6 mitos acerca de Políticas de Seguridad
Como mitos se entienden las teorías e ideas generalizadas que a veces se toman como verdades absolutas, las cuales "no se pueden" debatir. Pero independientemente del tipo de usuario es importante estar informado de los principales aspectos de la Seguridad Informática.
 
Otros documentos:
Mitos de Políticas de Seguridad
Auditorías bajo demanda (I)
Auditorías bajo demanda (II)
Retorno de la inversión
Incidentes por virus
Combatiendo SPAM
Inicio > Documentos > Mitos de Políticas de Seguridad
 
Todos hemos escuchado de algún conocido este tipo de afirmaciones, las cuales sabemos por experiencia que son un error. Esta es una pequeña lista con los mitos más conocidos de la seguridad informática.
 
  • Mito 1: Las políticas de seguridad son la base de un efectivo esfuerzo de Seguridad Informática.
    • Ya se sabe que esto es una herejía. Todos creemos saber y hablamos acerca de que las políticas son la base de todo esfuerzo en seguridad. No totalmente. El desarrollo de políticas de seguridad es el segundo paso. La primera prioridad es el desarrollo de una metodología para cuantificar y evaluar el riesgo. Se necesita saber qué se está protegiendo y cuál es su valor antes de decidir cómo protegerlo.

      El análisis de riesgo es la solución. Este implica mucho trabajo, pero cuando se termina, sabemos:
      ¿Qué son los activos de información de la organización?
      ¿Cuál información es esencial para mantener las luces encendidas y la generación de ingresos?
      ¿De qué clase de riesgos debemos cuidarnos?
  • Mito 2: La Seguridad de la Información es un tópico netamente técnico.
    • ¿Las políticas de encripción de su empresa declaran que la data debe ser encriptada con whizbang 4.3 y claves de 128 bits?. Si la respuesta es sí, es hora de dar un paso atrás y revisar qué son las políticas. Repitan todas las noches antes de dormir: las políticas no son manuales técnicos.

      Las políticas de seguridad de las organizaciones son declaraciones a través de las cuales se plantea la dirección de la organización para mantener la información segura. Las políticas sólo dictan el objetivo que se desea conseguir. Por ejemplo y tomando el caso de la encripción de la información, una política en este sentido diría:

      "Siempre que información clasificada como confidencial o altamente confidencial sea almacenada en una computadora o transmitida a través de redes públicas, debe ser protegida usando hardware o software de encripción aprobado por el Departamento de Seguridad de Información de la Corporación".
  • Mito 3: Se necesitan muchos niveles de documentación para soportar las Políticas de Seguridad.
    • Sólo por el hecho de que dediquemos mucho tiempo y esfuerzo en la escritura de políticas, no pensemos que nuestros compañeros de trabajo lo harán. Una vez que las políticas estén listas, escriba un conjunto de estándares para explicar cómo la gente y los departamentos deben cumplir las políticas. Sigamos con la encripción y veamos un estándar para laptops:
      Toda laptop debe ser configurado para automáticamente encriptar las carpetas de información corporativa, usando encripción abcd.
      Los usuarios deben almacenar todos los documentos de trabajo en la porción del disco que está encriptada.

      El uso conciso de estándares provee muchos beneficios importantes:
      Se pueden adoptar nuevas tecnologías sin modificar las políticas.
      Las diferencias en cómo distintos departamentos hacen las cosas pueden ser enmarcadas.
      Se reducen los tiempos de implementación.
  • Mito 4: La reacción al nuevo paradigma.
    • Una vez que las políticas están listas y son anunciadas y distribuidas, observamos en nuestro buzón de correo 1.375 nuevos correos de compañeros de trabajo, confundidos, molestos y ansiosos que percibe su "obra maestra" como un "desastre maestro". Todos lo ven como trabajo adicional.

      El desarrollo de políticas es trabajo de un grupo interdisciplinario que debe progresivamente ir introduciendo sobre su personal los nuevos vientos de cambio para que el impacto al momento de la aplicación no sea tan dramático.
  • Mito 5: El temor es un muy buen vendedor.
    • Construir el soporte y la compatibilidad con las políticas es difícil. Es muy tentador utilizar el temor como arma de ventas. Mientras advertimos a gerentes y compañeros de trabajo sobre las consecuencias de "bajar la guardia", es conveniente hacer sonar todas las alarmas cada vez que un nuevo virus entra en acción o una nueva vulnerabilidad es conseguida.

      Mantengamos las conversaciones de seguridad calmadas y bien enfocadas. Las claves para conseguir que se cumplan las políticas son convencer a la gente de que la información es el principal activo a proteger; escribir políticas que consigan un balance entre seguridad y necesidades del negocio y dar soporte público a dichas políticas desde las esferas gerenciales de la organización.
  • Mito 6: Políticas escritas. Trabajo finalizado.
    • Error. Si las personas no saben acerca de ellas, su función y su aplicación, las mismas pueden ser tan útiles como un jetski en el desierto del Sahara.
 
Inicio..|..Servicios..|..Soluciones..|..Productos..|..Empresa..|..Soporte..|..Privacidad..|..Contacto
© - TechBiz, S.A. - RUC 1323461-1-611123 DV 54