Esquema de documentación de la Seguridad de la Información


Hace mucho rato no publicaba nada en el blog, sin duda el que hacer del día a día nos priva de poder generar información. El presente artículo tiene como único fin poder compartir un esquema de documentación que he venido trabajando desde hace algún tiempo.

Seguramente, los profesionales que se desempeñan en rol de Oficiales de Seguridad de la información, se han hecho la pregunta muchas veces ¿Que documentación debería tener una organización en relación a las Políticas de Seguridad?, 

Pues bien, no hay una respuesta en el mercado con una solución mágica, sin embargo, creo que la siguiente imagen puede ser un punto de orientación o punto de partida para saber cual es el mapa de documentos que debemos generar.



Si se aprecia correctamente, podrán notar que en el esquema solo figura la Política de Seguridad de la Información, documento que a mi gusto debe ser de alto nivel y aprobado por la Dirección de la organización, este documento no debe ser extenso ya que debe representar el espíritu de la organización en términos de Seguridad de la Información, debe ser un documento de objetivos generales y que delega la autoridad al comité o gerencia respectiva, la cual queda encargada de implementar un adecuado ambiente de control, ambiente acorde a la cultura y necesidades de cada organización.

¿Por qué de esta manera?

Efectivamente, las políticas de seguridad de la información extensas también deben ser aprobadas por los directores de las organizaciones, sin embargo, cuando son tan detalladas nos privan de la flexibilidad de poder cambiar el ambiente de control según las necesidades de la organización, debiendo los Directores por cada cambio realizar una revisión exhaustiva, lo cual demora el cumplimiento de los objetivos estratégicos y apartan a los directores de sus responsabilidades de dirección.

Si bien, son los Directores son responsables de la revisión y de lo que sucede al interior de la organización ellos poseen todo un staff detrás los cuales son los encargados de reportar, hacer los cambios que son necesarios y dar cuenta, seguimiento y control de un adecuado Gobierno de Tecnología y de Seguridad de la Información.

En muchas recomendaciones que he leído de distintas firmas auditoras las recomendaciones son una lista de Políticas pero eso no hace match con la definición de facto de que las Políticas son definidas a alto nivel para luego caér en Planes, Procedimientos, Estándar y Guías de Uso Aceptable.

Comentarios

Entradas populares de este blog

7 Factores Integrales de la Seguridad de la Información

Auto Evaluación del Control (Control Self Assessment)

QAT: Quality Assurance Test / UAT: User Acceptance Testing