware.

¿Para qué sirven las políticas de seguridad informática?

Las políticas de seguridad informática surgen como respuesta a los diferentes riesgo de seguridad a la cual están expuestos nuestros sistemas:

  • Privacidad de la información, y su protección frente a accesos por parte de personas no autorizadas.
  • Integridad de los datos, y su protección frente a corrupción por fallos de soportes o borrado.
  • Disponibilidad de los servicios, frente a fallos técnicos internos o externos.

El objetivo de las políticas de seguridad informática es proporcionar a todo el personal de una empresa también como a los usuarios que acceden a sus activos de tecnología e información los requisitos y pautas de actuación necesarios para protegerlos. Asimismo estas políticas son útiles a la hora de auditar los sistemas de información de una empresa.

Políticas de seguridad informática: ventajas y desventajas

Las políticas de seguridad informática y de la información dependen de forma directa de los objetivos de seguridad que nuestra empresa se haya fijado. Hoy en día es imposible obtener un sistema completamente seguro y resistente frente a cualquier tipo de amenaza o vulnerabilidad. Por lo cual habrá que determinar si nuestras políticas de seguridad serán más o menos restrictivas, lo que implicará realizar un balance entre ventajas y desventajas:

  • Servicios ofrecidos VS seguridad: cada servicio que proporcionamos a nuestros usuarios conllevan unos riesgos de seguridad, que a veces superan a los beneficios del servicio, lo que pueden llevarnos a la decisión de suprimirlo.
  • Usabilidad VS seguridad: cuantos más estrictas sean las medidas de seguridad, tanto menos fácil de usar serán nuestros sistemas y servicios. Hay que calibrar bien las medidas más restrictivas (cómo autenticación multifactor) para que se implementen solamente en los puntos más críticos.
  • Coste VS riesgo: la implementación de las políticas de seguridad siempre conlleva un coste, tanto humano (contratación de personal experto) como monetario (adquisición de hardware y software).

Características de las políticas de seguridad informática

Como hemos visto, hay distintas políticas de seguridad según los objetivos y prioridades de cada empresa. Sin embargo, todas las buenas políticas de seguridad informáticas tienen en común estas características:

  • Concretas: tienen que poderse implementar a través de procedimientos, reglas y pautas claras.
  • Claras: tienen que definir de forma clara las responsabilidades y obligaciones de los distintos tipos de usuarios: personal, administradores y dirección.
  • Obligatorias: su cumplimiento tiene que hacerse respetar, mediante herramientas de seguridad o sanciones.

Ejemplo de políticas de seguridad informática

Existen distintos tipos de políticas de seguridad informática, a segunda que se dirijan al equipo directivo, al personal técnico o a los empleados. Ejemplos concretos son:

  • Pautas de compras de tecnologías y contratación de servicios
  • Privacidad en el uso de herramientas de trabajo.
  • Acceso y autenticación de usuarios y la definición de derechos y privilegios.
  • Responsabilidad de los distintos tipos de usuarios.
  • Disponibilidad de sistemas y recursos.
  • Notificación de violaciones y brechas de seguridad.

El Instituto Nacional de Ciberseguridad, INCIBE, pone a disposición en su página web las principales políticas de seguridad informática para una Pyme.

Conclusión

Las políticas de seguridad informática son una herramientas fundamental para las empresas de cualquier tipo y tamaño, a la hora de concienciar a su personal sobre los riesgos de seguridad y proporcionar pautas de actuación concretas. Sin embargo, para que sean efectivas, estas deberán:

  • Redactarse en documentos que serán puestos a disposición de todo el personal
  • Ser flexibles y revisarse periódicamente, para que se adapten a los distintos cambios tecnológicos o de objetivos de la empresa.
  • Ser respaldadas completamente por la dirección de la empresa, de otra forma su adopción podría verse comprometida.

New Call-to-action

Entradas relacionadas

Deja un comentario

No hay comentarios

Todavía no hay ningún comentario en esta entrada.