3.4.3 Protección Legal

La seguridad informática es en sí mismo un concepto amplio y diverso que abarca numerosas derivadas. La seguridad se puede centrar en la prevención de ataques y situaciones de riesgo para los sistemas de una organización o hacerlo más en los mecanismos de mitigación de los efectos que un ataque pueda ocasionarle a una empresa o particular. Si tuviéramos que definir qué son las políticas de seguridad informática podríamos empezar negando aquello que no son, es decir, afirmar que no son una descripción técnica de mecanismos ni una suerte de código penal que sancione, y al mismo tiempo conduzca, la labor de los empleados. Por el contrario, sí que tienen que ver con una descripción amplia, basada en objetivos globales, de los bienes y valores que deseamos proteger y la motivación de dicho deseo.
Políticas de Seguridad Informática
Así, ante la cuestión planteada, ¿Qué son las políticas de seguridad informática?, se han manejado tradicionalmente distintas definiciones y todas ellas tienen en común su carácter restrictivo, en la medida en que limitan la actuación de los empleados durante la operación general del sistema y también su alto nivel de abstracción, de modo que vienen a ser más que nada una declaración de intenciones, un asentamiento de las bases que deben definir y delimitar las responsabilidades en las distintas actuaciones que se requerirán en caso de amenaza o ataque. En cualquier caso, estas políticas van a tener su concreción en toda una serie de normas, protocolos, reglamentos, convenciones… en las que, principalmente, se fijará el modo de comunicación con los usuarios y también entre los empleados.
¿Cómo debe ser una Política de Seguridad Informática eficaz?
Antes de definir qué son las políticas de seguridad informática, hay que saber que para ser eficaces deben reunir una serie de características relacionadas con su holismo, es decir, aspirar a cubrir todos los aspectos, su capacidad de adaptación a las necesidades de cada organización y a los recursos de que se dispone y, por último, ser atemporal, en el sentido de que debe ser susceptible de ser aplicada en cualquier momento. Además, cualquier política de seguridad debe incorporar y contemplar elementos claves como la integridad de los programas, su disponibilidad, la privacidad de las operaciones y los archivos y, finalmente, ejercer un control eficaz y efectivo, garantizar la autenticidad de las comunicaciones y los protocolos y ser útil, pues ninguna medida coercitiva se justifica a sí misma si no es en virtud del principio de utilidad.
Aplicación práctica en las empresas
También podemos llegar a saber qué son las políticas de seguridad informáticas si echamos un vistazo a alguna de sus aplicaciones prácticas más usuales. Así, es habitual que las grandes empresas exigen a sus empleados realizar respaldos de la información en un período de tiempo variable pero generalmente corto, no descargar archivos de procedencia desconocida o en páginas web que no ofrezcan garantías suficientes, no abrir ficheros adjuntos de remitentes desconocidos o de mensajes no solicitados, no visitar sitios de contenido ilícito, no proporcionar datos personales y no utilizar la misma contraseña para diferentes páginas web o compartirlas con compañeros de trabajo.
Otras cuestiones concretas y que pudieran parecer relativamente obvias son la prohibición de una excesiva navegación por Internet con fines más allá del puro trabajo, la descarga ilegal de software licenciado, la transmisión a terceros de información confidencial de la empresa o la inutilización de sistemas o equipos informáticos, es decir, cuestiones muy básicas, de sentido común, pero que no siempre se dan.
La creación de las políticas conlleva la creación de reglamentos de seguridad.
Las políticas de seguridad deben considerar:
- El alcance de las mismas, cubriendo todos los aspectos relacionados.
- Objetivos y descripción de los elementos involucrados, protegiendo todos los niveles: físico, humano, lógico y por supuesto logístico.
- Responsabilidades de los servicios y recursos informáticos implicados.
- Requerimientos mínimos de seguridad, incluyendo la estrategia a seguir en caso de fallo.
- Definición de violaciones y sanciones.
- Responsabilidades de los usuarios y sus accesos.
Las políticas de seguridad informática deben utilizar un lenguaje sencillo, sin tecnicismos y ambigüedades, que puedan ser entendidos por todos. Deben ser actualizadas periódicamente, por ejemplo en cambios organizacionales como son el aumento de personal, desarrollo de nuevos negocios, entre otros.
Los parámetros para establecer las políticas son:
- Analizar los riesgos a nivel informático, incluyendo hardware, software, los propios usuarios y la interacción entre todos.
- Reunirse con los departamentos de los distintos recursos.
- Comunicar a todo el personal afectado del desarrollo de las políticas.
- Identificar los responsables de cada departamento en la toma de decisiones.
- Revisar periódicamente los procedimientos y operaciones de la empresa.
- Detallar el alcance de las políticas, basándonos en los recursos que deben ser protegidos y el valor de los mismos.
Es básico, para que las políticas de seguridad surtan efecto en una organización, que dichas políticas sean aceptadas y para ello deben integrarse en el modelo de negocio de la empresa.
Por otro lado, una buena política de seguridad informática debe atender a un análisis de riesgos informáticos que permitirá, al mismo tiempo, involucrar a las áreas que poseen los recursos y la experiencia, así como comunicar a todo el personal los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
Principios de las Políticas de Seguridad Informática
Insistir en que más allá de saber qué son las políticas de seguridad informática, lo verdaderamente relevante es conocer cuáles son los principios que rigen estas políticas y que terminan haciéndolas eficaces. Así, es esencial fijar un principio de responsabilidad individual, unas reglas claras de autorización (quién y de qué forma puede emplear los recursos), partir del mínimo privilegio (cada uno puede usar únicamente lo imprescindible para llevar a cabo su trabajo), la separación de las obligaciones, en el sentido de que las tareas deben estar divididas entre las diferentes personas relacionadas con la actividad o función reduciendo las posibilidades de sufrir un ataque; el de auditoría, que remarca que todas las actividades y los recursos requeridos deben ser monitoreados desde el inicio y hasta finalizado el proceso, y el de redundancia o énfasis en la realización de copias de seguridad creadas cada poco tiempo y almacenadas en lugares distintos.
* Marco Legal y Jurídico de la Seguridad Informática
El valor de las políticas de seguridad informática SeguroDe. segurode.com. (01 de septiembre de 2017). ¿QUÉ SON LAS POLÍTICAS DE SEGURIDAD INFORMÁTICAS?.
IEDGE Business School. iedge.eu. (2020). IEDGE - Políticas de Seguridad Informática.



