Metodología para el Desarrollo de Políticas
y Procedimientos en Seguridad de Información
Un buen momento para
desarrollar un conjunto de políticas de seguridad es cuando se está preparando
el manual de seguridad para los activos de información. Debido a que ese manual
va a ser distribuido a lo largo de toda la organización, representa un medio
excelente para incluir también las políticas de seguridad. También pueden
publicitarse las políticas en material tal como vídeo, carteles o artículos en
un periódico interno.
Otro bueno momento es
después de que haya ocurrido una falla grave en seguridad, por ejemplo, una
intrusión de hackers, un fraude informático, un accidente sin poder recuperar
los datos, un incendio y en general algún tipo de daño o perjuicio que haya
recibido la atención de la alta gerencia. En este caso habrá un alto interés en
que se apliquen las políticas de seguridad y que se implanten medidas más
efectivas. Hay que actuar rápidamente para desarrollar las políticas, ya que el
nivel de preocupación de los gerentes y de los empleados tiende a decrecer
luego que ha pasado el incidente.
Las políticas deben revisarse
en forma periódica, preferiblemente cada año, para asegurarse de que todavía
son pertinentes y efectivas. Es importante eliminar aquellas políticas que ya
no son útiles o que ya no son aplicables. Este esfuerzo también ayudará a
mejorar la credibilidad de las actividades de seguridad informática dentro de
la organización.
