Politicas de seguridad

Las políticas de seguridad son un conjunto de reglas, normas y protocolos de actuación que se
encargan de velar por la seguridad informática de la empresa. Se trata de una especie de plan
realizado para combatir todos los riesgos a los que está expuesta la empresa en el mundo digital. De
esta forma mantendremos nuestra organización alejada de cualquier ataque externo peligroso.
Estas políticas deben definir cuáles son los aspectos de la empresas más importantes que deben
estar bajo control. De esta forma se detallan una serie de procesos internos de la empresa que se
deben realizar de forma periódica para no mantenerlos vulnerables. Las políticas de seguridad no
solo van destinadas a los equipos técnicos e informáticos de una empresa, sino que van
dirigidos a todos los puestos de trabajo que sean susceptibles de producir algún error o
descuido de seguridad.

También es necesario establecer cuáles son los mecanismos de seguridad que vamos a
implantar en nuestra empresa. Estos tendrán que plantearse en tres ámbitos de actuación
diferentes:

 Prevención: Recuerda que más vale prevenir que curar, por lo que esta primera fase
será imprescindible para no tener problemas.
 Detección: En el caso de tener alguna amenaza será necesario saber cómo detectar
y realizar diagnósticos adecuados sobre los errores recibidos.
 Actuación: Por último, en el caso de que se produzca alguna inviolabilidad de
nuestro sistema informático es necesario establecer protocolos de actuación que nos
permitan solucionar cualquier amenaza de la forma más rápida y efectiva posible.

Las políticas de información establecen un enfoque fundamental para la

seguridad de la información por medio de la documentación de medidas,
procedimientos y comportamientos esperados. Todo esto forma parte del objetivo
final: la protección de datos.

¿Cómo elaborar una política de seguridad?

Especificar el objetivo de la política

Determinar su alcance

Asignar responsabilidades

Delimitar excepciones y sanciones

Establecer las normas

¿Cuáles son las políticas de ciberseguridad?

Entrando más en detalle, el cuerpo normativo de seguridad de la información de
una organización consta principalmente de las siguientes políticas y
procedimientos:

 Buenas prácticas
El documento de buenas prácticas de Seguridad de la Información —puede ser un
documento específico, cláusulas anexas a los contratos de los empleados, etc.—
debería recoger, entre otras cosas, el uso aceptable de los sistemas y la
información por parte del personal, las directrices para mantener el puesto de
trabajo despejado, el bloqueo de equipo desatendido, la protección de
contraseñas…
 Procedimiento de control de accesos
Recoge las medidas técnicas y organizativas relacionadas con los permisos de
acceso a las instalaciones y sistemas que albergan la información de la
organización, así como el acceso a la propia información. Los controles de acceso
pueden ser físicos o lógicos y algunos ejemplos de ellos son:
 Controles de acceso físico
Mecanismos y sistemas implementados para controlar el acceso de personas a las
instalaciones de la organización como, por ejemplo, tornos, barreras, cámaras,
alarmas, sistemas de apertura de puertas biométricos o por tarjeta, etc. Otros
ejemplos de controles de acceso físico son también: albergar la información en
armarios cerrados con llave y, en general, cualquier medio físico que dificulte o no
permita el acceso no autorizado a la información.
 Controles de acceso lógico
Sistemas implementados para controlar el acceso de los usuarios a los distintos
sistemas que albergan la información o el acceso a la propia información.
Ejemplos de controles de acceso lógico son la implementación de un NAC (control
de acceso de equipos y usuarios a la red), la configuración de permisos de lectura
y escritura sobre los propios archivos de información, sistemas de login en los
distintos sistemas, autorizaciones de acceso remoto de los usuarios a la red a
través de una VPN, etc.
 Procedimiento de gestión de usuarios
Recoge las instrucciones precisas a realizar para el alta, cambio de puesto de
trabajo y baja (voluntaria o cese) de los usuarios en los distintos sistemas de
información, así como para la concesión de los permisos de acceso tanto físicos
como lógicos que deberían tener a las instalaciones, sistemas y a la propia
información.

Este procedimiento se debería basar y recoger una definición clara y concisa de

los diferentes roles y responsabilidades de los usuarios, es decir, en función de los
roles y responsabilidades del personal se le tendrían que conceder diferentes
accesos y permisos, los mínimos y necesarios para el desempeño de su trabajo.

 Procedimiento de clasificación y tratamiento de la información

Incluye las instrucciones acerca de cómo clasificar la información de acuerdo a
su valor, requisitos legales, sensibilidad y criticidad para la organización y las
medidas de protección y manipulación/tratamiento de la misma acorde a su
clasificación.
 Procedimiento de gestión de incidentes de seguridad de la información

Instrucciones para la notificación de incidentes, de respuesta a los mismos con las

acciones a realizar al ser detectados, etc.

 Otros procedimientos

Gestión de activos de información, copias de seguridad de la información,

seguridad de la red, anti-malware, registro y supervisión de eventos, actualización
y parcheo de sistemas y equipos…

Ella incluye informaciones como:

 Política de contraseñas y acceso a los dispositivos corporativos;

 Normas sobre el uso de internet;
 Reglas sobre la instalación de softwares;
 Buenas prácticas de uso del correo electrónico corporativo;
 Rutinas de backup;
 Frecuencia de auditorías.

