La Política de Seguridad de los Sistemas de Información (ISSP): ¿sigue siendo útil en 2024?

La Política de Seguridad de los Sistemas de Información (PSSI) se presenta generalmente como el documento de referencia para ciberseguridad dentro de una empresa. Desgraciadamente, con demasiada frecuencia este documento no es utilizado por los responsables de la seguridad de los sistemas de información, que tienen que hacer frente a un entorno de producción en constante evolución. Entonces, ¿qué sentido tiene un documento así, calificado de esencial pero que no se utiliza? ¿Cómo elaborar un PSSI eficaz y útil? ¿Y qué errores debe evitar si tiene que elaborar su propia política de seguridad informática? Encuentra las respuestas en este artículo.

¿Sigue siendo pertinente elaborar un PSSI en 2024?

Más que un documento, el PSSI es un enfoque destinado a formalizar una visión de la seguridad del sistema de información de una empresa. No es ni mucho menos una novedad, ya que la Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) lleva casi 20 años promoviéndolo.

Con la aparición de conflictos geopolíticos, el impacto del cambio climático en los centros de datos y la aparición de inteligencias artificiales como GPT-3, que proporcionan a los ciberdelincuentes nuevas capacidades ofensivas, las amenazas que pueden afectar a una empresa hoy en día son heterogéneas y difíciles de predecir. Por ello, es interesante plantearse la pertinencia de elaborar una política de seguridad de los sistemas de información, que por definición es una visión para un momento dado, que debe aplicarse en un entorno en constante evolución.

Por eso, antes de lanzarse a diseñar una política de seguridad interna, pregúntese cuál es su objetivo: 

• ¿Es para cumplir una obligación de conformidad u obtener una certificación? 
• ¿Se trata de una "profesión de fe", de una conciencia tranquila? 
• ¿Se trata de establecer un verdadero marco de seguridad y controlar los indicadores para su correcta aplicación?

Para nuestro experto Baptiste DavidResponsable de preventa y entrega en Tenacy,

Se ha establecido el tono, y ahora sabe que elaborar una SSP no es un fin en sí mismo, sino una respuesta a una necesidad real de hacer que su organización cumpla la normativa y sea más segura.

¿Cómo se elabora un PSSI coherente y aplicable?

La elaboración de una política de seguridad debe implicar a todos los actores de su empresa. Debe definir los perímetros y responsabilidades de todos los implicados, los recursos y medios financieros que necesita, y los objetivos e hitos que hay que cumplir para alcanzarlos. 

Su objetivo es " proteger los activos físicos de la organización (servidores, ordenadores, redes, telefonía, aplicaciones informáticas, etc.), así como sus activos intangibles e intelectuales y los datos personales ", como recuerda la ANSSI en su guía para la elaboración de un PSSI.

Pero aunque esta definición pueda parecer genérica, en realidad La redacción de un SIP no puede hacerse sin conocer el negocio y las obligaciones de cumplimiento de la empresa. Una política aplicada sin tener en cuenta su impacto en la productividad de los empleados simplemente se eludiría con el tiempo. Por lo tanto, es importante limitar el funcionamiento de la empresa mediante normas de seguridad y buenas prácticas, pero en un marco de concertación previa con los equipos.

Si un comportamiento es arriesgado para la empresa pero obligatorio en el proceso de producción, ¿qué solución puede aportar? Esta situación es muy común en el sector sanitario, donde a veces los equipos funcionan con sistemas operativos que ya no reciben soporte y, por tanto, son vulnerables por definición. Como se utilizan según planes decenales, sencillamente no es posible cambiarlos. Lo mismo ocurre en los sectores energético e industrial. Antes de redactar su visión de la seguridad para la empresa, hágase la siguiente pregunta: "¿Es realmente aplicable? 

Por tanto, el PSSI no debe ser dogmático ni egocéntrico. Debe ser coherente y aplicable a las limitaciones de la empresa.

Para ello, necesita integrar : 

• Buenas prácticas en materia de seguridad de los sistemas de información.
• Las medidas, protocolos y normas de seguridad ya establecidos, que deben aplicarse y cumplirse, teniendo en cuenta el funcionamiento intrínseco de la empresa.
• Las vulnerabilidades y debilidades de seguridad de los activos en riesgo que no pueden modificarse, basándose en los resultados de un análisis de riesgos del sistema de información.
• Organizar la aplicación de esta política interna.
• El método para garantizar el seguimiento y las futuras modificaciones.

6 errores comunes que no debe cometer al redactar su PSI.

Para que su política de seguridad sea útil y aplicable, hemos elaborado una lista de errores comunes que conviene evitar. 

La ISSP debe reflejar la estrategia de seguridad de los sistemas de información (ISS) de la empresa y no la visión del CISO. Para que una política interna se aplique en toda la empresa, debe venir de arriba. Baptiste David señala que La alta dirección debe comprometerse a que las normas establecidas en la ISSP sean normas que se apliquen en toda la empresa. De este modo, las normas de seguridad de los sistemas de información se convierten en una orden de la jerarquía y dejan de ser una petición del CIO o del CISO. "¡Y eso lo cambia todo!

2. Sólo para iniciados del ciberseguridad

No escriba su PSSI en jerga técnica. Al contrario. El documento debe ser accesible e inteligible, para que todos los implicados en la empresa puedan entender sus entresijos. Cuanto más claro sea su mensaje, más probabilidades tendrá de que todos se sumen a proteger la organización en su conjunto.

¿Quién valida el cumplimiento del PSSI? ¿Qué ocurre en caso de incumplimiento? ¿Qué se puede imponer dentro de los departamentos? Todas estas son preguntas que exigen definir procesos internos para garantizar su correcta aplicación. 

4. No actualizar su PSSI

A medida que evoluciona su sistema de información, también lo hace su política de seguridad. ¿Tiene en cuenta su ISP las nuevas ciberamenazas, como los ataques de cadena de suministro ? ¿Es obligatoria la autenticación multifactor (MFA) para iniciar sesión en las aplicaciones de su empresa? ¿Qué medidas existen para garantizar la seguridad de los objetos conectados (IoT)? ¿Ha tenido en cuenta el fenómeno de las TI en la sombra y el uso de servicios de terceros no autorizados por el departamento de TI? ¿Autoriza el uso de equipos personales (teléfono móvil, tableta, ordenador personal) para acceder a la SI de la empresa? Por lo tanto, su PSI debe ser coherente con las prácticas reales de la empresa. Actualícelo con frecuencia y como mínimo al menos una vez al año, para evitar que se vea superado por los nuevos usos.

" Responsable pero no culpable así resume Baptiste David el papel del CISO. El CISO tiene un compromiso de medios, pero no de resultados. No puede ser considerado responsable de la aplicación en la empresa de las normas de seguridad descritas en el PSI. Su papel es identificar los incumplimientos y proporcionar información para que se pueda considerar la rectificación. Corresponde a cada departamento o unidad de negocio asumir la responsabilidad de la correcta aplicación del PSSI.

Como CISO, necesita medir la brecha entre su nivel actual de seguridad y el objetivo que desea alcanzar. Pero, ¿cuáles son sus indicadores de seguimiento? ¿Dispone de la herramienta de elaboración de informes adecuada? ¿Cómo y sobre qué base realiza las compensaciones necesarias? Midiendo estos resultados, la aplicación de su ISP será realmente eficaz para la seguridad de su organización. Hablemos de ello.