Que son las Políticas de Seguridad TI?

Las políticas de Seguridad de la Tecnología de la Información identifican las reglas y procedimientos para cada usuario que accede o usa los recursos tecnológicos de una organización. Una política de seguridad efectiva es un modelo de la cultura de la organización, en donde las reglas y los procedimientos son guiados por el acercamiento de los usuarios a la información y el trabajo, Que tanto valoran la información y la perspectiva a la tolerancia a fallos. Es por esta razón que no se pueden crear políticas que no vayan acorde en como los usuarios de la organización comparte la información entre ellos o al público.

Los objetivos de las políticas de Seguridad de la tecnología de la información es preservar la confidencialidad, la integridad y la disponibilidad de los sistemas y la información que usan los miembros de una organización. La confidencialidad implica la protección de los recursos, la integridad asegura que las modificaciones de los recursos son manejados por vías autorizadas y la disponibilidad es el estado donde los sistemas y la información están siempre disponibles.

Las políticas de Seguridad TI es un Documento que se va adaptando continuamente con la evolución de la organización y de los requerimientos de tecnología, es decir, deben seguir un proceso de actualización periódica de acuerdo a los cambios organizacionales, para mencionar algunos: aumento del personal, desarrollo de sistemas o servicios, cambios en la infraestructura de tecnología, entre otras.


Elementos

Las políticas de seguridad TI deben considerar algunos elementos.

  • Alcance de las políticas: Facilidades, sistemas y el los usuarios sobre el cual aplicara.
  • Objetivos de las Políticas y debe tener una descripción clara en su definición
  • Responsabilidades por cada servicio y recurso
  •  Requerimientos mínimos para la seguridad de los sistemas
  • Responsabilidades de los usuarios respecto a la información a la que tiene acceso
  • Definición de violaciones y sanciones en caso de no cumplir con las políticas.
Otro punto muy importante que las políticas de seguridad de la tecnología de la información deben ofrecer explicaciones detalladas y comprensibles sobre porque se están tomando esas decisiones y de la importancia de los recursos. Se debe establecer además la autoridad responsable de aplicar los correctivos y las sanciones de lugar

Parámetros.

Al  momento de crear las políticas de seguridad TI, es importante que se considere lo siguiente:


  • Efectuar un análisis de riesgos informáticos para adecuar las políticas a la situación actual de la organización
  • Es necesario reunirse con los dueños de los recursos o sistemas ya que son la principal fuente para establecer el alcance y definir las violaciones.
  • Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, informando los beneficios, riesgos y los elementos de seguridad
  • Es necesario identificar quien tiene la autoridad de tomar las decisiones en cada área ya que deben ser los más interesados en proteger los activos críticos de sus áreas.
  • Monitorear los procedimientos y operaciones de la organización, para que podamos ir actualizando las políticas.
  • Detallar de forma explícita el alcance de las políticas.
Ahora bien, todo esto no es tan fácil de implementar en una organización. Al momento de querer implementar las políticas de seguridad con la primera barrera que nos encontramos es con los encargados de áreas o altos ejecutivos que en la mayoría de los casos no están de acuerdo. El trabajo está en convencer a estas personas de la necesidad y los beneficios que se obtienen cuando se implementa buenas políticas de seguridad.

Para que la implementación de unas políticas de seguridad sean exitosas y aceptadas por todos es necesario es que procedamos a realizar una especie de estrategia de mercadeo para hacerles entender al personal las razones por la que se quieren implementar las políticas, los beneficios que podemos obtener y sobre todo involucrar a todo el personal. De igual manera estas políticas deberían ser integradas en las estrategias de la organización para que los altos ejecutivos reconozcan la importancia de estas y estén en las proyecciones de las organizaciones.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Instalando ModSecurity en Linux CentOS y Apache

Imagen
En la actualidad la mayor parte de los ataques son dirigidos hacia las aplicaciones web, es por esta razón que las organizaciones necesitan todo lo que les puede ayudar para hacer que sus sistemas y aplicaciones sean más seguras. Los Firewalls de aplicaciones Web se implementan para agregar otra capa de seguridad a nuestras aplicaciones que aumentan la seguridad, detienen y previenen los ataques antes de que estos lleguen a la aplicación. En un  Post  anterior hablaba de lo que era ModSecurity, que es un Firewall de aplicaciones web que nos ayuda a proteger nuestras aplicaciones web de diversos ataques. Hoy vamos a ver como lo instalamos en un Sistema con Linux CentOS y Apache. La instalación es bien sencilla y trae reglas preconfiguradas que nos ayudarán aumentar la seguridad de nuestras aplicaciones web. Seguimos los siguientes pasos como root.
Leer más

Mejores Prácticas de Seguridad para OpenSSH

Imagen
OpenSSH es una implementación del protocolo SSH, es recomendado para login remoto, hacer backups, transferencia de archivos vía scp o sftp y mucho más. SSH es perfecto para mantener la confidencialidad y la integridad de los datos intercambiados dentro de una red o sistema. Ahora bien, es necesario seguir algunos lineamientos para mejorar la seguridad de un servidor OpenSSH. Aquí les voy a enumerar las más importantes.
Leer más

Bienvenidos

Imagen
Saludos, Le Damos la Bienvenida a este nuevo Blog donde publicaremos noticias nuevas sobre el mundo del software libre, Tecnología, ademas de tutoriales. Hablaremos de Unix, Linux, Solaris, Virtualización y Mucho Mas....
Leer más