Hablemos de la Política de Seguridad
La política de seguridad de información es el documento en el que una empresa define los lineamientos generales para proteger la información y minimizar los riesgos que pudieran afectarla. La debe cumplir todo el personal relacionado con la empresa. Así se asegura la integridad, disponibilidad y privacidad de las infraestructuras informáticas y de la información que contienen.
Las políticas de seguridad informática son declaraciones formales de las reglas que debemos cumplir las personas que tenemos acceso a los activos de tecnología e información de una organización
Se conjuntan en un documento madre del que se desprenden los demás (por ejemplo de aquí se desprenden la política de desarrollo seguro, procedimiento para la gestión de incidentes, plan de continuidad del negocio, plan de recuperación ante desastres, entre otros). Es por ello que es uno de los más importantes para cumplir con ISO 27001 y con normativas y regulaciones de seguridad, porque es donde declaras, a modo general, todas las medidas que pretendes tomar para resguardar tu información.
En resumen, en la política de seguridad de la información se definen las medidas e intenciones de tu empresa a alto nivel.
Esta es la definición según la RFC 2196 del Internet Engineering Task Force (IETF) de 1997
Existen dos grupos principales de políticas de seguridad informática:
- Las que definen lo que tenemos que evitar. Se trata de aquellos comportamientos y prácticas que pueden poner en riego los sistemas y la información, como, por ejemplo: abrir archivos o enlaces sospechosos, compartir contraseñas o utilizar redes Wi-Fi abiertas.
- Las que definen lo que tenemos que hacer siempre, para mantener un correcto nivel de protección y seguridad. Por ejemplo:
- Cifrar archivos sensibles
- Implementar copias de respaldo
- Usar contraseñas y renovarlas de forma periódica
- Usar VPN
- Instalar software antivirus y antimalware
¿Cómo hacer la política de seguridad de la información?
Hay distintas políticas de seguridad informática en las empresas según los objetivos y prioridades de esta. Sin embargo, todas las buenas políticas de seguridad informáticas tienen en común estas características:
- Concretas: tienen que poderse implementar a través de procedimientos, reglas y pautas claras.
- Claras: tienen que definir de forma clara las responsabilidades y obligaciones de los distintos tipos de usuarios: personal, administradores y dirección.
- Obligatorias: su cumplimiento tiene que hacerse respetar, mediante herramientas de seguridad o sanciones.
El Instituto Nacional de Ciberseguridad, INCIBE (en España), pone a disposición en su página web ejemplos de las principales políticas de seguridad informática para una Pyme.
La definición de una política de seguridad debe estar basada en una identificación y análisis previo de los riesgos a los que está expuesta la información y debe incluir todos los procesos, sistemas y personal de la organización. Además, tiene que haber sido aprobada por la dirección de la organización y comunicada a todo el personal.
Se debe comenzar por:
1. Definir el objetivo, alcance y vigencia
2. Definir los responsables
3. Especificar la autoridad de emisión, revisión y publicación
4. Definir las medidas de seguridad “Reglas de aplicación”
5. Estrategia para comunicar la política a los empleados
6. Como se planea actualizar y revisar continuamente
En este sentido, algunas áreas e políticas de seguridad informática que deben ser tocadas son:
- Pautas de compras de tecnologías y contratación de servicios
- Privacidad en el uso de herramientas de trabajo.
- Acceso y autenticación de usuarios y la definición de derechos y privilegios.
- Responsabilidad de los distintos tipos de usuarios.
- Disponibilidad de sistemas y recursos.
- Notificación de violaciones y brechas de seguridad.
En el documento de la política de seguridad, el cuerpo normativo de seguridad de la información de una organización, debe constar principalmente de las siguientes políticas y procedimientos:
Buenas prácticas
El documento de “buenas prácticas de Seguridad de la Información”, puede ser un documento específico, cláusulas anexas a los contratos de los empleados, etc.
Debería recoger, entre otras cosas, el uso aceptable de los sistemas y la información por parte del personal, las directrices para mantener el puesto de trabajo despejado, el bloqueo de equipo desatendido, la protección de contraseñas entre otras
Procedimiento de control de accesos
Recoge las medidas técnicas y organizativas relacionadas con los permisos de acceso a las instalaciones y sistemas que albergan la información de la organización, así como el acceso a la propia información. Los controles de acceso pueden ser físicos o lógicos y algunos ejemplos de ellos son:
Controles de acceso físico
Mecanismos y sistemas implementados para controlar el acceso de personas a las instalaciones de la organización como, por ejemplo: barreras, cámaras, alarmas, sistemas de apertura de puertas biométricos o por tarjeta, etc. Otros ejemplos de controles de acceso físico son también: albergar la información en armarios cerrados con llave y, en general, cualquier medio físico que dificulte o no permita el acceso no autorizado a la información.
