Académique Documents
Professionnel Documents
Culture Documents
| 27001Academy
Open Menu
Espaol
Open Menu
Muy a menudo observo polticas de seguridad de la informacin redactadas en forma muy detallada y
que intentan abarcar absolutamente todo, desde los objetivos estratgicos hasta cuntos dgitos
numricos debera contener una contrasea. El nico problema con este tipo de polticas es que
cuentan con 50 o ms pginas y, en realidad, nadie las toma seriamente. Generalmente terminan
siendo documentos artificiales cuyo nico objetivo es satisfacer al auditor.
Pero, por qu son tan difciles de implementar ese tipo de polticas? Porque son demasiado
ambiciosas; tratan de cubrir demasiados temas y estn dirigidas a un amplio crculo de gente.
Por eso mismo es que la ISO 27001, la norma lder en seguridad de la informacin, define diferentes
niveles de polticas de seguridad de la informacin:
Polticas de alto nivel (como la Poltica del sistema de gestin de seguridad de la informacin):
estas polticas generalmente definen la intencin, los objetivos y dems aspectos estratgicos.
Polticas detalladas: este tipo de polticas generalmente describe detalladamente un rea especfica
de la seguridad de la informacin, con responsabilidades definidas, etc.
La norma ISO 27001 requiere que la Poltica de gestin de la seguridad de la informacin (SGSI), al
ser el documento ms importante, contenga lo siguiente: el marco para establecer objetivos, tomando
en cuenta los diferentes requisitos y obligaciones, la alineacin con la realidad de la organizacin
respecto de la gestin estratgica del riesgo y el establecimiento de criterios de evaluacin. Una
http://www.iso27001standard.com/...talle-deberia-tener/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog[13/11/2014 10:44:45]
poltica de estas caractersticas, en realidad, debera ser muy corta (tal vez una o dos pginas) porque
tiene como objetivo principal que la alta gerencia puede controlar su SGSI.
Por otro lado, las polticas detalladas deben estar orientadas al uso operativo y enfocadas en un campo
ms acotado de actividades de seguridad. Algunos ejemplos de este tipo de polticas son: Poltica de
clasificacin, Poltica sobre el uso aceptado de los activos de informacin, Poltica de creacin de
copias de seguridad, Poltica de control de acceso, Poltica de contraseas, Poltica de escritorio y
pantalla despejados, Poltica de uso de redes, Poltica sobre equipos mviles, Poltica sobre el uso de
controles criptogrficos, etc. Nota: la norma ISO 27001 no requiere la implementacin ni la
documentacin de todas estas polticas porque la decisin de si corresponden dichos controles, y con
qu alcance, depende de los resultados de la evaluacin de riesgos.
Como estas polticas deben incluir ms detalles, generalmente son ms largas; de hasta 10 pginas. Si
fueran mucho ms largas, sera muy difcil implementarlas y mantenerlas.
En otras palabras, la seguridad de la informacin es un tema muy complejo para poder definirlo en una
nica poltica: debera haber diferentes polticas sobre los diferentes aspectos del SGSI y para los
diferentes destinatarios. Las organizaciones medianas, normalmente elaboran hasta quince polticas
sobre para su SGSI.
Se podra discutir que esta cantidad de polticas no significa ms que gastos operativos para una
empresa. Seguramente estara de acuerdo si tales polticas son redactadas slo pensando en la
auditora de certificacin; de esta forma slo produciran ms burocracia. Sin embargo, si una poltica
es redactada con la intencin de disminuir los riesgos, ms que seguro demostrar su valor, tal vez no
de inmediato sino probablemente en dos o tres aos, disminuyendo la cantidad de incidentes.
Tambin puede dar un vistazo a nuestro tutorial en vdeo Cmo redactar la Poltica del SGSI segn
ISO 27001.
Your email
VER MAS
http://www.iso27001standard.com/...talle-deberia-tener/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog[13/11/2014 10:44:45]
ESCRIBA PARA
NOSOTROS
Envenme noticias
*Poltica de privacidad | Ver ms
Nube de etiquetas
actividad crtica
alcance
amenazas
Anexo
A
anlisis de impactos en el negocio
Auditora
interna
BS
25999-
2
capacitacin y concienciacin
certificacin
continuidad
del
negocio
controles
critical activity
Declaracin de aplicabilidad
ensayo de
GCN
estrategia
de la
continuidad del negocio
evaluacin
de riesgos
gestin de
documentacin
gestin de RR.HH
ISO
ISO
9001
ISO 14001
ISO 22301
27001
ISO 27002
ISO 27005
medicin
planes de
continuidad del negocio
Poltica
http://www.iso27001standard.com/...talle-deberia-tener/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog[13/11/2014 10:44:45]
de GCN
poltica de seguridad de la
informacin
procedimientos obligatorio
gerencia
risk treatment
seguridad
de la
informacin
seguridad de TI
SGSI
sistemas de gestin
training & awareness
tratamiento de riesgos
vulnerabilidades
Popular puestos
1. Problemas para definir el alcance de la
norma ISO 27001
2. Diferencias y similitudes entre ISO 27001
e ISO 27002
3. Lista de apoyo para implementacin de
ISO 27001
4. La importancia de la Declaracin de
aplicabilidad para la norma ISO 27001
5. Lista de apoyo para implementacin de
ISO 27001
Mensajes recientes
Los 10 mejores sitios Web en espaol
sobre seguridad de la informacin
La importancia de la Declaracin de
aplicabilidad para la norma ISO 27001
http://www.iso27001standard.com/...talle-deberia-tener/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog[13/11/2014 10:44:45]
Contenido destacado
Qu es ISO 22301?
PRODUCTOS
SOPORTE GRATIS
Consulta gratuita
Consultor virtual
BASE DE
CONOCIMIENTO
Centro de aprendizaje
Qu es ISO 27001?
SOBRE
BLOG
Sobre nosotros
Contacto
Cul es su primer
paso?
Auditora Interna
Qu es BS 25999?
Anlisis de impactos en
el negocio
Herramientas
Trminos Generales y
Condiciones de Uso
English
Descargas gratuitas
Nuestros socios
Deutsch
Evaluacin de riesgos
Prepare su proyecto
Espaol
Descarga de muestra
gratis
Compare opciones de
implementacin
Afiliados
Consiga que la
direccin se sume al
proyecto
Consultora en lnea
Tutoriales sobre
documentacin
Comience la
implementacin
Qu es ISO 22301?
Comentarios y clientes
Boletn informativo
IDIOMAS
Webinars
Expert Advice
Community
Portugus
Libros
Wiki
Hrvatski
nase a nuestra
comunidad en
http://www.iso27001standard.com/...talle-deberia-tener/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog[13/11/2014 10:44:45]
http://www.iso27001standard.com/...talle-deberia-tener/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog[13/11/2014 10:44:45]