Políticas de Seguridad

Que me disculpen hoy los lectores ajenos a esta temática,  pero hoy voy a escribir un artículo concerniente a temas relacionados con mi trabajo. Aún así, seguro que algunos considerais el contenio interesante.

Para el que no lo sepa, una política de Seguridad son un conjunto de documentos que marcan la estrategia de la empresa en relación con la seguridad informática. Suelen constar de documentos a distintos niveles:

- Política: Sería como un documento de declaración de intenciones.

- Normativas: Son la descripción de obligaciones para hacer cumplir las políticas. Describen acciones concretas sobre distinos activos. Describen “el qué se hace”.

- Procedimientos: Son las descripciones técnicas que hacen cumplir las normativas. Están adaptadas a según que tecnología. Describen “el cómo se hace”.

(hay más tipos, que no mencionaremos aquí, como guías, buenas prácticas, estándares, etc.)

Lo que cualquiera que se dedique al mundo de la seguridad informática se habrá dado cuenta es que existen estándares sobre buenas practicas de seguridad (como la ISO 17799, 27001, ….) que mencionan las políticas, y “por encima”, que tienen que tener en cuenta.

Pero, ¿os habeis preguntado como se ejecuta un proyecto de desarrollo de un marco normativo en una organización? Yo se que cada empresa consultora tiene su propia manera de abordar este asunto. Entre estos métodos de cada consultora, existen puntos en común, pero en otros aspectos se hacen cosas distintas.

Guiado por la curiosidad, me he preguntado si existe alguna metodología aprobada para el desarrollo de las políticas de seguridad. Lo que me he encontrado ha sido de muy diversa índole. Espero que al lector le sirva de ayuda mis averiguaciones:

- Por regla general, existen Guías para el Desarrollo de Políticas.

- También existe un intento de creación de metodología para crear políticas. Aunque esta última no sabría si considerarla “buenas prácticas” o “metodología”.

- Por otro lado existen libros que tratan este tema y muestran muchos ejemplos de políticas de seguridad. Aunque no conozco el contenido de estos libros a fondo, intuyo que serán también unas guías genéricas e imagino que diferirán ligeramente de un libro a otro. Algunos ejemplos de libros aquí y otro aquí (este último, bastante conocido en el sector, cuesta más de 500€)

En definitiva, no existe nada serio en este campo (salvo desconocimiento mio, que no lo descarto). En este sentido, sería muy interesante que los organismos internacionales de estandarización movieran ficha para crear una metodología o algo consistente al respecto. Cosas a considerar serían:

  • ¿qué debe cubrir una política de seguridad?
  • ¿cúantas normativas debe tener una organización? ¿qué deben cubrir?
  • ¿cómo se establecen los ciclos de vida de los documentos?
  • ¿quién y cómo se establecen las responsabilidades?
  • ¿que normativas se desarrollan primero? ¿cuales son las dependencias entre normativas?
  • Implicaciones legales
  • Organización.
  • Etc.

Saludos

Fer

Esta entrada fue publicada el a las Viernes 29 de Febrero de 2008 y está archivada bajo las categorías Seguridad Informática. Puedes seguir las respuestas de esta entrada a través de sindicación RSS 2.0. Puedes dejar una respuesta, o trackback desde tu propio sitio.

Una respuesta para “Políticas de Seguridad”

  1. Michael Rahal Dice:
    Domingo, 2 Marzo 2008 a las 22:24 | Responder

    Hola Fermín, te he puesto un enlace en mi blog. Saludos, Michael

Escribe un comentario