- Controles de acceso lógico
Sistemas implementados para controlar el acceso de los usuarios a los distintos sistemas que albergan la información o el acceso a la propia información. Ejemplos de controles de acceso lógico son la implementación de un NAC (control de acceso de equipos y usuarios a la red), la configuración de permisos de lectura y escritura sobre los propios archivos de información, sistemas de login en los distintos sistemas, autorizaciones de acceso remoto de los usuarios a la red a través de una VPN, etc.
Procedimiento de gestión de usuarios
Recoge las instrucciones precisas a realizar para el alta, cambio de puesto de trabajo y baja (voluntaria o cese) de los usuarios en los distintos sistemas de información, así como para la concesión de los permisos de acceso tanto físicos como lógicos que deberían tener a las instalaciones, sistemas y a la propia información.
Este procedimiento se debería basar y recoger una definición clara y concisa de los diferentes roles y responsabilidades de los usuarios, es decir, en función de los roles y responsabilidades del personal se le tendrían que conceder diferentes accesos y permisos, los mínimos y necesarios para el desempeño de su trabajo.
Procedimiento de clasificación y tratamiento de la información
Incluye las instrucciones acerca de cómo clasificar la información de acuerdo a su valor, requisitos legales, sensibilidad y criticidad para la organización y las medidas de protección y manipulación/tratamiento de la misma acorde a su clasificación.
Procedimiento de gestión de incidentes de seguridad de la información
Instrucciones para la notificación de incidentes, de respuesta a los mismos con las acciones a realizar al ser detectados, etc.
Otros procedimientos
Gestión de activos de información, copias de seguridad de la información, seguridad de la red, anti-malware, registro y supervisión de eventos, actualización y parcheo de sistemas y equipos…
En resumen, las políticas de seguridad informática de una empresa u organismo deben adaptarse a todas sus necesidades y, en la medida de lo posible, ser atemporales.
Es fundamental quesean respaldadas completamente por la dirección de la organización, de otra forma su adopción podría verse comprometida.
Referencia Web-grafia:
Como hacer una política de seguridad – Hackmetrix
Políticas de seguridad informática y su aplicación en la empresa – Mdcloud
Norma ISO 27001. Fase 3 Elaboración de la Política
Solo para usos didacticos las siguientes referencias
Política de IA
Para hacer frente a esta necesidad, es esencial contar con una política de uso de herramientas de IA. Esta política describe las normas y reglamentos que rigen la adquisición, el despliegue y el uso de herramientas de IA en organización. Sirve como guía para garantizar que las herramientas de IA se utilizan de una manera que se alinea con los valores de organización, cumple con los requisitos legales y reglamentarios, y protege los derechos y la privacidad de las personas. En este artículo, exploraremos la importancia de contar con una política de uso de herramientas de IA y proporcionaremos una plantilla para ayudar a las organizaciones a crear su propia política integral.
A medida que la tecnología de IA evoluciona y se hace más sofisticada, las organizaciones aprovechan su potencial para aumentar la eficiencia, mejorar la toma de decisiones y agilizar las operaciones. Sin embargo, no pueden pasarse por alto los riesgos potenciales y las implicaciones éticas que rodean el uso de la IA. Es crucial que las organizaciones establezcan directrices y políticas claras que rijan el uso de las herramientas de IA y garanticen que se utilizan de forma responsable.
Política de uso de herramientas de IA
Esta Política de uso de herramientas de IA describe las directrices y procedimientos para el uso adecuado y responsable de las herramientas de IA en nuestra organización. Las herramientas de IA se han convertido en una parte integral de nuestras operaciones empresariales, y es esencial que todos los empleados comprendan su papel en el uso eficaz y ético de estas herramientas.
Esta política pretende garantizar el uso responsable de las herramientas de IA, proteger los datos y las redes de la empresa y mantener la confianza de nuestros clientes y partes interesadas.
Uso de la herramienta AI Finalidad
El objetivo de esta política es establecer directrices para el uso de herramientas de IA en nuestra página web organización. En ella se definen las responsabilidades, las expectativas y el comportamiento aceptable al utilizar estas herramientas para garantizar la seguridad de los datos, la privacidad y el cumplimiento de las leyes y normativas aplicables.