Los procedimientos de seguridad en la información son todos aquellos que

muestran como implementar las políticas, estándares, mejores prácticas y guías
enfocadas a garantizar la seguridad en la información, son transversales a las
tecnologías, áreas o personas que se involucren. Su objetivo es delinear los pasos
que deben ser seguidos por una dependencia para implementar la seguridad. El
diseño de cada procedimiento debe estar planteado de modo que permita
implementar uno o varios controles de seguridad informática, y que tenga
aplicabilidad en las distintas áreas o procesos de una organización. Estos son
algunos ejemplos de procedimientos implementables:
1. Para recursos humanos:
1. Procedimiento de capacitación y sensibilización del personal
2. Procedimiento de ingreso y desvinculación del personal
2. Para gestión de activos:
1. Procedimiento de identificación y clasificación de activos
3. Para control de acceso
1. Procedimiento de gestión de usuarios y contraseñas
4. Para seguridad física y del entorno:
1. Procedimiento de control de acceso físico
2. Procedimiento de retiro de activos
5. Para seguridad de las operaciones:
1. Procedimiento de gestión de cambios
2. Procedimiento de separación de ambientes
6. Para seguridad de las comunicaciones:
1. Procedimiento de aseguramiento de servicios en la red
7. Para relaciones con los proveedores:
1. Procedimiento para el tratamiento de la seguridad en los
acuerdos con los proveedores
8. Para adquisición, desarrollo y mantenimiento de sistemas de
información:
1. Procedimiento adquisición, desarrollo y mantenimiento de
software
2. Procedimiento de control software
9. Para gestión de incidentes de seguridad de la información:
1. Procedimiento de gestión de incidentes de seguridad de la
información
10.Para aspectos de seguridad de la información de la gestión de
continuidad de negocio:
1. Procedimiento de gestión de la continuidad de negocio
En qué consiste un plan de seguridad informática
1.- Evaluar el plan de seguridad informática

Como ante cualquier estrategia bien hecha, lo primero es evaluar el riesgo

real. Así, es importante comprobar la estabilidad del firewall, la estructura de
seguridad informática y los procesos (internos y externos) de manejo de
datos. Según el informe sobre ciber riesgos de Willis Towers Watson, Cyber
Claims Brief , la clave estaría también en evaluar los riesgos en el capital
humano y la cultura corporativa.

“La baja implicación de los trabajadores en la compañía se relaciona

directamente con el aumento del ciber riesgo. La gente que se siente menos
identificada con su empleo y/o su lugar de trabajo tiende a ser menos
cuidadosa”, explica Dagostino. “Una investigación bien hecha puede desvelar
aspectos de la cultura corporativa que incrementan el potencial de los ciber
incidentes”.

“La gente que se siente menos identificada con su empleo y/o

su lugar de trabajo tiende a ser menos cuidadosa”

Otro aspecto central de la fase de evaluación es constatar la velocidad de

respuesta ante un ataque. Es importante tener claro qué hacer cuando se
pone en riesgo la ciber seguridad de la empresa. En este proceso, se hace
necesaria la participación de expertos que señalen los puntos débiles del plan
de seguridad y analicen los riesgos.

2.- La protección (no solo tecnológica)

Las herramientas y métodos informáticos son importantes en una estrategia de

ciber seguridad. Sin embargo, son solo la primera capa de protección. La
implicación de los trabajadores y la gestión del riesgo del capital son tanto o
más importantes.

“Los trabajadores necesitan preparación y formación para manejar las

herramientas de ciber seguridad y conocer los riesgos a los que ellos mismos
pueden exponer a la compañía”, indica el experto de Willis Towers Watson.
De esta forma, las compañías deben centrarse en:

 Identificar las lagunas de conocimiento de sus empleados en términos

de ciber seguridad.
 Construir un capital humano que esté más comprometido con el plan
de seguridad informática de la compañía.

“Incluso los trabajadores más preparados pueden cometer

errores. El riesgo nunca se podrá eliminar”

La tercera pata de una buena estrategia de ciber protección es la gestión del

riesgo del capital. “Incluso los trabajadores más preparados pueden cometer
errores. El riesgo nunca se podrá eliminar. Por eso, se debe proteger el
capital que se puede poner en riesgo tras un ciber ataque”, señala Anthony
Dagostino. ¿Y cómo?

 Desarrollo e implantación de un ciber seguro. Existen diferentes

coberturas en el mercado y programas de transferencia del riesgo a
medida.
 Estudiar cómo una aseguradora cautiva puede ser útil para encontrar el
equilibrio entre retener y transferir el riesgo.

3.- Capacidad de respuesta y recuperación

Tras un ciber ataque, cada segundo que pasa tiene un coste. La reputación, la
fidelidad de los clientes, las operaciones, el negocio y los costes de
responsabilidad se ven afectados. “La empresa tiene que estar preparada para
recuperarse de estos costes, analizar qué ha pasado y desarrollar nuevas
estrategias de defensa”, puntualiza el experto de Willis Towers Watson.

