Seguridad Para Pymes

Política de Seguridad

Una Política de Seguridad es "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán"

Es un documento de alcance global, es decir, su validez debe mantenerse para cualquier integrante de la organización. Es una descripción general de los fundamentos de las medidas de seguridad, qué se desea proteger y cómo se lo desea proteger.

Entre otras cosas, una Política de Seguridad puede incluir:

 objetivos y alcance

 clasificación de la información

 operaciones permitidas y denegadas con la información

 acuerdos y contratos

Se recomienda que la extensión de este documento no supere las tres páginas. No se deben incluir en una Política de Seguridad detalles técnicos de los procedimientos de uso, ni reglas y/o estándares que se apliquen sólo a algunas áreas de la empresa.

Al ser de alcance global, las Políticas de Seguridad deben ser redactadas con la mayor validez posible en el tiempo, con lenguaje comprensible por cualquier individuo y presentadas con la mayor seriedad y compromiso que la empresa pueda hacerlo.

Es una buena práctica disponer que todos los empleados de la empresa firmen una constancia de haber leído las Políticas de Seguridad, ya que es una paso más hacia el conocimiento explícito de las mismas por parte de todos los integrantes de la organización.

Normas y estándares

Los estándares son normas que impactan en la operatoria diaria con los recursos de la empresa y el uso de información. Pueden ser tanto internos como externos.

Entre los estándares internos más frecuentes se encuentran:

 Disposición de hardware por parte de los empleados

 Software permitido (y prohibido) en el puesto de trabajo

 Políticas de contraseñas y cifrado de información

Los estándares externos pueden ser reglamentaciones o legislaciones externas a la empresa.

Procedimientos

Los procedimientos son acciones documentadas que describen paso a paso las tareas a realizar para cumplir con un objetivo. Son útiles para homogeneizar las tareas que involucren la utilización de información o recursos informáticos de la empresa, y minimizar los riesgos que afecten a la seguridad de la misma.

Algunos ejemplos de los procedimientos que pueden utilizarse en una PyME son:

 Cómo configurar una cuenta de correo

 Cómo conectar una VPN y acceder externamente

 Cómo realizar el backup de la información

Clasificación de la información

En un programa de seguridad es necesario identificar la criticidad de la información. Esto permite a la empresa determinar cuántos recursos (tanto económicos, humanos, como de otra índole) serán asignados a la protección de dicha información.

Clasificar la información de la organización es un componente clave para la valorización de la misma, tanto por los criterios de asignación de recursos, antes mencionados, como para la optimización de las medidas de control a implementar para cada tipo de información. Cuánto más valiosa sea cierta información para la empresa, más recursos será posible asignar para su protección.

Previo a la clasificación de la información, es necesario realizar un relevamiento de la misma, identificando todo dato de valor para la organización. En dicha etapa es indispensable la participación de todos los departamentos, específicamente aquellos individuos con responsabilidades de management sobre las áreas. De esta forma, se minimiza la posibilidad de omisión de algún tipo de información valiosa y que necesite protección.

Niveles de clasificación

Aunque los criterios para catalogar la información pueden ser más complejos y extensos, en una empresa del tipo PyME se recomienda clasificarla en tres niveles:

1. Confidencial: Información sólo para uso interno y de carácter restrictivo. Es información valiosa que hace a la empresa competitiva. Su divulgación sin autorización puede afectar seriamente a la organización. Por ejemplo: una fórmula, un código fuente, etc.

2. Privado: Información de uso interno de la organización. Es información sensible y, por lo general, de carácter privado. Su divulgación puede afectar moderadamente a la organización. Por ejemplo: datos financieros, datos médicos, datos personales, etc.

3. Público: Información que, aunque su divulgación no es bienvenida, no implica ningún tipo de impacto en la organización. Por ejemplo: listado de direcciones de correo de los empleados.

Asignación de dueño de datos

El dueño de datos es el principal responsable por la protección y el uso que se le de a la información. Se debe definir y conocer el dueño de un dato ya que es quien podrá determinar para quién debe estar disponible y bajo qué condiciones, a la hora de implementar medidas de seguridad.

La definición de criterios y controles sobre la información es realizada en conjunto entre el área de seguridad y los dueños de datos; aunque también es preferible la participación en la decisión de todas las áreas gerenciales, conformando, para tal fin, un comité.

Acuerdos y contratos

En la operatoria diaria de la organización, la utilización e intercambio de información entre todos los actores es común. Es recomendable, o según el caso imprescindible, regular de cierta forma la utilización de la información tanto para personal interno como externo a la empresa.

Para este fin se utilizan los acuerdos y contratos. Estos establecen un marco que regula la utilización de la información, y afecta a todo personal involucrado con la organización.

...