PAUTAS Y RECOMENDACIONES PARA ELABORAR

POLÍTICAS DE SEGURIDAD INFORMÁTICA (PSI)

Jeimy J. CANO†
__________________________________________________________________
Descriptores: Seguridad, Informática, Políticas de Seguridad, Controles, Seguridad Informática.

Resumen
Este documento es un ejercicio fruto de la experiencia y documentación de situaciones
propias de las organizaciones que requieren una posición frente a la definición o más
bien, identificación de las directrices de seguridad informática que intrínsecamente
maneja. Ofrece un resumen de ideas prácticas que pueden orientar la elaboración de
políticas de seguridad informática.

INTRODUCCIÓN

Actualmente la seguridad informática ha tomado gran auge, dadas las cambiantes

condiciones y nuevas plataformas de computación disponibles. La posibilidad de
interconectarse a través de redes, ha abierto nuevos horizontes para explorar más allá
de las fronteras nacionales, situación que ha llevado la aparición de nuevas amenazas
en los sistemas computarizados.
Esto ha llevado a que muchas organizaciones gubernamentales y no gubernamentales
internacionales [1,2] hayan desarrollado documentos y directrices que orientan en el
uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el
mayor provecho de estas ventajas, y evitar el uso indebido de la mismas, lo cual
puede ocasionar serios problemas en los bienes y servicios de las empresas en el
mundo.
En este sentido, las políticas de seguridad informática (PSI) surgen como una
herramienta organizacional para concientizar a cada uno de los miembros de una
organización sobre la importancia y sensibilidad de la información y servicios críticos
que permiten a la compañía desarrollarse y mantenerse en su sector de negocios.
De acuerdo con lo anterior, el proponer o identificar una política de seguridad
requiere un alto compromiso con la organización, agudeza técnica para establecer
fallas y debilidades, y constancia para renovar y actualizar dicha política en función

† Ingeniero de Sistemas y Computación, Universidad de los Andes, Colombia. Maestría en

Sistemas y Computación, Universidad de los Andes, Colombia. Doctor of Philosophy in
Business Administration, Newport University, USA. Profesor de la Facultad de Derecho,
Universidad de los Andes, Colombia. Email: [email protected]

1
del dinámico ambiente que rodea las organizaciones modernas.

QUÉ SON LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA?

Una política de seguridad informática es una forma de comunicarse con los usuarios y
los gerentes. [3, pág.382] Las PSI establecen el canal formal de actuación del
personal, en relación con los recursos y servicios informáticos importantes de la
organización.
No es una descripción técnica de mecanismos de seguridad, ni una expresión legal
que involucre sanciones a conductas de los empleados, es más bien una descripción
de los que deseamos proteger y el por qué de ello.
Cada PSI es una invitación de la organización a cada uno de sus miembros a
reconocer la información como uno de sus principales activos así como, un motor de
intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir
en una posición consciente y vigilante del personal por el uso y limitaciones de los
recursos y servicios informáticos críticos de la compañía.

ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD INFORMÁTICA

Como hablamos en la sección anterior, una PSI debe orientar las decisiones que se
toman en relación con la seguridad. Por tanto, requiere una disposición de cada uno
de los miembros de la empresa para lograr una visión conjunta de lo que se considera
importante.
Las PSI deben considerar entre otros, los siguientes elementos: [4]
• Alcance de la políticas, incluyendo facilidades, sistemas y personal sobre la cual
aplica.
• Objetivos de la política y descripción clara de los elementos involucrados en su
definición.
• Responsabilidades por cada uno de los servicios y recursos informáticos a todos
los niveles de la organización.
• Requerimientos mínimosπ para configuración de la seguridad de los sistemas que
cobija el alcance de la política.

π
p Nota al pie del autor de la referencia 4: Los requerimientos mínimos de seguridad para la
configuración de los sistemas pueden contener estándares los cuales se pueden aplicar a un
subconjunto de facilidades o áreas organizacionales que se encuentren dentro del alcance de la
política.

2
• Definición de violaciones y de las consecuencias del no cumplimiento de la
política.
• Responsabilidades de los usuarios con respecto a la información a la que él o ella
tiene acceso.
Las PSI deben ofrecer explicaciones comprensibles sobre por qué deben tomarse
ciertas decisiones, transmitir por qué son importantes éstos u otros recursos o
servicios.
De igual forma, las PSI establecen las expectativas de la organización en relación con
la seguridad y lo que ella puede esperar de las acciones que la materializan en la
compañía. Deben mantener un lenguaje común libre de tecnicismos y términos
legales que impidan una comprensión clara de las mismas, sin sacrificar su precisión
y formalidad dentro de la empresa.
Por otro lado, la política de debe especificar la autoridad que debe hacer que las cosas
ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones
sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud
que pasará cuando algo suceda; no es una sentencia obligatoria de la ley. [4, pág.383]
Finalmente, las PSI como documentos dinámicos de la organización, deben seguir un
proceso de actualización periódica sujeto a los cambios organizacionales relevantes:
crecimiento de la planta de personal, cambio en la infraestructura computacional, alta
rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de
negocios entre otros.

