¿Qué es la política de seguridad?

Política de seguridad de la empresa

Las políticas de seguridad informática son fundamentales para el éxito de cualquier organización. Son la columna vertebral de todos los procedimientos y deben estar en consonancia con la misión principal de la empresa y su compromiso con la seguridad. Definen qué personal tiene la responsabilidad de qué información dentro de la empresa. Las políticas de seguridad informática conforman la preparación y la respuesta de las organizaciones a los incidentes de seguridad. La seguridad de la información se basa en políticas bien documentadas que son reconocidas y seguidas por todos los miembros de una organización.

Según el SANS Institute, la política de seguridad de una organización establece la norma sobre el modo en que se protegerá la información y los sistemas críticos de la empresa frente a las amenazas internas y externas. Es importante que estas políticas y procedimientos se actualicen en relación con su evaluación anual de riesgos de seguridad.

Las políticas de seguridad informática deben incluir siempre el propósito, el alcance, la política y los procedimientos, si no figuran en un documento separado. Deben describir las normas de comportamiento de los usuarios y del personal de TI, al tiempo que identifican las consecuencias de su incumplimiento. Las políticas deben definir los principales riesgos dentro de la organización y proporcionar directrices sobre cómo reducir estos riesgos. Las políticas deben personalizarse en función de los activos valiosos y los mayores riesgos de la organización.

Estructura de la política de seguridad de la información

Las políticas de seguridad definen los objetivos y las limitaciones del programa de seguridad. Las políticas se crean a varios niveles, desde la política de la organización o de la empresa hasta las restricciones operativas específicas (por ejemplo, el acceso remoto). En general, las políticas proporcionan respuestas a las preguntas “qué” y “por qué” sin tratar el “cómo”. Las políticas normalmente se establecen en términos que son independientes de la tecnología.

Nota 2: Las reglas pueden establecerse a niveles muy altos (por ejemplo, una política organizativa define el comportamiento aceptable de los empleados en el desempeño de su misión/funciones de negocio) o a niveles muy bajos (por ejemplo, una política de sistema operativo que define el comportamiento aceptable de los procesos en ejecución y el uso de los recursos por parte de esos procesos).

Nota 2: Las reglas pueden establecerse a niveles muy altos (por ejemplo, una política organizativa define el comportamiento aceptable de los empleados en el desempeño de su misión/funciones empresariales) o a niveles muy bajos (por ejemplo, una política de sistema operativo que define el comportamiento aceptable de los procesos en ejecución y el uso de los recursos por parte de esos procesos).

Política de seguridad de la red

Conjunto de medidas (por ejemplo, cifrado de tráfico, filtrado de tráfico, redireccionamiento de tráfico) definidas por un punto de decisión de política de seguridad (por ejemplo, un controlador SDN) y aplicadas por un conjunto de componentes (por ejemplo, routers, cortafuegos) para proteger una infraestructura de red y los dispositivos (por ejemplo, equipos en las instalaciones del cliente, terminales móviles) conectados a ella contra los ataques.

Una política de seguridad es un documento genérico que describe las normas de acceso a la red informática. Determina cómo se establecen las políticas y parte de la arquitectura básica del entorno de seguridad de la empresa.

es un documento que establece el marco de la seguridad de los sistemas de información de la empresa. A través de este marco, un equipo de proyecto de seguridad puede trazar objetivos, planes, reglas y procedimientos formales inteligibles necesarios para gestionar y proteger el sistema de información sensible de la empresa frente a diferentes ataques.

Un conjunto de reglas de actuación, en el que también se incluyen las expectativas y disposiciones de accesibilidad del ordenador para los usuarios y los administradores. Merece la pena confeccionarlas antes de poner en marcha sistemas de redes informáticas de tamaño medio o grande.

Política de seguridad de la organización

Este artículo necesita citas adicionales para su verificación. Por favor, ayude a mejorar este artículo añadiendo citas de fuentes fiables. El material sin fuentes puede ser cuestionado y eliminado.Buscar fuentes:  “Política de seguridad” – noticias – periódicos – libros – scholar – JSTOR (diciembre de 2009) (Aprende cómo y cuándo eliminar este mensaje de la plantilla)

La política de seguridad es una definición de lo que significa ser seguro para un sistema, organización u otra entidad. En el caso de una organización, aborda las restricciones de comportamiento de sus miembros, así como las restricciones impuestas a los adversarios por mecanismos como puertas, cerraduras, llaves y muros. En el caso de los sistemas, la política de seguridad aborda las restricciones de las funciones y el flujo entre ellas, las restricciones de acceso de los sistemas externos y los adversarios, incluidos los programas y el acceso de las personas a los datos.

Si es importante estar seguro, entonces es importante asegurarse de que toda la política de seguridad se aplica mediante mecanismos que son fuertes. Existen metodologías organizadas y estrategias de evaluación de riesgos para garantizar la integridad de las políticas de seguridad y asegurar que se apliquen completamente. En sistemas complejos, como los sistemas de información, las políticas pueden descomponerse en subpolíticas para facilitar la asignación de mecanismos de seguridad para hacer cumplir las subpolíticas. Sin embargo, esta práctica tiene trampas. Es demasiado fácil ir directamente a las subpolíticas, que son esencialmente las reglas de funcionamiento y prescindir de la política de nivel superior. Eso da la falsa sensación de que las normas de funcionamiento abordan alguna definición general de seguridad, cuando no es así. Dado que es tan difícil pensar con claridad y de forma completa sobre la seguridad, las reglas de funcionamiento enunciadas como “subpolíticas” sin “superpolítica” suelen convertirse en reglas farragosas que no consiguen aplicar nada de forma completa. En consecuencia, una política de seguridad de alto nivel es esencial para cualquier esquema de seguridad serio y las subpolíticas y reglas de operación no tienen sentido sin ella[1].