1. Definición de políticas
La política es la actividad humana que tiende a gobernar o dirigir una acción,
deben ser pensadas y diseñadas para facilitar que las cosas se hagan
correctamente. Una política tiene su razón de ser cuando contribuye
directamente a que las actividades y procesos de la organización logren su
propósito.
Para el buen diseño de una política se deben tomar en cuenta los siguientes
aspectos:
Involucrar activamente a la gente que conoce y trabaja en los procesos.
Informar y explicar oportuna y adecuadamente a los involucrados.
Una política es: una decisión unitaria que se aplica a todas las situaciones
similares, una orientación clara hacia donde deben dirigirse todas las
actividades de un mismo tipo, un lineamiento que facilita la toma de decisiones
en actividades rutinarias, aplicable a un 90%-95% de los casos.
Las políticas ayudan a evitar lentitud, defectos y sobre todo pérdida de tiempo
en las principales actividades y procedimientos que se realizan a nivel
organizacional, las políticas permiten visualizar un camino claro, preciso y
seguro para las actividades cotidianas, sobre todo en los puntos críticos donde
se requiere una decisión.
Política de seguridad informática:
Una Política de Seguridad es un conjunto de requisitos definidos por los
responsables de un sistema, que indica en términos generales que está y que
no está permitido en el área de seguridad durante la operación general del
mismo
La política se refleja en una serie de normas, reglamentos y protocolos a
seguir, donde se definen las medidas a tomar para proteger la seguridad del
sistema, cualquier política de seguridad ha de contemplar los principios claves
2. de seguridad: integridad, disponibilidad y confidencialidad. Es una descripción
de lo que se desea proteger y el por qué de ello.
Para llevar a cabo el desarrollo de una política se cumplen las siguientes
etapas:
Creación: se crea la política, es decir, se identifica su necesidad, se
determina el alcance, los roles y las responsabilidades inherentes a la
aplicación de la misma, en esta fase se obtiene como resultado la
documentación de la política de acuerdo a las necesidades
organizacionales.
Revisión: en esta etapa se debe realizar una revisión detallada del
documento elaborado en la fase anterior, con el fin de realizar ajustes
necesarios para obtener una visión final de la política para su posterior
aprobación.
Aprobación: antes de aplicar cualquier política es necesario discutirla
con las autoridades de la organización a fin de coordinar la aceptación y
la divulgación de la misma.
Comunicación: la comunicación de la política es la primera etapa de
esta fase, la política debe ser difundida a los miembros del
departamento o a quienes sean afectados directamente por la política.
(secretarias, directivos, jefes de departamentos), deben definirse
mecanismos que permitan la divulgación de la política.
Cumplimiento: establecer las actividades relacionadas con la ejecución
de la política con el fin de implementarla, monitorearla, hacerle
seguimiento y reportar regularmente su cumplimiento.
Mantenimiento: una vez definidas las políticas se debe garantizar la
vigencia y la integridad la misma. Esto incluye hacer seguimiento a las
tendencias de cambios (tecnología, procesos, personas, enfoque de
negocios, entre otros.
Aspectos a considerar para la redacción de una política de seguridad:
3. Deben estar descritas por orden de importancia en función de la
prioridad de los activos.
En su redacción no debe quedar duda acerca de: qué, cómo, quién,
cuándo, dónde, y en qué casos se pueden hacer las cosas. Para hacer
una descripción clara de una política se requiere redactar un conjunto de
ideas en un párrafo que contengan los aspectos anteriormente
señalados.
Organizar la descripción de las políticas en función del aspecto de la
seguridad que se necesite proteger.(lógica y físicos)
Ejemplos:
Todos los usuarios deberán acceder al sistema utilizando el método que
permita mantener una comunicación segura y cifrada.
El respaldo completo del sistema deberá efectuarse cada treinta (30)
días, en un dispositivo de almacenamiento físico (Servidor, CD,
pendrive, entre otros) y cada día deberán ser respaldados todos los
archivos que fueron modificados o creados. El administrador del sistema
será el responsable de realizar los respaldos de dicha información.
La información respaldada por el administrador deberá ser guardada en
un lugar seguro y distante del sitio de trabajo.
A continuación, se presenta el esquema de presentación del manual de
políticas del PST:
Introducción
Objetivos del informe.
Definición de las políticas
Definición de las sanciones que se aplicarán por el incumplimiento de las
políticas. No legales sólo administrativas.
Plan de capacitación. Los usuarios necesitan tener una idea clara sobre
la aplicación de las políticas sobre los procesos que él o la organización
realiza.