Inicio » Ciberseguridad » Políticas de seguridad de la información: definición y ejemplos

Políticas de seguridad de la información: definición y ejemplos

La ciberseguridad ha sido durante mucho tiempo una parte integral del proceso de desarrollo de estándares de Internet y prueba de ello es que se habla de políticas de seguridad de la información desde comienzos de los años 90.

Definición de políticas de seguridad de la información

Hablamos de políticas de seguridad informática para referirnos al conjunto de medidas, prácticas y reglas que deben cumplir todas aquellas personas que acceden a activos de tecnología e información de una organización. Así lo definió ya hace muchos años el Internet Engineering Task Force (IETF), Grupo de Trabajo de Ingeniería de Internet. Este es el principal organismo de estándares de Internet, tal y como se define a sí mismo en su página web oficial esta organización.

Las políticas de seguridad proporcionan el contexto legal en el que moverse tanto a los trabajadores de una empresa como a los usuarios o clientes de sus servicios en caso de que acceden a su tecnología para operar. Para ello dictan los límites que no se pueden pasar. También marcan pautas y acciones de obligado cumplimiento dentro de dicho espacio limitado. El objetivo general es mantener un nivel de protección y seguridad adecuado en todas las direcciones. 

Este objetivo general se alcanza a través del cumplimiento de otros muy concretos por parte de las políticas de seguridad informática. Es decir, garantizar la confidencialidad, integridad y disponibilidad de la información. Se pueden clasificar, grosso modo, en dos grandes grupos. Por un lado aquellas que son restrictiva e indican qué no se debe hacer. Por el otro, las que ordenan qué medidas se deben tomar en todo momento. 

Medidas de políticas de seguridad de la información

Entre las medidas restringidas destacan, por ejemplo, la apertura de archivos y enlaces sospechosos. También compartir contraseñas de seguridad o trabajar en red utilizando redes WI-FI abiertas. Son, en definitiva, prácticas elementales que ponen en peligro los sistemas y la propia información, ya sea personal o de la entidad para la que se trabaje en red. 

Las políticas de seguridad de la información definen también los comportamientos responsables y adecuados para garantizar la seguridad al trabajar en internet. Entre los ejemplos más característicos de estas acciones específicas se encuentran el cifrado de archivos sensibles o la creación de copias de respaldo. Además figura el renovar periódicamente las contraseñas y el instalar y actualizar un potente software antivirus y antimalware. 

Este tipo de acciones son ejemplos que un usuario medio de internet puede visualizar y comprender. Aun así, lógicamente diseñar una política de seguridad de la información completa y a gran escala incluye muchas otras reglas de mayor complejidad. 

Cómo marcar los límites

Conseguir un sistema 100% blindado ante los riesgos que la operación en red supone es prácticamente imposible. Protección frente a ataques externos, privacidad de los datos, y blindaje frente a fallos internos son algunos de ellos. No menos sencillo es encontrar el equilibrio entre seguridad, usabilidad, riesgo y coste. Con coste nos referimos al de hardware y software, pero también humano, porque a los expertos hay que pagarlos acorde a su categoría profesional. 

Dependiendo de los objetivos empresariales y del servicio que se ofrezca, la política de seguridad de la información de cada compañía será más o menos restrictiva. En función de esto también más o menos fáciles de utilizar serán los sistemas y servicios de dicha empresa. 

En cualquier caso, la ambición de las políticas de seguridad debe ser en todo momento la de alcanzar ese 100% de blindaje, y por eso fundamental que tengan determinadas características. Entre ellas, han de ser siempre de obligado cumplimiento para todas las personas que trabajan bajo este este marco legal, y eso requiere que exista un código sancionador y herramientas de control que vigilen y castiguen el incumplimiento.

También deben ser muy claras y concisas para que se puedan procedimentar, de tal forma que no sean subjetivas ni interpretables. Y al mismo tiempo han de ser flexibles y adaptables a la situación cambiante sobre el que se diseñan, el universo de internet. 

Ejemplos de políticas de seguridad de la información

Algunos ejemplos de este tipo de políticas hacen referencia a distintas cuestiones. Almacenamiento en la red corporativa, gestión de recursos humanos, privacidad en el uso de herramientas de trabajo, disponibilidad de sistemas y recursos, notificación de brechas de seguridad, y pautas de contratación de servicios y compras, entre otras. 

Pero seguramente las más conocidas entre la opinión pública son las políticas de seguridad de la información sobre la autentificación de usuarios y acceso a un servicio tecnológico, además de sus derechos, privilegios y obligaciones. Es tan conocido este tipo de política de seguridad que muchas personas no expertas en la materia creen que el único que existe dentro de un entorno tecnológico, pero ahora saben que solamente es una más de las que rigen dicho marco. 

Una fuente ideal para profundizar en las políticas de información de seguridad concretas que existen -son muchas-, es la página web del INCIBE, el Instituto Nacional de Ciberseguridad. A esta hemos referenciado siempre que hemos tratado temas sobre la privacidad de los datos en la red. El INCIBE dedica un espacio específico de ayuda a las pymes en el que estas pueden encontrar una completa guía sobre cómo implementar las políticas de seguridad de la información esenciales para poner en marcha los procesos internos con los que mejorar su ciberseguridad.

Formación Relacionada

Las dos pestañas siguientes cambian el contenido a continuación.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Noticias, eventos y formación!

Suscríbete ahora y recibe los mejores contenidos sobre Negocios, Prevención, Marketing, Energías Renovables, Tecnología, Logística y Recursos Humanos.

Acepto recibir comunicaciones comerciales por parte del grupo IMF
He leído y acepto las condiciones


Políticas de seguridad de la información: definición y ejemplos

Para referirnos a las reglas que deben cumplir quienes acceden a activos de tecnología hablamos de políticas de seguridad de la información.