Política de Seguridad de la Información: ¿qué nivel de detalle debería tener?
Muy a menudo observo políticas de seguridad de la información redactadas en forma muy detallada y que intentan abarcar absolutamente todo, desde los objetivos estratégicos hasta cuántos dígitos numéricos debería contener una contraseña. El único problema con este tipo de políticas es que cuentan con 50 o más páginas y, en realidad, nadie las toma seriamente. Generalmente terminan siendo documentos artificiales cuyo único objetivo es satisfacer al auditor.
Pero, ¿por qué son tan difíciles de implementar ese tipo de políticas? Porque son demasiado ambiciosas; tratan de cubrir demasiados temas y están dirigidas a un amplio círculo de gente.
Por eso mismo es que la ISO 27001, la norma líder en seguridad de la información, define diferentes niveles de políticas de seguridad de la información:
Por otro lado, las políticas detalladas deben estar orientadas al uso operativo y enfocadas en un campo más acotado de actividades de seguridad. Algunos ejemplos de este tipo de políticas son: Política de clasificación, Política sobre el uso aceptado de los activos de información, Política de creación de copias de seguridad, Política de control de acceso, Política de contraseñas, Política de escritorio y pantalla despejados, Política de uso de redes, Política sobre equipos móviles, Política sobre el uso de controles criptográficos, etc. Nota: la norma ISO 27001 no requiere la implementación ni la documentación de todas estas políticas porque la decisión de si corresponden dichos controles, y con qué alcance, depende de los resultados de la evaluación de riesgos.
Como estas políticas deben incluir más detalles, generalmente son más largas; de hasta 10 páginas. Si fueran mucho más largas, sería muy difícil implementarlas y mantenerlas.
En otras palabras, la seguridad de la información es un tema muy complejo para poder definirlo en una única política: debería haber diferentes políticas sobre los diferentes aspectos del SGSI y para los diferentes “destinatarios”. Las organizaciones medianas, normalmente elaboran hasta quince políticas sobre para su SGSI.
Se podría discutir que esta cantidad de políticas no significa más que gastos operativos para una empresa. Seguramente estaría de acuerdo si tales políticas son redactadas sólo pensando en la auditoría de certificación; de esta forma sólo producirían más burocracia. Sin embargo, si una política es redactada con la intención de disminuir los riesgos, más que seguro demostrará su valor, tal vez no de inmediato sino probablemente en dos o tres años, disminuyendo la cantidad de incidentes.
Fuente: Blog ISO 27000 Standard
Pero, ¿por qué son tan difíciles de implementar ese tipo de políticas? Porque son demasiado ambiciosas; tratan de cubrir demasiados temas y están dirigidas a un amplio círculo de gente.
Por eso mismo es que la ISO 27001, la norma líder en seguridad de la información, define diferentes niveles de políticas de seguridad de la información:
- Políticas de alto nivel (como la Política del sistema de gestión de seguridad de la información): estas políticas generalmente definen la intención, los objetivos y demás aspectos estratégicos.
- Políticas detalladas: este tipo de políticas generalmente describe detalladamente un área específica de la seguridad de la información, con responsabilidades definidas, etc.
Por otro lado, las políticas detalladas deben estar orientadas al uso operativo y enfocadas en un campo más acotado de actividades de seguridad. Algunos ejemplos de este tipo de políticas son: Política de clasificación, Política sobre el uso aceptado de los activos de información, Política de creación de copias de seguridad, Política de control de acceso, Política de contraseñas, Política de escritorio y pantalla despejados, Política de uso de redes, Política sobre equipos móviles, Política sobre el uso de controles criptográficos, etc. Nota: la norma ISO 27001 no requiere la implementación ni la documentación de todas estas políticas porque la decisión de si corresponden dichos controles, y con qué alcance, depende de los resultados de la evaluación de riesgos.
Como estas políticas deben incluir más detalles, generalmente son más largas; de hasta 10 páginas. Si fueran mucho más largas, sería muy difícil implementarlas y mantenerlas.
En otras palabras, la seguridad de la información es un tema muy complejo para poder definirlo en una única política: debería haber diferentes políticas sobre los diferentes aspectos del SGSI y para los diferentes “destinatarios”. Las organizaciones medianas, normalmente elaboran hasta quince políticas sobre para su SGSI.
Se podría discutir que esta cantidad de políticas no significa más que gastos operativos para una empresa. Seguramente estaría de acuerdo si tales políticas son redactadas sólo pensando en la auditoría de certificación; de esta forma sólo producirían más burocracia. Sin embargo, si una política es redactada con la intención de disminuir los riesgos, más que seguro demostrará su valor, tal vez no de inmediato sino probablemente en dos o tres años, disminuyendo la cantidad de incidentes.
Fuente: Blog ISO 27000 Standard
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!