ALGUNOS PARÁMETROS PARA ESTABLECER POLÍTICAS DE

SEGURIDAD

Si bien las características de la PSI que hemos mencionado hasta el momento, nos
muestran una perspectiva de las implicaciones en la formulación de estas directrices,
revisemos algunos aspectos generales recomendados para la formulación de las
mismas.
• Considere efectuar un ejercicio de análisis de riesgos informático, a través del cual
valore sus activos, el cual le permitirá afinar las PSI de su organización.
• Involucre a los áreas propietarias de los recursos o servicios, pues ellos poseen la
experiencia y son fuente principal para establecer el alcance y las definiciones de
violaciones a la PSI.
• Comunique a todo el personal involucrado en el desarrollo de las PSI, los
beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de
seguridad.
• Recuerde que es necesario identificar quién tiene la autoridad para tomar

3
 decisiones, pues son ellos los interesados en salvaguardar los activos críticos de la
funcionalidad de su área u organización.
• Desarrolle un proceso de monitoreo periódico de las directrices en el hacer de la
organización, que permita una actualización oportuna de las mismas
• Un consejo más, no dé por hecho algo que es obvio. Haga explícito y concreto los
alcances y propuestas de seguridad, con el propósito de evitar sorpresas y malos
entendidos en el momento de establecer los mecanismos de seguridad que
respondan a las PSI trazadas.

POR QUÉ LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA

GENERALMENTE NO SE LOGRAN IMPLANTAR?

Muchas veces las organizaciones realizan grandes esfuerzos para definir sus
directrices de seguridad y concretarlas en documentos que orienten las acciones de las
mismas, con relativo éxito. Según algunos estudios [5] resulta una labor ardua el
convencer a los altos ejecutivos de la necesidad de buenas políticas y prácticas de
seguridad informática.
Muchos de los inconvenientes se inician por los tecnicismos informáticos y la falta de
una estrategia de mercadeo de los especialistas en seguridad, que llevan a los altos
directivos a pensamientos como: “más dinero para los juguetes de los ingenieros”.
Esta situación ha llevado a que muchas empresas con activos muy importantes, se
encuentren expuestas a graves problemas de seguridad, que en muchos de los casos
lleva a comprometer su información sensitiva y por ende su imagen corporativa.
Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que las
personas relevantes entienden los asuntos importantes de la seguridad, conocen sus
alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos.
En particular, la gente debe saber las consecuencias de sus decisiones, incluyendo lo
mejor y lo peor que podría ocurrir. [3, pág.394] Una buena intrusión o una travesura
puede convertir a las personas que no entendieron, en blanco de las políticas o en
señuelos de los verdaderos vándalos.
Luego, para que las PSI logren abrirse espacio al interior de una organización deben
integrarse a las estrategias del negocio, a su misión y visión, con el propósito de que
los que toman las decisiones reconozcan su importancia e incidencias en las
proyecciones y utilidades de la compañía. De igual forma, las PSI deben ir
acompañadas de una visión de negocio que promueva actividades que involucren a
las personas en su diario hacer, donde se identifiquen las necesidades y acciones que
materializan las políticas.
En este contexto, el entender la organización, sus elementos culturales y
comportamientos nos deben llevar a reconocer las pautas de seguridad necesarias y

4
suficientes que aseguren confiabilidad en las operaciones y funcionalidad de la
compañía.
A continuación algunas recomendaciones para “vender” las preocupaciones sobre la
seguridad informática:
• Desarrolle ejemplos organizacionales relacionados con fallas de seguridad que
capten la atención de sus interlocutores.
• Asocie el punto anterior a las estrategias de negocio y la imagen de la empresa en
el desarrollo de sus actividades.
• Articule las estrategias de seguridad informática con el proceso de toma de
decisiones y los principios de integridad, confidencialidad y disponibilidad de la
información.
• Muestre una valoración costo-beneficio, ante una falla de seguridad.
• Desarrolle las justificaciones de la importancia de la seguridad informática en
función de hechos y preguntas concretas, que muestren el impacto, limitaciones y
beneficios sobre los activos claves de la organización
• Un consejo más, sea oportuno y sagaz para presentar su producto, procurando
tener la mayor información del negocio y los riesgos asociados con los activos
críticos de la organización.

LAS POLÍTICAS DE SEGURIDAD INFORMÁTICA COMO BASE DE LA

ADMINISTRACIÓN DE LA SEGURIDAD INTEGRAL.

Las políticas de seguridad informática conforman el conjunto de lineamientos que

una organización debe seguir para asegurar la confiabilidad de sus sistemas. En razón
a lo anterior, son parte del engranaje del sistema de seguridad que la organización
posee para salvaguardar sus activos.
Las PSI constituyen las alarmas y compromisos compartidos en la organización, que
le permiten actuar proactivamente ante situaciones que comprometan su integridad.
Por tanto, deben constituir un proceso continuo y retroalimentado que observe la
concientización, métodos de acceso a la información, monitoreo de cumplimiento y
renovación, aceptación de las directrices y estrategia de implantación, que lleven a
una formulación de directivas institucionales que logren aceptación general.
Las políticas por sí solas no constituyen una garantía para la seguridad de la
organización, ellas deben responder a intereses y necesidades organizacionales
basadas en la visión de negocio, que lleven a un esfuerzo conjunto de sus actores por
administrar sus recursos, y a reconocer en los mecanismos de seguridad informática
factores que facilitan la formalización y materialización de los compromisos
adquiridos con la organización.

5
 REFERENCIAS

1. Organisation for Economic Cooperation and Development (OEDC) Guidelines for

Security of Information Systems. 1992.
2. SWANSON et al. (1996) National Institute of Standard and Technology (NIST).
General Principles for Information Systems Security Policies.
3. CHAPMAN, B y ZWICKY, E.(1997) Construya Firewalls para Internet. O’Really.
Edición en Español por McGraw Hill.
4. BAYUK, J. (1997) Security through process management. Price Waterhouse, LLP.
5. WILSON, M (1996) Marketing and Implementing Computer Security. NIST.