Política de Seguridad de la Información


Las políticas y los procedimientos reflejan la guía y orientación de la gerencia para desarrollar controles sobre los sistemas de información y recursos relacionados.

Por que documentarlas?
  • Otorgan cumplimiento en aspectos legales y técnicos.
  • Son una guía del comportamiento profesional y personal.
  • Permiten la unificación de trabajo de personas, es decir, responsabilidades y funciones.
  • Permiten recoger comentarios y observaciones que atiendan situaciones anormales.
  • Mejorar las prácticas al interior de la organización.
  • Logran asociar la filosofía de una organización al trabajo.
Qué son las Políticas?

Según la ISO/IEC: 17799 la define como la "Intención y dirección general expresada formalmente por la gerencia.

Una definición más acaba es la que nos da ISACA:

Las Políticas son documentos de alto nivel. Ellas representan la filosofía corporativa de una organización y el pensamiento estratégico de la alta gerencia y de los dueños de los procesos del negocio. Las políticas deben ser claras y concisas para que sean efectivas. La administración debe crear un ambiente de control positivo, asumiendo la responsabilidad de formular, desarrollar, documentar, promulgar y controlar las políticas que abarcan las metas y las directrices generales. La gerencia debe emprender las acciones necesarias para asegurar que los empleados afectados por una política específica reciban una explicación completa de la política y entiendan cuál es su propósito. Además, las políticas pueden también aplicarse a terceros y a outsources, quienes necesitarán estar vinculados para seguir las políticas a través de contratos o de declaraciones de trabajo.

La administración debe revisar todas las políticas periódicamente. Es necesario que las políticas sean actualizadas, para que reflejen lo nuevo de la tecnología y los cambios significativos en los procesos de negocio que hacen uso de tecnología de información para obtener eficiencia y eficacia de la productividad o logros competitivos. Las políticas formuladas deben permitir el logro de los objetivos de negocio y la implementación de controles en los sistemas de información.

Política de Seguridad de la Información

La política de seguridad de información provee a la administración la dirección y el soporte para la seguridad de información en conformidad con los requerimientos del negocio y las leyes y regulaciones relevantes. La administración debe fijar una dirección clara de política en línea con los objetivos del negocio y demostrar apoyo y compromiso con la seguridad de información a través de la emisión y mantenimiento de una política de seguridad de información para la organización.

Una política de seguridad comunica un estándar coherente de seguridad a los usuarios, a la gerencia y al personal técnico. Una política de seguridad para tecnología de información y tecnologías relacionadas es un primer paso para construir la infraestructura de seguridad para organizaciones impulsadas por la tecnología.
Las políticas a menudo fijarán la etapa en términos de qué herramientas y procedimientos se necesitan para la organización. Las políticas de seguridad deben balancear el nivel de control con el nivel de productividad. En otras palabras, el costo de un control nunca debe exceder el beneficio que se espera obtener. En el diseño e implementación de las Políticas, la cultura organizacional jugará un papel importante. La política de seguridad debe ser aprobada por la alta gerencia. Debe ser documentada y comunicada a todos los empleados y proveedores de servicio, según corresponda. Usualmente la política de seguridad es usada por los auditores de SI como un marco de referencia para realizar diferentes trabajos de auditoría de SI.


 

Ejemplo de Política de Seguridad de la Información:

Política de Seguridad de la Información

Practicas Recomendadas para el contenido de una política:

  • Debe existir una declaración de la Política.
  • Nombre y cargo de quién autorizó o aprobó la política.
  • Nombre de la dependencia o persona que es el autor de la política.
  • Debe especificarse quién debe acatar la política y quién es el responsable de garantizar el cumplimiento.
  • Indicadores si se cumple o no la política.
  • Referencias a otras políticas y regulaciones.
  • Enunciar el proceso para solicitar excepciones.
  • Describir los pasos para solicitar los cambios o actualizaciones a la política.
  • Explicar que acciones se seguiran en caso de contravenir la política.
  • Fecha a partir de la cual tiene vigencia la política.
  • Fecha de revisión de la conveniencia y la obsolescencia.
  • Incluir la dirección de correo electrónico, la web y el teléfono de las personas que deben contactar en caso de consultas.
Otras recomendaciones a seguir:
  • Uso de un lenguaje sencillo.
  • Escribir la política como si fuese a utilizarse siempre.
  • Debe escribirse para que cualquier persona la pueda entender.
  • Se debe evitar describir técnicas o métodos particulares para realizar las cosas.

