La planeación y administración de sistemas de seguridad son el lado humano de la seguridad electrónica. Inclusive en el más confiable sistema, la seguridad no es automática. Los administradores necesitan una guía escrita que especifique que pasos seguir y que procedimientos ejecutar para cumplir con los requerimientos planeados de seguridad. Los ataques con éxito a sistemas confiables son recurrentes, vulnerabilidades son descubiertas en todos los sistemas operativos, y los atacantes se encuentran dentro o fuera de las organizaciones. Si existe algo seguro en el cambiante mundo de la seguridad, no lo encontraremos en lo que el software o hardware puedan hacer por nosotros, sino en lo que hacemos por nosotros mismos. El primer paso en mantener los niveles de seguridad es desarrollar políticas de seguridad para nuestras organizaciones, y después promulgarlas y velar por su cumplimiento, lo cual tiene que realizarse de manera transversal a toda la Organización.
Asumiendo que estamos en una Organización que tiene una estructura de seguridad en la que se cuenta jerárquicamente con un Gerente y un Administrador de Seguridad (Donde no haya estos cargos se deben aclarar roles y responsabilidades entre las opciones disponibles), los administradores de seguridad cumplen con las políticas en términos de detección y protección, la Gerencia debe suscribir la política, y los usuarios cumplirla, siendo supervisados por el Líder de Seguridad quien detectara y sancionara a los infractores por su incumplimiento.
Por ejemplo, la política de seguridad de una Organización estipula que se requiere la realización periódica de backups, pero finalmente es el Administrador quien ejecuta esos backups. Una vez que los Administradores entrenan a los usuarios para copiar sus archivos a servidores o discos duros protegidos, el Gerente de Seguridad lidiara con los incumplimientos. De manera similar, los Administradores deben entrenar a los usuarios para que eviten escribir sus contraseñas y pegadas quizás debajo de su teclado, pero el Gerente de Seguridad tiene que sancionar a los infractores de dicha política.
El área mas critica de todas las capas de seguridad es unificar la respuesta a incidentes una vez que ocurre una violación de seguridad. Decisiones sobre la conservación de evidencias, notificación a las autoridades (cuales de ellas?), y que acción tomar tuvieron que ser analizadas antes de que se presentara cualquier falla. Todas estas acciones tuvieron que ser escritas y distribuidas a todo el personal que pueda afectar la ocurrencia de ese incidente.
La política de seguridad es un documento viviente que debe ser revisado y actualizado periódicamente. El entrenamiento de usuarios, contraseñas de administrador, sistema de backups para información crítica, programación de firewalls y sistemas de detección de intrusos, evaluación de logs, etc se encuentran dentro de las múltiples formas de traducir el contenido de una política en hechos reales y palpables por el Administrador de Seguridad.
La seguridad en una organización disminuye cuando se incumplen las políticas de seguridad. Administrativamente esto significa que la Gerencia debe crear y mantener la demanda de acciones que deben ser realizadas de acuerdo a ciertas normas y niveles. Esto requiere de la categorización y priorización de riesgos, así como una evaluación del costo de la infraestructura a proteger con respecto al costo de su protección.
Las políticas de seguridad requieren de procedimientos. Estos procedimientos deben incluir la realización de auditorias periódicas, así como la implementación de reglas de separación de funciones. Para asegurarse de que las personas conozcan claramente como ejecutar procedimientos de seguridad, debe realizarse un muy buen entrenamiento. Para asegurarse de que los empleados realmente cumplen con las políticas, se requiere de supervisión y llamados de atención por parte del Gerente de Seguridad, quien es el que inicialmente estableció las políticas de seguridad.
