Poltica de Seguridad de la Informacin: qu nivel de detalle debera tener?

| 27001Academy

Show me desktop version

LLMENOS AL +1 (646) 797 2744

Open Menu

Espaol

Introduzca un trmino de bsqueda

Open Menu

ISO 27001 & ISO 22301 Blog

Poltica de Seguridad de la Informacin:

qu nivel de detalle debera tener?
Dejan Kosutic | May 26, 2010

Muy a menudo observo polticas de seguridad de la informacin redactadas en forma muy detallada y
que intentan abarcar absolutamente todo, desde los objetivos estratgicos hasta cuntos dgitos
numricos debera contener una contrasea. El nico problema con este tipo de polticas es que
cuentan con 50 o ms pginas y, en realidad, nadie las toma seriamente. Generalmente terminan
siendo documentos artificiales cuyo nico objetivo es satisfacer al auditor.
Pero, por qu son tan difciles de implementar ese tipo de polticas? Porque son demasiado
ambiciosas; tratan de cubrir demasiados temas y estn dirigidas a un amplio crculo de gente.
Por eso mismo es que la ISO 27001, la norma lder en seguridad de la informacin, define diferentes
niveles de polticas de seguridad de la informacin:
Polticas de alto nivel (como la Poltica del sistema de gestin de seguridad de la informacin):
estas polticas generalmente definen la intencin, los objetivos y dems aspectos estratgicos.
Polticas detalladas: este tipo de polticas generalmente describe detalladamente un rea especfica
de la seguridad de la informacin, con responsabilidades definidas, etc.
La norma ISO 27001 requiere que la Poltica de gestin de la seguridad de la informacin (SGSI), al
ser el documento ms importante, contenga lo siguiente: el marco para establecer objetivos, tomando
en cuenta los diferentes requisitos y obligaciones, la alineacin con la realidad de la organizacin
respecto de la gestin estratgica del riesgo y el establecimiento de criterios de evaluacin. Una

http://www.iso27001standard.com/...talle-deberia-tener/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog[13/11/2014 10:44:45]

Poltica de Seguridad de la Informacin: qu nivel de detalle debera tener? | 27001Academy

poltica de estas caractersticas, en realidad, debera ser muy corta (tal vez una o dos pginas) porque
tiene como objetivo principal que la alta gerencia puede controlar su SGSI.
Por otro lado, las polticas detalladas deben estar orientadas al uso operativo y enfocadas en un campo
ms acotado de actividades de seguridad. Algunos ejemplos de este tipo de polticas son: Poltica de
clasificacin, Poltica sobre el uso aceptado de los activos de informacin, Poltica de creacin de
copias de seguridad, Poltica de control de acceso, Poltica de contraseas, Poltica de escritorio y
pantalla despejados, Poltica de uso de redes, Poltica sobre equipos mviles, Poltica sobre el uso de
controles criptogrficos, etc. Nota: la norma ISO 27001 no requiere la implementacin ni la
documentacin de todas estas polticas porque la decisin de si corresponden dichos controles, y con
qu alcance, depende de los resultados de la evaluacin de riesgos.
Como estas polticas deben incluir ms detalles, generalmente son ms largas; de hasta 10 pginas. Si
fueran mucho ms largas, sera muy difcil implementarlas y mantenerlas.
En otras palabras, la seguridad de la informacin es un tema muy complejo para poder definirlo en una
nica poltica: debera haber diferentes polticas sobre los diferentes aspectos del SGSI y para los
diferentes destinatarios. Las organizaciones medianas, normalmente elaboran hasta quince polticas
sobre para su SGSI.
Se podra discutir que esta cantidad de polticas no significa ms que gastos operativos para una
empresa. Seguramente estara de acuerdo si tales polticas son redactadas slo pensando en la
auditora de certificacin; de esta forma slo produciran ms burocracia. Sin embargo, si una poltica
es redactada con la intencin de disminuir los riesgos, ms que seguro demostrar su valor, tal vez no
de inmediato sino probablemente en dos o tres aos, disminuyendo la cantidad de incidentes.
Tambin puede dar un vistazo a nuestro tutorial en vdeo Cmo redactar la Poltica del SGSI segn
ISO 27001.

If you enjoyed this article, subscribe for updates

Improve your knowledge with our free resources on ISO 27001/ISO 22301 standards.

Your email

Receive updates by Email

100% privacy respected. Unsubscribe at any time with a single click.

