Una política de seguridad de las tecnologías de la información (TI) identifica las normas y procedimientos para todas las personas que acceden y utilizan los activos y recursos de TI de una organización. Una Política de Seguridad de TI efectiva es un modelo de la cultura de la organización, en la que las reglas y procedimientos son impulsados desde el enfoque de sus empleados hacia su información y trabajo. Así, una política de seguridad informática eficaz es un documento único para cada organización, cultivado a partir de las perspectivas de su gente sobre la tolerancia al riesgo, cómo ven y valoran su información, y la consiguiente disponibilidad que mantienen de esa información. Por esta razón, muchas empresas encontrarán inadecuada una política de seguridad de TI de plantilla debido a su falta de consideración de cómo la gente de la organización realmente utiliza y comparte la información entre ellos y con el público.
Los objetivos de una política de seguridad de TI es la preservación de la confidencialidad, la integridad y la disponibilidad de los sistemas y la información utilizada por los miembros de una organización. Estos tres principios componen la tríada CIA:
- La confidencialidad implica la protección de los activos frente a entidades no autorizadas
- La integridad asegura que la modificación de los activos se maneja de una manera especificada y autorizada
- La disponibilidad es un estado del sistema en el que los usuarios autorizados tienen acceso continuo a dichos activos
La política de seguridad informática es un documento vivo que se actualiza continuamente para adaptarse a la evolución de los requisitos empresariales y de TI. Instituciones como la Organización Internacional de Normalización (ISO) y el Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST) han publicado normas y mejores prácticas para la formación de políticas de seguridad. Según lo estipulado por el Consejo Nacional de Investigación (NRC), las especificaciones de cualquier política de empresa deben abordar:
- 1. Objetivos
- 2. Alcance
- 3. Metas específicas
- 4. Responsabilidades de cumplimiento y acciones a tomar en caso de incumplimiento.
También son obligatorias para toda política de seguridad informática las secciones dedicadas a la adhesión a las regulaciones que rigen la industria de la organización. Ejemplos comunes de esto incluyen la Norma de Seguridad de Datos PCI y los Acuerdos de Basilea en todo el mundo, o la Reforma Dodd-Frank de Wall Street, la Ley de Protección al Consumidor, la Ley de Portabilidad y Responsabilidad del Seguro Médico y la Autoridad Reguladora de la Industria Financiera en los Estados Unidos. Muchas de estas entidades reguladoras exigen una política de seguridad informática por escrito.
La política de seguridad de una organización desempeñará un papel importante en sus decisiones y dirección, pero no debe alterar su estrategia o misión. Por lo tanto, es importante escribir una política que se extraiga del marco cultural y estructural existente de la organización para apoyar la continuidad de una buena productividad e innovación, y no como una política genérica que impida a la organización y a su gente cumplir con su misión y objetivos.