Políticas de Seguridad

Anexo 5 - ISO 27001

Video Consejo INCIBE

Introducción a la necesidad de políticas de seguridad


Explicación orientativa


Un documento denominado "política" es aquel que expresa una intención e instrucción global en la manera que formalmente ha sido expresada por la Dirección de la organización.


Un error de interpretación habitual es confundir la política de gestión del SGSI indicada como requisito en la cláusula 5.2 de la norma ISO 27001 con el desarrollo de otras políticas adicionales (las que se entienden en este Anexo) que son complementarias y atienden a una implantación práctica de control a nivel operativo o práctico de la información que manejan usuarios, plataformas y otros posibles sistemas de tratamiento en los diferentes dispositivos lógicos y ubicaciones físicas de la organización.

Imagen de relación entre la política del Sistema de Gestión de Seguridad de la Información y políticas de seguridad

Partiendo del principio típico en seguridad "lo no esta permitido está prohibido" cada organización debería detectar las necesidades que le son específicas y valorar los controles necesarios que fundamenten las políticas aplicables, desarrollando la mejor estructura y relaciones entre ellas para su gestión más decuada.


El desarrollo de cada política específica atenderá al contexto en el que opera una organización tomando típicamente en consideración las necesidades de control en función de los fines y objetivos de la organización, las estrategias adoptadas para alcanzar sus objetivos, la estructura y los procesos adoptados por la organización, los objetivos generales y específicos relacionados con el tema de la política y requisitos de las políticas procedentes de niveles superiores en aspectos legales de obligado cumplimiento, del sector al que pertenece la organización, de la propia organización de niveles superiores o más ámplios, ...


Una estructura típica documentada en una política de este nivel:


  • Resumen: Política Resumen - Visión general de una extensión breve; una o dos frases y que pueden aparecer fusionadas con la introducción.
  • Introducción: Breve explicación del asunto principal de la política.
  • Ámbito de aplicación: Descripción de los departamentos, áreas o actividades de una organización a las que afecta/aplica la política. Cuando es relevante en este apartado se mencionan otras políticas relevantes a las que se pretende dar cobertura desde ésta.
  • Objetivos: Descripción de la intención de la política.
  • Principios: Descripción de las reglas que conciernen a acciones o decisiones para alcanzar los objetivos. En algunos casos puede ser de utilidad identificar previamente los procesos clave asociados con el asunto principal de la política para pasar posteriormente a identificar las reglas de operación de los procesos.
  • Responsabilidades: Descripción de quién es responsable de qué acciones para cumplie con los requisitos de la política. En algunos casos, esto puede incluir una descripción de los mecanismos organizativos, así como las responsabilidades de las personas con roles designados.
  • Resultados clave: Descripción de los resultados relevantes para las actividades de la organización que se obtienen cuando se cumplen los objetivos.
  • Políticas relacionadas: Descripción de otras políticas relevantes para el cumplimiento de los objetivos, usualmente se indican detalles adicionales en relación a temas específicos.

La política de alto nivel (más genérica) habitualmente relacionada con el sistema de gestión para la seguridad de la información (SGSI) suele estar apoyada por políticas de bajo nivel, específicas a aspectos concretos en temáticas como el control de accesos, la clasificación de la información, la seguridad física y ambiental, uso aceptable de activos, escritorio y pantallas libres de información sensible, dispositivos móviles y teletrabajo, backups, protección contra el malware, ...



5.1 Directrices de la Dirección en seguridad de la información

El objetivo de este control es el de dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del negocio, las leyes y las regulaciones.

Sin políticas indicadas desde la dirección los usuarios seguramente no tendrán qué se puede hacer o cómo hacerlo y a quién dirigirse en caso de duda. ¿se pueden hacer fotografías de personas/instalaciones? ¿se puede instalar software para uso particular en computadores o teléfonos corporatívos? ¿puedo publicar noticias de la empresa en la que trabajo en redes sociales? ¿qué contraseñas debo aplicar en los sistemas? ... son sólo algunos ejemplos que resultarán en distintos corportamientos del personal interno y externo según su propio criterio.