 Coordinar la respuesta. Los planes de respuesta tienen que contar con

fondos y personal asignados. Incluso se pueden contratar recursos
externos para mejorar la capacidad de respuesta.
 Defenderse ante las reclamaciones. Tras un incidente, probablemente
lleguen demandas y reclamaciones. Contar con un equipo legal es
esencial para minimizar su impacto.
  Contabilidad forense. Un equipo de contables forenses y expertos en
fraude puede cuantificar los riesgos previos al ciber ataque y las
pérdidas potenciales tras el incidente.
 Minimizar la interrupción de la actividad. Se debe trabajar en todos
los departamentos para que el negocio se vea interrumpido lo mínimo
posible tras un ciber ataque.

“El ciber riesgo está en constante evolución. Tu habilidad para gestionarlo

también debería estarlo. No todo es luchar contra los hackers. Se trata
también de tus trabajadores y de los millones de dólares que están en juego en
cada ataque”, concluye Anthony Dagostino.

Pasos para elaborar un plan de seguridad informática

Ni siquiera una pyme escapa a la posibilidad de sufrir un ciberataque hoy en

día. Por eso, cualquier compañía ha de contar con su propio plan de
seguridad informática para poder tomar las medidas necesarias ante posibles
vulnerabilidades.

Y no hace falta que éste sea demasiado extenso. Bastará con que ayude a
proteger los datos que maneja la compañía, ajustándose a la Ley de
Protección de Datos vigente.

Ese plan de seguridad informática debe tener por escrito varios pasos que
cada empresa debe seguir:

Identificación de los activos de la organización

El primer paso es conocer qué datos maneja una compañía para saber qué
información exacta debe proteger ante posibles ciberataques. Habrá que
analizar para eso todos los activos de la compañía, desde el personal hasta el
hardware, el software, el sistema informático, los programas informáticos, los
servidores, los servicios externos de alojamiento web, etc.
Evaluación de riesgos y priorización de amenazas

El siguiente paso es evaluar qué podría poner en peligro esa información,

ya sea la acción de un hacker, un virus informático, un daño físico, un error
humano… Paralelamente, hay que calibrar el alcance del daño que podría
causar un incidente así.

Acciones a llevar a cabo para la protección

Cada empresa deberá decidir de qué amenazas le interesa protegerse o a

cuáles dedicar una mayor atención. Según la compañía, le puede interesar
más proteger los datos de sus servidores externos que los de los equipos
informáticos individuales con los que trabajan sus empleados, por ejemplo.
En cada caso, la empresa tendrá que establecer cómo proteger esa
información en cada caso, tomando las precauciones adecuadas.

Mantenimiento del plan de seguridad informática

Una vez se ha realizado por escrito el plan de seguridad informática de la

compañía, debe ser comunicado a todo el personal para que pueda ser
adaptado e implantado dentro de las políticas y del día a día de la empresa.
Una vez todo el mundo conozca el plan, habrá que establecer un calendario
para ponerlo en marcha.

Los ciber riesgos van cambiando constantemente, por lo que

el plan de seguridad informática también debe ser revisado
periódicamente.

Pero ahí no acaba la misión, puesto que los ciber riesgos van cambiando
constantemente, lo que significa que habrá que revisar periódicamente el
plan de seguridad informática, así como asegurarse de que las medidas
están funcionando según lo previsto o es necesario establecer correcciones.

Riesgos de no tener un plan de seguridad informático

Antes decíamos que la mayoría de ciberataques se producen por errores
humanos y también que muchas veces se infravaloran los efectos de este tipo
de incidentes. Ese desconocimiento de las consecuencias y la falta de celo en
el día a día de la actividad de los empleados puede generar importantes
riesgos que, como también hemos dicho, pueden generar un importante coste
económico. ¿Qué puede pasar?

 Un virus informático se cuela por cualquier recoveco y causa

verdaderos destrozos. Es un error trabajar sin antivirus en los equipos
de la empresa.
 Puede perderse información importante si no se realizan copias de
seguridad. Un apagón de la red eléctrica es más frecuente de lo que
pensamos y sus consecuencias pueden ser nefastas.
 La falta de formación a los empleados sobre los correos electrónicos
que pueden o no abrir acaba pagándose cara. Deben saber que los e-
mails sospechosos no han de abrirse, como tampoco los mensajes de
ese tipo en redes sociales.
 Las memorias USB son una gran fuente de contagio, por lo que se
recomienda el traslado de información a través de una red privada u
otro tipo de sitios seguros.

Para lograr que esto sea así, es clave desarrollar e implementar un plan
estratégico de seguridad de la información, es decir, definir cuáles
van a ser las acciones a ejecutar para proteger adecuadamente los
activos de información de la organización contra los riesgos a los que
están expuestos, por ejemplo, pérdida, robo, alteración o daño,
destrucción física, eliminación o hackeo por parte de ciberdelincuentes.