|
6 Mitos acerca de Políticas de Seguridad
Mito 1: las políticas de seguridad son la base de un efectivo esfuerzo
de seguridad informática
Ya se sabe que esto es una herejía. Todos creemos saber y hablamos acerca
de que las políticas son la base de todo esfuerzo en seguridad. No
totalmente. El desarrollo de políticas de seguridad es el segundo paso. La
primera prioridad es el desarrollo de una metodología para cuantificar y
evaluar el riesgo. Se necesita saber qué se está protegiendo y cuál su
valor antes de decidir cómo protegerlo.
La escritura de políticas que requieren la inversión de dinero en
soluciones de seguridad, depende directamente de si se está protegiendo la
fórmula de coca-cola, mísiles nucleares o cualquier otro activo de
información vital.
El análisis de riesgo es la solución. Este implica mucho trabajo, pero
cuando se termina, sabemos:
-
Qué son los activos de información de la
organización
-
Cuál información es esencial para mantener las
luces encendidas y la generación de ingresos
-
De qué clase de riesgos debemos cuidarnos
Mito 2: la seguridad de la información es un tópico netamente técnico
¿Las políticas de encripción de su empresa declaran que la data debe ser
encriptada con whizbang 4.3 y claves de 128 bits?. Si la respuesta es si,
es hora de dar un paso atrás y revisar que son las políticas. Repitan
todas las noches antes de dormir: las políticas no son manuales técnicos.
Las políticas de seguridad de las organizaciones son declaraciones a
través de las cuales se plantea la dirección de la organización para
mantener la información segura. Las políticas sólo dictan el objetivo que
se desea conseguir.
Por ejemplo y tomando el caso de la encripción de la información, una
política en este sentido diría:
“Siempre que información clasificada como confidencial o altamente
confidencial sea almacenada en un computador o transmitida a través de
redes públicas, debe ser protegida usando hardware o software de encripción aprobado por el departamento de seguridad de información de la
corporación”
Mito 3: se necesitan muchos niveles de documentación para soportar las
políticas de segurida
Sólo por el hecho de que dediquemos mucho tiempo y esfuerzo en la
escritura de políticas, no pensemos que nuestros compañeros de trabajo lo
harán. Una vez que las políticas estén listas, escriba un conjunto de
estándares para explicar cómo la gente y los departamentos deben cumplir
las políticas. Sigamos con la encripción y veamos un estándar para
laptops:
-
Todo laptop debe ser configurado para
automáticamente encriptar las carpetas de información corporativa, usando
encripción abcd.
-
Los usuarios deben almacenar todos los
documentos de trabajo en la porción del disco que está encriptada.
El uso conciso de estándares provee muchos beneficios importantes:
-
Se pueden adoptar nuevas tecnologías sin
modificar las políticas.
-
Las diferencias en cómo distintos departamentos
hacen las cosas pueden ser enmarcadas.
-
Se reducen los tiempos de implementación.
Mito 4: la reacción al nuevo paradigma
Una vez que las políticas están listas y son anunciadas y distribuidas,
observamos en nuestro buzón de correo 1375 nuevos correos de compañeros de
trabajo, confundidos, molestos y ansiosos que percibe su “obra maestra”
como un “desastre maestro”. Todos lo ven como trabajo adicional.
El desarrollo de políticas es trabajo de un grupo interdisciplinario que
debe progresivamente ir introduciendo sobre su personal los nuevos vientos
de cambio para que el impacto al momento de la aplicación no sea tan
dramático.
Mito 5: el temor es un muy buen vendedor
Construir el soporte y la compatibilidad con las políticas es difícil. Es
muy tentador utilizar el temor como arma de ventas. Mientras advertimos a
gerentes y compañeros de trabajo sobre las consecuencias de “bajar la
guardia” es conveniente hacer sonar todas las alarmas cada vez que un
nuevo virus entra en acción o una nueva vulnerabilidad es conseguida.
Mantengamos las conversaciones de seguridad calmadas y bien enfocadas. Las
claves para conseguir que se cumplan las políticas son convencer a la
gente de que la información es el principal activo a proteger; escribir
políticas que consigan un balance entre seguridad y necesidades del
negocio y dar soporte público a dichas políticas desde las esferas
gerenciales de la organización.
Mito 6: políticas escritas. Trabajo finalizado
Error. Si las personas no saben acerca de ellas, su función y su
aplicación, las mismas pueden ser tan útiles como un jet ski en el
desierto del Sahara.
Ver otras publicaciones
Si
desea conocer más de nuestra empresa, comuníquese
con nosotros y gustosamente le atenderemos.
[ Empresa
| Soluciones y Servicios
| Clientes
| Alianzas Estratégicas
| Atención al
Cliente |
| Publicaciones | Sugerencias
de Seguridad | Mapa
del Site | Contáctenos
| Página Inicial
] |
