Política de Seguridad de la Información

Las políticas y los procedimientos reflejan la guía y orientación de la gerencia para desarrollar controles sobre los sistemas de información y recursos relacionados.

¿Por qué documentarlas?

• Otorgan cumplimiento en aspectos legales y técnicos.
• Son una guía del comportamiento profesional y personal.
• Permiten la unificación de trabajo de personas, es decir, responsabilidades y funciones.
• Permiten recoger comentarios y observaciones que atiendan situaciones anormales.
• Mejorar las prácticas al interior de la organización.
• Logran asociar la filosofía de una organización al trabajo.

¿Qué son las Políticas?

Según la ISO/IEC: 17799 la define como la "Intención y dirección general expresada formalmente por la gerencia.

Una definición más acaba es la que nos da ISACA:

Las Políticas son documentos de alto nivel. Ellas representan la filosofía corporativa de una organización y el pensamiento estratégico de la alta gerencia y de los dueños de los procesos del negocio. Las políticas deben ser claras y concisas para que sean efectivas. La administración debe crear un ambiente de control positivo, asumiendo la responsabilidad de formular, desarrollar, documentar, promulgar y controlar las políticas que abarcan las metas y las directrices generales. La gerencia debe emprender las acciones necesarias para asegurar que los empleados afectados por una política específica reciban una explicación completa de la política y entiendan cuál es su propósito. Además, las políticas pueden también aplicarse a terceros y a outsources, quienes necesitarán estar vinculados para seguir las políticas a través de contratos o de declaraciones de trabajo.

Contenido completo en Blog de Nelson Castro y II