La seguridad informática es en sí mismo un concepto amplio y diverso que abarca numerosas derivadas. La seguridad se puede centrar en la prevención de ataques y situaciones de riesgo para los sistemas de una organización o hacerlo más en los mecanismos de mitigación de los efectos que un ataque pueda ocasionarle a una empresa o particular. Si tuviéramos que definir qué son las políticas de seguridad informática podríamos empezar negando aquello que no son, es decir, afirmar que no son una descripción técnica de mecanismos ni una suerte de código penal que sancione, y al mismo tiempo conduzca, la labor de los empleados. Por el contrario, sí que tienen que ver con una descripción amplia, basada en objetivos globales, de los bienes y valores que deseamos proteger y la motivación de dicho deseo.
Así, ante la cuestión planteada –qué son las políticas de seguridad informática– se han manejado tradicionalmente distintas definiciones y todas ellas tienen en común su carácter restrictivo, en la medida en que limitan la actuación de los empleados durante la operación general del sistema y también su alto nivel de abstracción, de modo que vienen a ser más que nada una declaración de intenciones, un asentamiento de las bases que deben definir y delimitar las responsabilidades en las distintas actuaciones que se requerirán en caso de amenaza o ataque. En cualquier caso, estas políticas van a tener su concreción en toda una serie de normas, protocolos, reglamentos, convenciones… en las que, principalmente, se fijará el modo de comunicación con los usuarios y también entre los empleados.
Cómo debe ser una política de seguridad informática eficaz
Antes de definir qué son las políticas de seguridad informática, hay que saber que para ser eficaces deben reunir una serie de características relacionadas con su holismo, es decir, aspirar a cubrir todos los aspectos, su capacidad de adaptación a las necesidades de cada organización y a los recursos de que se dispone y, por último, ser atemporal, en el sentido de que debe ser susceptible de ser aplicada en cualquier momento. Además, cualquier política de seguridad debe incorporar y contemplar elementos claves como la integridad de los programas, su disponibilidad, la privacidad de las operaciones y los archivos y, finalmente, ejercer un control eficaz y efectivo, garantizar la autenticidad de las comunicaciones y los protocolos y ser útil, pues ninguna medida coercitiva se justifica a sí misma si no es en virtud del principio de utilidad.
Aplicación práctica en las empresas
También podemos llegar a saber qué son las políticas de seguridad informáticas si echamos un vistazo a alguna de sus aplicaciones prácticas más usuales. Así, es habitual que las grandes empresas exigen a sus empleados realizar respaldos de la información en un período de tiempo variable pero generalmente corto, no descargar archivos de procedencia desconocida o en páginas web que no ofrezcan garantías suficientes, no abrir ficheros adjuntos de remitentes desconocidos o de mensajes no solicitados, no visitar sitios de contenido ilícito, no proporcionar datos personales y no utilizar la misma contraseña para diferentes páginas web o compartirlas con compañeros de trabajo.
Otras cuestiones concretas y que pudieran parecer de perogrullo son la prohibición de una excesiva navegación por Internet con fines más allá del puro trabajo, la descarga ilegal de software licenciado, la transmisión a terceros de información confidencial de la empresa o la inutilización de sistemas o equipos informáticos, es decir, cuestiones muy básicas, de sentido común, pero que no siempre se dan.
Más allá de estos ejemplos, por mucho que puedan ilustrarnos acerca de qué son las políticas de seguridad informática, es conveniente recordar que estas deben considerar su alcance, los objetivos y una descripción clara, las responsabilidades de cada uno de los servicios y recursos informáticos, los requerimientos mínimos para configuración de la seguridad de los sistemas, la definición de las violaciones y las responsabilidades de los usuarios con respecto a la información a la que tiene acceso. Por otro lado, una buena política de seguridad informática debe atender a un análisis de riesgos informáticos que permitirá, al mismo tiempo, involucrar a las áreas que poseen los recursos y la experiencia, así como comunicar a todo el personal los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
Principios de las políticas de seguridad informática
Por último, insistir en que más allá de saber qué son las políticas de seguridad informática, lo verdaderamente relevante es conocer cuáles son los principios que rigen estas políticas y que terminan haciéndolas eficaces. Así, es esencial fijar un principio de responsabilidad individual, unas reglas claras de autorización (quién y de qué forma puede emplear los recursos), partir del mínimo privilegio (cada uno puede usar únicamente lo imprescindible para llevar a cabo su trabajo), la separación de las obligaciones, en el sentido de que las tareas deben estar divididas entre las diferentes personas relacionadas con la actividad o función reduciendo las posibilidades de sufrir un ataque; el de auditoría, que remarca que todas las actividades y los recursos requeridos deben ser monitoreados desde el inicio y hasta finalizado el proceso, y el de redundancia o énfasis en la realización de copias de seguridad creadas cada poco tiempo y almacenadas en lugares distintos.