Los responsables de diferentes áreas funcionales de negocio y administradores de sistemas de tratamiento de la información o tendrán referencias claras para poder dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del negocio, las leyes y las regulaciones aplicables.

Una falta de establecimiento e implantación de políticas permite la materialización de potenciales amenazas, entre otras posibles, como:

- Daños físicos (agua, fuego, polución, accidentes, destrucción de equipos, polvo, corrosión, congelación,...) por falta de referencias  en la comprobación/observancia en estos activos y/o de comunicación de anomalías

- Pérdida de servicios esenciales (energía eléctrica, telecomunicaciones, aire acondicionado/agua, ...) por falta de referencias en la comprobación/observancia en estos activos y/o de comunicación de anomalías

- Afectaciones por radiación (electromagnéticas, térmicas, ...) por falta de referencias en la comprobación/observancia en activos potencialmente afectados y/o de comunicación de anomalías

- Compromiso de información (intercepción, espionaje en remoto, espionaje en proximidad, robo de equipos o documentos, recuperación desde medios reciclados o deshechados, divulgación, datos de fuentes no fiables, manipulación de hardware, manipulación de software, detección de posición, ...) por falta de entendimiento común de las acciones de protección aplicables

- Fallos técnicos (Falla o mal funcionamiento del equipo, saturación del sistema de información, mal funcionamiento del software, exposición de la mantenibilidad del sistema de información...) por falta de referencias en la comprobación/observancia en estos activos y/o de comunicación de anomalías

- Acciones no autorizadas (Uso no autorizado de equipos, copia fraudulenta del software, uso de software falsificado o copiado, corrupción de datos, comportamientos no autorizados, procesamiento ilegal de datos, ...) por falta de controles y mecanimos de gestión de usuarios e identidades

- Compromiso de las funciones (Error en el uso, abuso de privilegios, falsificación de privilegios, denegación de acciones, exposición de la disponibilidad del personal, ...) 

5.1.1 Políticas para la seguridad de la información: Se debería definir un conjunto de políticas para la seguridad de la información, aprobado por la dirección, publicado y comunicado a los empleados así como a todas las partes externas relevantes.


5.1.2 Revisión de las políticas para la seguridad de la información: Las políticas para la seguridad de la información se deberían planificar y revisar con regularidad o si ocurren cambios significativos para garantizar su idoneidad, adecuación y efectividad.

Cobertura de las políticas (es decir, porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito, aprobado y publicado políticas y sus normas, procedimientos y directrices asociadas.

Grado de despliegue y adopción de las políticas en la organización (medido por auditoría, gerencia o auto-evaluación).

GESCONSULTOR: Plataforma no gratuita que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión. El portal web aporta información de libre disposición sobre SGSI, Esquema Nacional de Seguridad y otros marcos y políticas relevantes y cómo deben ser tratados.


Series CCN: Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.


DIRECTION CENTRALE DE LA SÉCURITÉ DES SI: Publicaciones de ayuda en la redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.


DMOZ: Proyecto mantenido hasta 2017 que mantiene los contenidos disponibles con políticas de seguridad en diversas áreas


INFOSECWRITERS: Documento de libre descarga (inglés) que analiza las claves para la creación con éxito de una política de seguridad para Pequeñas y Medianas Empresas.


ISACA: Muchas de las directrices de ISACA para auditores de sistemas de información son útiles también como apoyo para redactar políticas de seguridad.


Guías NIST: Guías de la serie 800 sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.


NOTICEBORED: Plantilla no gratuita y manual de políticas de seguridad de la información basado en ISO 27002.


Plantillas SANS: Conjunto de plantillas de políticas de seguridad del SANS Institute (inglés)


Política Senado España: Normativa de uso de sistemas de información del Senado español como ejemplo de un despliegue de política.


© 2005 Aviso Legal - Términos de uso información iso27000.es