Comentarios

Unknown ha dicho que…
Muy buen articulo acerca de la naturaleza de las politicas en las organizaciones.

Creo que estamos de acuerdo en que la etapa mas compleja, no es diseñarlas o revisarlas, sino al publicarlas y concientizar a la organizacion entera respecto de la necesidad de cumplirlas dia a dia.

Salu2 :D
1 de diciembre de 2010, 22:44
Unknown ha dicho que…
Definitivamente es un buen artículo, no es menos sabido que en muchas organizaciones la política de seguridad no pasa solo de ser una declaración de buenas intenciones que se realiza para cumplir en el papel con los objetivos trazados, pero pierde absoluta validez al pasar a ser parte de los documentos que nadie conoce y por ende no se pone en práctica.
Por otra parte, una buena política, acotada, clara (bien delimitada y con un lenguaje sencillo), alineada a los objetivos estratégicos, liderada por quienes ejercen la autoridad y transmitida transversalmente a la organización, que delimite responsabilidades, obligaciones y los respectivos instrumentos de control, es sin lugar a dudas uno de los sustentos que la seguridad de la información posee para cautelar las buenas prácticas que deben fluir en dirección hacia la continuidad de operaciones, la coherencia del plan estratégico en materia de seguridad de la información y la sustentabilidad de la plataforma tecnológica.
6 de enero de 2012, 17:07
Publicar un comentario

Entradas populares de este blog

7 Factores Integrales de la Seguridad de la Información

Introducción La Seguridad Informática o en su concepto actual y de mayor alcance, la Seguridad de la Información se ha transformado en una necesidad para todas las organizaciones. En el transcurso de este documento se revisarán siete factores que inciden en la seguridad de la información, estos han sido definidos por un grupo de académicos y profesionales de las tecnologías de la información en Chile como los de mayor relevancia a considerar en entornos que se requiera el tratamiento de información. En el transcurso de este documento revisaremos cómo estos factores inciden dentro de un a organización, para lo cual se ha seleccionado una empresa mediana la cual cuenta aproximadamente con 900 funcionarios, más de 750 estaciones de trabajo y un número mayor a 20 servidores con distintos niveles de servicio e importancia para la empresa. El documento está dirigido a profesionales vinculados a las Tecnologías de Información, sin embargo, el lenguaje utilizado permite que cualquier pers
Leer más

Elementos de un Proceso de Prueba de Software

El Proceso de Prueba, ayuda a asegurar que todas las partes del sistema funcionen como se espera, los elementos básicos para las actividades de prueba de software de aplicación son: Plan de Prueba: Se realizan en las primeras etapas del ciclo de vida y son ajustados hasta la etapa efectiva de prueba, estos planes identifican las porciones específicas del sistema que van a ser probadas. Los planes de prueba también especifican los niveles de severidad de los problemas encontrados. El examinador o tester determina la severidad del problema identificado durante la prueba. Dependiendo del nivel de severidad del problema identificado, el mismo puede ser reparado o bien permanecer en el sistema. A menudo los problemas de presentación en la Interfaz se clasifican como de severidad más baja y pueden no ser reparados si las limitaciones de tiempo se convierten en un problema para el administrador (lider, jefe) de proyecto. El sponsor del p
Leer más

Auto Evaluación del Control (Control Self Assessment)

Imagen
La autoevaluación del control (CSA) puede definirse como una técnica de la dirección que asegura a los stakeholders (accionistas, clientes y otros) que el sistema de control interno es confiable. Asegura que los empleados estén consientes de los riesgos del negocio y que realicen revisiones proactivas periódicas de los controles. Esta es una metodología usada para revisar los objetivos clave del negocio, los riesgos involucrados en alcanzar los objetivos de la organización y los controles internos diseñados para administrar estos riesgos en un proceso colaborativo formal y documentado. En la práctica, CSA es una serie de herramientas que abarcan desde simples cuestionarios hasta talleres de facilitación diseñados para recopilar información sobre la organización, solicitándola a los que tienen conocimientos de trabajo cotidiano de un área, así como también a sus directivos. Las herramientas usadas durante un proyecto de CSA son las mismas ya sea que el proyecto sea técnico, financiero
Leer más