Pasos para implementar políticas de seguridad

007-pasos-implementacion-politicas-711x400

Las políticas de seguridad se implementan para reducir el riesgo de ser atacado o reducir el impacto en caso de ser atacados y deben estar adaptadas a cada empresa debido a que cada empresa tiene sus particularidades.

Puedes ver el video relacionado con este articulo AQUÍ

A grandes rasgos los pasos necesarios para realizar la implementación serían los siguientes:

  1. Identificar los riesgos a los que está expuesta la organización, realizando una evaluación de riesgos.
  2. Crear un borrador con las políticas de seguridad que deben ser aplicadas, basándose en estándares y guías internacionales.
  3. Involucrar y obtener el apoyo de la alta gerencia y notificar al resto del equipo que esta en proceso la implementación de las políticas.
  4. Establecer penalidades bien definidas y obtener su aprobación.
  5. Crear la versión definitiva de la política y hacerla pública.
  6. Asegurarse de que cada miembro del equipo de trabajo: lea, entienda y firme en señal de aceptación la política de seguridad.
  7. Entrenar adecuadamente a los empleados para que cumplan con las reglas establecidas en la política.
  8. Instalar las herramientas necesarias para garantizar la aplicación de las políticas.
  9. Monitorear el cumplimiento de la política y solicitar la aplicación de las sanciones correspondientes cuando sea necesario.

El apoyo de la alta gerencia es crítico para obtener el presupuesto y los recursos necesarios para implementar algunos de los elementos más difíciles como por ejemplo la política de contraseñas y el monitoreo de los empleados.

El apoyo de todos los demás empleados en la empresa es crítico porque una política de seguridad que sea funcional es y siempre debe ser un ejercicio colectivo.

Una política implementada sin el apoyo de los empleados puede ser vista como un desperdicio de recursos, un intento del departamento de IT para ganar control o simplemente ser visto como una cosa de IT que no tiene ninguna relevancia para el personal que no es de ese departamento.

Todos sabemos que la seguridad de la información es algo complejo, de gran alcance y mayormente lleno de aspectos técnicos, así que es muy importante que durante el proceso de venta de las políticas de seguridad hacia la alta gerencia y a los demás empleados, se tenga siempre presente la regla de oro: conocer a la audiencia.

El personal de seguridad de la información es contratado para entender y aplicar la seguridad de información, los contadores están para preparar y llevar las cuentas contables, la gente de finanzas está para administrar las inversiones y los directores están para dirigir la empresa, por lo tanto es importante entender que los otros empleados no tienen necesidad de entender los detalles técnicos relacionados con la seguridad de la información, así que se debe evitar a toda costa las presentaciones cargadas con alto contenido técnico, si los empleados y la alta gerencia no entienden lo que les tratas de explicar, es muy probable que no quieran apoyarlo.

Por lo general los altos gerentes tienden a ser personas muy ocupadas así que es recomendable que las presentaciones que estén dirigidas a ellos sean breves y vayan directo al grano, desde el comienzo hay que dejarles bien claro que la política todavía no existe, pero que es importante contar con su apoyo para poder implementarla.

Tienes que tener en cuenta que los directores y altos gerentes siempre se enfocan en el costo de las cosas, así que tienes que estar preparado para poder responder a las preguntas relacionadas con el costo de implementar la política.

Se debe mantener las presentaciones lo menos técnica posible, pero siempre debes tener tu información técnica disponible como respaldo en caso de que te pregunten detalles técnicos.

En todo momento la presentación debe ofrecer una visión real de la situación y es aceptable enfatizar en las vulnerabilidades, posibles amenazas y los riesgos reales que resultan de la combinación de esas vulnerabilidades con las amenazas, si es necesario puedes asustarlos un poco, eso no le hace daño a nadie, al fin y al cabo son ellos los que deben responder legalmente por la seguridad de los recursos de información de la empresa.

También tienes que tener presente que muy raras veces tienes una segunda oportunidad de realizar una presentación a la alta gerencia así que tienes que estar preparado para obtener la aprobación en el primer intento.

Ahora se tiene que convencer a los demás empleados de la necesidad de aplicar la política de seguridad y de los beneficios que van a obtener con su implementación. Aquí se debe tener en cuenta otra regla de oro: Hay que hablarles!

Es bueno contar con la aprobación de la alta gerencia pero de ninguna forma se puede tomar esa aprobación como una especie de orden o mandato al resto de los empleados.

Para que la implementación sea exitosa los empleados deben apoyarla activamente, esto solo es posible si entienden los riesgos potenciales, así que debes lograr que ellos comiencen a pensar de forma segura, debes hacerlos velar por el cumplimiento de la política en pro del bien común y el bienestar general, los empleados deben querer la política para hacer de la organización un lugar más seguro para todos.

En esta fase debes estar preparado para salir de tu oficina y realizar presentaciones en todas las áreas de la empresa, recuerda que las presentaciones deben ser cortas y sin detalles técnicos, pero deben resaltar las ventajas de aplicar las políticas de seguridad y evitar en todo momento tratar de imponer a la fuerza las políticas.

Las políticas de seguridad, son elementos vivos dentro de la organización, por lo tanto estos pasos deben ser repetidos constantemente para ir mejorando las políticas con el paso del tiempo.

Capitulos:

  1. Introducción al curso, contenido y avance del primer módulo ( Video ).
  2. Concepto de Seguridad de la Información ( Video ) y ( Articulo ).
  3. Amenazas y Controles de Seguridad ( Video  y  Articulo ).
  4. Introducción a las políticas de seguridad ( Video y Articulo ).
  5. Estructura y contenido de las políticas de seguridad (Video y Articulo).
  6. Tipos y ejemplos de políticas de seguridad (Video y Articulo).
  7. Pasos para implementar políticas de seguridad (Video y Articulo)
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s