Descargas gratuitas sobreISO

27001 & ISO 22301

VER MAS
http://www.iso27001standard.com/...talle-deberia-tener/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog[13/11/2014 10:44:45]

Poltica de Seguridad de la Informacin: qu nivel de detalle debera tener? | 27001Academy

ESCRIBA PARA
NOSOTROS

ISO 27001 & ISO 22301

Newsletter
Reciba nuevos artculos con datos tiles y
trucos sobre la implementacin de ISO
27001.
Email *

Envenme noticias
*Poltica de privacidad | Ver ms

Nube de etiquetas
actividad crtica
alcance
amenazas
Anexo
A
anlisis de impactos en el negocio

Auditora

interna
BS

25999-

2
capacitacin y concienciacin

certificacin
continuidad

del

negocio
controles
critical activity

Declaracin de aplicabilidad
ensayo de
GCN
estrategia

de la
continuidad del negocio

evaluacin

de riesgos
gestin de

documentacin
gestin de RR.HH
ISO

ISO

9001
ISO 14001
ISO 22301

27001

ISO 27002
ISO 27005
medicin

medidas correctivas y preventivas

objetivo de tiempo de recuperacin

perodo mximo tolerable de interrupcin

Plan

planes de
continuidad del negocio
Poltica

de tratamiento del riesgo

http://www.iso27001standard.com/...talle-deberia-tener/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog[13/11/2014 10:44:45]

Poltica de Seguridad de la Informacin: qu nivel de detalle debera tener? | 27001Academy

de GCN
poltica de seguridad de la
informacin
procedimientos obligatorio

recuperacin ante desastres

registros
respuesta
a incidentes
revisin por parte de la

gerencia
risk treatment
seguridad

de la

informacin
seguridad de TI
SGSI

sistemas de gestin
training & awareness

tratamiento de riesgos
vulnerabilidades

Popular puestos
1. Problemas para definir el alcance de la
norma ISO 27001
2. Diferencias y similitudes entre ISO 27001
e ISO 27002
3. Lista de apoyo para implementacin de
ISO 27001
4. La importancia de la Declaracin de
aplicabilidad para la norma ISO 27001
5. Lista de apoyo para implementacin de
ISO 27001

Mensajes recientes
Los 10 mejores sitios Web en espaol
sobre seguridad de la informacin

ISO 22301 vs. BS 25999-2 Infografa

La importancia de la Declaracin de
aplicabilidad para la norma ISO 27001

Continuidad del negocio para empresas

pequeas; es necesaria o no?

Las mayores falencias de ISO 27001

http://www.iso27001standard.com/...talle-deberia-tener/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog[13/11/2014 10:44:45]

Poltica de Seguridad de la Informacin: qu nivel de detalle debera tener? | 27001Academy

Contenido destacado

Consultor virtual gratuito

Qu es norma ISO 27001?

Qu es ISO 22301?

Calculador del Retorno sobre la

Inversin en Seguridad

Calculador del duracin de la

implementacin

PRODUCTOS

SOPORTE GRATIS

Tour del producto

Consulta gratuita

ISO 27001 e ISO 22301

ISO 27001

Consultor virtual

BASE DE
CONOCIMIENTO
Centro de aprendizaje
Qu es ISO 27001?

SOBRE

BLOG

Sobre nosotros

ISO 27001 & ISO

22301 Blog

Contacto

ISO 22301 y BS 25999

Cul es su primer
paso?

Auditora Interna

Evale sus opciones

Qu es BS 25999?

Anlisis de impactos en
el negocio

Conozca cmo puede

hacerlo usted mismo

Herramientas

Trminos Generales y
Condiciones de Uso

English

Descargas gratuitas

Nuestros socios

Deutsch

Evaluacin de riesgos

Prepare su proyecto

Espaol

Descarga de muestra
gratis

Compare opciones de
implementacin

Afiliados

Consiga que la
direccin se sume al
proyecto

Consultora en lnea
Tutoriales sobre
documentacin

Comience la
implementacin

Qu es ISO 22301?

Comentarios y clientes
Boletn informativo

IDIOMAS

Webinars
Expert Advice
Community

Portugus

Libros

Wiki

Hrvatski

nase a nuestra
comunidad en

http://www.iso27001standard.com/...talle-deberia-tener/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog[13/11/2014 10:44:45]

Poltica de Seguridad de la Informacin: qu nivel de detalle debera tener? | 27001Academy

Privilegio 2014 EPPS Services Ltd

http://www.iso27001standard.com/...talle-deberia-tener/?utm_source=whitepaper&utm_medium=iso27001checklist&utm_campaign=blog[13/11/2014 10:44:45]