Ámbito de uso de la herramienta AI
Esta política se aplica a todos los empleados, contratistas y terceros autorizados que tengan acceso o utilicen herramientas de IA proporcionadas o aprobadas por organización. Abarca el uso tanto de herramientas de IA desarrolladas internamente como de herramientas de IA de terceros utilizadas en el curso de las operaciones empresariales.
Uso aceptable de la herramienta AI
- Utilice las herramientas de IA únicamente para fines empresariales autorizados y de conformidad con las leyes, normativas y políticas de la empresa aplicables.
- Garantizar que las herramientas de IA se utilicen con integridad, honestidad y respetando los derechos, la privacidad y la dignidad de las personas.
- Salvaguarde y proteja los datos sensibles de la empresa, la propiedad intelectual y la información confidencial cuando utilice herramientas de IA.
- Cumpla los acuerdos de licencia, las leyes de derechos de autor y las condiciones de servicio de las herramientas de IA de terceros.
- Informar a las autoridades competentes de cualquier sospecha de violación de la seguridad, uso indebido o acceso no autorizado a las herramientas de IA.
Privacidad y seguridad de los datos:
- Garantizar la confidencialidad, integridad y disponibilidad de los datos al utilizar herramientas de IA.
- No acceda, recopile, utilice o revele información personal o sensible más allá de lo necesario para los fines empresariales autorizados.
- Cumplir las leyes y normativas de protección de datos al tratar información personal identificable.
- Actualice y aplique parches periódicamente a las herramientas de IA para protegerlas contra vulnerabilidades y riesgos de seguridad.
- Utilice redes seguras y cifradas cuando acceda a los datos o los transmita a través de herramientas de IA.
Consideraciones éticas:
- Utilizar las herramientas de IA de forma que se ajusten a las normas éticas, sean justas y eviten los prejuicios o la discriminación.
- Revisar y evaluar periódicamente el impacto de las herramientas de IA en las personas, la sociedad y el medio ambiente.
- Evite utilizar herramientas de IA para realizar actividades ilegales, acosar a personas o vulnerar los derechos de otros.
- Garantizar la transparencia y la rendición de cuentas en el uso de las herramientas de IA, lo que incluye explicar claramente a usuarios el alcance y las limitaciones de los resultados generados por la IA.
Formación y sensibilización:
- Proporcionar la formación y los recursos necesarios a los empleados y a usuarios sobre el uso adecuado y responsable de las herramientas de IA.
- Asegúrese de que los empleados comprenden los riesgos potenciales, las limitaciones y las implicaciones éticas asociadas al uso de herramientas de IA.
- Actualice periódicamente a los empleados sobre cualquier cambio de política o novedad relacionada con las herramientas de IA.
- Anime a los empleados a comunicar cualquier preocupación o dilema ético derivado del uso de herramientas de IA.
Conformidad:
- El incumplimiento de esta política puede dar lugar a medidas disciplinarias, incluida la rescisión del contrato de trabajo, de acuerdo con las políticas y procedimientos de la empresa.
- Podrán realizarse auditorías y controles periódicos para garantizar el cumplimiento de esta política.
- Se investigará cualquier violación de la seguridad de los datos o uso indebido de las herramientas de IA, y se tomarán las medidas oportunas, incluidas acciones legales si fuera necesario.
Revisión de la política:
- Esta política se revisará periódicamente para garantizar su eficacia, pertinencia y conformidad con las necesidades cambiantes de la empresa, las mejores prácticas del sector y los requisitos legales.
- Las recomendaciones de actualización o mejora de las políticas pueden remitirse al responsable o a la dirección de la política designada.
Mediante la adhesión a esta Política de uso de herramientas de IA, podemos fomentar una cultura de uso responsable de la IA, proteger la reputación de nuestra organización y aprovechar las ventajas de las herramientas de IA para el éxito y el crecimiento de nuestro negocio.
Conclusión
Disponer de una política de uso de herramientas de IA es crucial para las organizaciones que utilizan tecnología de inteligencia artificial. Esta política garantiza un uso ético y responsable de las herramientas de IA, protegiendo a organización y a sus empleados. Las directrices de uso, privacidad de datos y seguridad están claramente definidas en la política, maximizando los beneficios de la IA y minimizando los riesgos. Además, la política fomenta la transparencia y la rendición de cuentas, creando confianza con los clientes y las partes interesadas. En última instancia, una política global establece un marco para la integración eficiente y responsable de las herramientas de IA en las operaciones empresariales.
