{"id":4823,"date":"2010-05-26T08:35:45","date_gmt":"2010-05-26T08:35:45","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/05\/26\/politica-de-seguridad-de-la-informacion-que-nivel-de-detalle-deberia-tener\/"},"modified":"2022-12-28T12:42:35","modified_gmt":"2022-12-28T12:42:35","slug":"politica-de-seguridad-de-la-informacion-que-nivel-de-detalle-deberia-tener","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/es\/blog\/2010\/05\/26\/politica-de-seguridad-de-la-informacion-que-nivel-de-detalle-deberia-tener\/","title":{"rendered":"Pol\u00edtica de Seguridad de la Informaci\u00f3n: \u00bfqu\u00e9 nivel de detalle deber\u00eda tener?"},"content":{"rendered":"<p><div id=\"side-banner-trigger\" class=\"banner-shortcode\"><\/div><br \/>\nMuy a menudo observo pol\u00edticas de seguridad de la informaci\u00f3n redactadas en forma muy detallada y que intentan abarcar absolutamente todo, desde los objetivos estrat\u00e9gicos hasta cu\u00e1ntos d\u00edgitos num\u00e9ricos deber\u00eda contener una contrase\u00f1a. El \u00fanico problema con este tipo de pol\u00edticas es que cuentan con 50 o m\u00e1s p\u00e1ginas y, en realidad, nadie las toma seriamente. Generalmente terminan siendo documentos artificiales cuyo \u00fanico objetivo es satisfacer al auditor.<\/p>\n<p>Pero, \u00bfpor qu\u00e9 son tan dif\u00edciles de implementar ese tipo de pol\u00edticas? Porque son demasiado ambiciosas; tratan de cubrir demasiados temas y est\u00e1n dirigidas a un amplio c\u00edrculo de gente.<\/p>\n<p>Por eso mismo es que la <a href=\"https:\/\/advisera.com\/27001academy\/es\/que-es-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a>, la norma l\u00edder en seguridad de la informaci\u00f3n, define diferentes niveles de pol\u00edticas de seguridad de la informaci\u00f3n:<\/p>\n<ul>\n<li>Pol\u00edticas de alto nivel (como la <a href=\"https:\/\/advisera.com\/27001academy\/es\/documentation\/politica-del-sgsi\/\" target=\"_blank\" rel=\"noopener noreferrer\">Pol\u00edtica del sistema de gesti\u00f3n de seguridad de la informaci\u00f3n<\/a>): estas pol\u00edticas generalmente definen la intenci\u00f3n, los objetivos y dem\u00e1s aspectos estrat\u00e9gicos.<\/li>\n<li>Pol\u00edticas detalladas: este tipo de pol\u00edticas generalmente describe detalladamente un \u00e1rea espec\u00edfica de la seguridad de la informaci\u00f3n, con responsabilidades definidas, etc.<\/li>\n<\/ul>\n<p>La norma ISO 27001 requiere que la Pol\u00edtica de gesti\u00f3n de la seguridad de la informaci\u00f3n (SGSI), al ser el documento m\u00e1s importante, contenga lo siguiente: el marco para establecer objetivos, tomando en cuenta los diferentes requisitos y obligaciones, la alineaci\u00f3n con la realidad de la organizaci\u00f3n respecto de la gesti\u00f3n estrat\u00e9gica del riesgo y el establecimiento de criterios de evaluaci\u00f3n. Una pol\u00edtica de estas caracter\u00edsticas, en realidad, deber\u00eda ser muy corta (tal vez una o dos p\u00e1ginas) porque tiene como objetivo principal que la alta gerencia puede controlar su SGSI.<\/p>\n<p>Por otro lado, las pol\u00edticas detalladas deben estar orientadas al uso operativo y enfocadas en un campo m\u00e1s acotado de actividades de seguridad. Algunos ejemplos de este tipo de pol\u00edticas son: Pol\u00edtica de clasificaci\u00f3n, Pol\u00edtica sobre el uso aceptado de los activos de informaci\u00f3n, Pol\u00edtica de creaci\u00f3n de copias de seguridad, Pol\u00edtica de control de acceso, Pol\u00edtica de contrase\u00f1as, Pol\u00edtica de escritorio y pantalla despejados, Pol\u00edtica de uso de redes, Pol\u00edtica sobre equipos m\u00f3viles, Pol\u00edtica sobre el uso de controles criptogr\u00e1ficos, etc. Nota: la norma ISO 27001 no requiere la implementaci\u00f3n ni la documentaci\u00f3n de todas estas pol\u00edticas porque la decisi\u00f3n de si corresponden dichos controles, y con qu\u00e9 alcance, depende de los resultados de la evaluaci\u00f3n de riesgos.<\/p>\n<p>Como estas pol\u00edticas deben incluir m\u00e1s detalles, generalmente son m\u00e1s largas; de hasta 10 p\u00e1ginas. Si fueran mucho m\u00e1s largas, ser\u00eda muy dif\u00edcil implementarlas y mantenerlas.<\/p>\n<p>En otras palabras, la seguridad de la informaci\u00f3n es un tema muy complejo para poder definirlo en una \u00fanica pol\u00edtica: deber\u00eda haber diferentes pol\u00edticas sobre los diferentes aspectos del SGSI y para los diferentes \u00abdestinatarios\u201d. Las organizaciones medianas, normalmente elaboran hasta quince pol\u00edticas sobre para su SGSI.<\/p>\n<p>Se podr\u00eda discutir que esta cantidad de pol\u00edticas no significa m\u00e1s que gastos operativos para una empresa. Seguramente estar\u00eda de acuerdo si tales pol\u00edticas son redactadas s\u00f3lo pensando en la auditor\u00eda de certificaci\u00f3n; de esta forma s\u00f3lo producir\u00edan m\u00e1s burocracia. Sin embargo, si una pol\u00edtica es redactada con la intenci\u00f3n de disminuir los riesgos, m\u00e1s que seguro demostrar\u00e1 su valor, tal vez no de inmediato sino probablemente en dos o tres a\u00f1os, disminuyendo la cantidad de incidentes.<\/p>\n<p><em>Consulte este curso gratuito de formaci\u00f3n en l\u00ednea\u00a0<\/em><a href=\"https:\/\/advisera.com\/training\/iso-27001-foundations-course\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001 Foundations Course<\/a> <em>para aprender m\u00e1s sobre la Pol\u00edtica de Seguridad de la Informaci\u00f3n y otras pol\u00edticas que se requieren para el cumplimiento de ISO 27001.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Muy a menudo observo pol\u00edticas de seguridad de la informaci\u00f3n redactadas en forma muy detallada y que intentan abarcar absolutamente todo, desde los objetivos estrat\u00e9gicos hasta cu\u00e1ntos d\u00edgitos num\u00e9ricos deber\u00eda contener una contrase\u00f1a. El \u00fanico problema con este tipo de pol\u00edticas es que cuentan con 50 o m\u00e1s p\u00e1ginas y, en realidad, nadie las toma &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[53],"tags":[1232,1591],"class_list":["post-4823","post","type-post","status-publish","format-standard","hentry","category-blog-es","tag-iso-27001-es","tag-iso-27001-es-2"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts\/4823","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/comments?post=4823"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts\/4823\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/media?parent=4823"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/categories?post=4823"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/tags?post=4823"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}