ISO 27002.es

El portal de ISO 27002 en Español


Enlace Apadrinado

Video Info

5. Políticas Seguridad

Un documento denominado "política" es aquel que expresa una intención e instrucción global en la manera que formalmente ha sido expresada por la Dirección de la organización.


El contenido de las políticas se basa en el contexto en el que opera una organización y suelen ser considerados en su redacción los fines y objetivos de la organización, las estrategias adoptadas para alcanzar sus objetivos, la estructura y los procesos adoptados por la organización, los objetivos generales y específicos relacionados con el tema de la política y requisitos de las políticas procedentes de niveles más superiores (legales de obligado cumplimiento, del sector al que pertenece la organización, de la propia organización de niveles superiores o más ámplios, ...) relacionadas.


Una estructura típica de las documentos de políticas podría ser:


  • Resumen: Política Resumen - Visión general de una extensión breve; una o dos frases y que pueden aparecer fusionadas con la introducción.
  • Introducción: Breve explicación del asunto principal de la política.
  • Ámbito de aplicación: Descripción de los departamentos, áreas o actividades de una organización a las que afecta/aplica la política. Cuando es relevante en este apartado se mencionan otras políticas relevantes a las que se pretende dar cobertura desde ésta.
  • Objetivos: Descripción de la intención de la política.
  • Principios: Descripción de las reglas que conciernen a acciones o decisiones para alcanzar los objetivos. En algunos casos puede ser de utilidad identificar previamente los procesos clave asociados con el asunto principal de la política para pasar posteriormente a identificar las reglas de operación de los procesos.
  • Responsabilidades: Descripción de quién es responsable de qué acciones para cumplie con los requisitos de la política. En algunos casos, esto puede incluir una descripción de los mecanismos organizativos, así como las responsabilidades de las personas con roles designados.
  • Resultados clave: Descripción de los resultados relevantes para las actividades de la organización que se obtienen cuando se cumplen los objetivos.
  • Políticas relacionadas: Descripción de otras políticas relevantes para el cumplimiento de los objetivos, usualmente se indican detalles adicionales en relación a temas específicos.

La política de alto nivel (más genérica) habitualmente relacionada con el sistema de gestión para la seguridad de la información (SGSI) suele estar apoyada por políticas de bajo nivel, específicas a aspectos concretos en temáticas como el control de accesos, la clasificación de la información, la seguridad física y ambiental, uso aceptable de activos, escritorio y pantallas libres de información sensible, dispositivos móviles y teletrabajo, backups, protección contra el malware, ...


Partiendo del principio típico en seguridad "lo no esta permitido está prohibido" cada organización debería detectar las necesidades de los usuarios y valorar los controles necesarios que fundamenten las políticas aplicable, aplicando la mejor estructura y relaciones entre ellas para su gestión.



Objetivo de control


Objetivo

Dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del negocio, las leyes y las regulaciones.

5.1 Directrices de la Dirección en seguridad de la información

La gerencia debería establecer de forma clara las líneas de las políticas de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo políticas de seguridad en toda la organización.

Actividades de control del riesgo

5.1.1 Políticas para la seguridad de la información: Se debería definir un conjunto de políticas para la seguridad de la información, aprobado por la dirección, publicado y comunicado a los empleados así como a todas las partes externas relevantes.


5.1.2 Revisión de las políticas para la seguridad de la información: Las políticas para la seguridad de la información se deberían planificar y revisar con regularidad o si ocurren cambios significativos para garantizar su idoneidad, adecuación y efectividad.

Métricas asociadas

Cobertura de las políticas (es decir, porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito, aprobado y publicado políticas y sus normas, procedimientos y directrices asociadas.


Grado de despliegue y adopción de las políticas en la organización (medido por auditoría, gerencia o auto-evaluación).

Enlaces a soluciones recomendadas

GESCONSULTOR: Plataforma no gratuita que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. El portal web aporta información de libre disposición sobre SGSI, Esquema Nacional de Seguridad y otros marcos y políticas relevantes y cómo deben ser tratados.


Modelo Política - ICIC: Modelo de Política de Seguridad de la Información para la Administración pública de Argentina, basado en ISO 27002. Establece directrices para cada uno de los controles.


Directorio BIS: Department for Business Innovation and Skills (apoyado por el Departamento de Industria y Comercio del Reino Unido) dispone de diversos documentos relacionados con la seguridad de la información, incluídas guías de desarrollo de políticas de seguridad y diversos checklists (inglés) con el objetivo de lograr la protección y desarrollo económico de las empresas.


Series CCN: Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.


DIRECTION CENTRALE DE LA SÉCURITÉ DES SI: Guía de redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa. Disponible en español.


DMOZ: Proyecto abierto que ha recopilado a modo de directorio todo tipo de políticas de seguridad en diversas áreas


INFOSECWRITERS: Documento de libre descarga (inglés) que analiza las claves para la creación con éxito de una política de seguridad para Pequeñas y Medianas Empresas.


ISACA: Muchas de las directrices de ISACA para auditores de sistemas de información son útiles también como apoyo para redactar políticas de seguridad.


Guías NIST: Guías de la serie 800 sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.


NOTICEBORED: Plantilla no gratuita y manual de políticas de seguridad de la información basado en ISO 27002.


Política RSA: Guía de creación de una política de seguridad (inglés). Alojado en web de CCCure.org


Plantillas SANS: Conjunto de plantillas de políticas de seguridad del SANS Institute (inglés)


Guía SANS: Guía de desarrollo de una política de seguridad de la información (inglés).


Política Senado España: Normativa de uso de sistemas de información del Senado español como ejemplo de un despliegue de política.


Política TBCS (inglés): Política de Seguridad del Gobierno de Canadá.


Toolkit UCISA: Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido que agrupa a las más importantes Universidades de Reino Unido y que han generado políticas de seguridad de la información basadas en ISO 27001.


Política UTN: Política de Seguridad de la Universidad Tecnológica Nacional (Argentina). 50 páginas, en español.