El primer paso a la hora de diseñar un sistema de gestión de seguridad de la información (SGSI) es escribir una política de seguridad. Una política de seguridad es a ISO 17799/27001 lo que una política de calidad es a un sistema de gestión ISO 9001:2000. La piedra angular de la que emana todo. Para los que no sepan lo que es una política de calidad, aquí tienen un ejemplo real, perteneciente a la Universidad de Almería.
Redactar una política de seguridad es difícil cuando no se sabe qué debe contener. Una vez conocidos los contenidos, no es tan complicado. El truco es hacerse a la idea de que ese documento debe recoger, de una manera sucinta, el porqué de ese SGSI, quién lo promueve, cómo lo promueve y qué objetivos/metas/fines se persiguen con su aplicación.
Yo no voy a reinventar la rueda, así que lo fácil es referirse a documentos ya existentes sobre la materia. Dancho Danchev ha escrito un magnífico documento al respecto, y ha tenido la gentileza que pocos tienen de compartirlo con todos. El documento aparece firmado por mi amigo Dancho, pero sin embargo le dan la autoría a John J. Pak. Debe ser alguna errata que ahora mismo no alcanzo a clarificar.
Lo que realmente importa es que el documento ha sido publicado en Infosecwriters, otorgándole por tanto máxima difusión, y lleva el título Building and Implementing a Successful Information Security Policy. Es, con mucha diferencia, el mejor documento sobre cómo redactar una política de seguridad que he leído desde hace mucho tiempo.
Sobre la cuestión de acaparar en privado, a los que retienen know-how en un intento absurdo y desesperado de proteger lo que al final acaba siendo de dominio público, les invito a leer esta reflexión publicada hace casi dos años. Las cosas han cambiado mucho con este mundo interconectado, y el alumno que guarda para sí los mejores apuntes sin ofrecerlos a sus compañeros ya no es el alumno con más ventajas a la hora de afrontar el examen.
Lo que alguien se guarda en un cajón en un intento de ser el único poseedor de ese conocimiento, acaba poniéndolo en lo alto de la mesa otra persona. Más tarde, o más temprano, sucede. Es un hecho innegable que es inherente a la nueva era digital en la que la información está pensada para que todos dispongamos de ella sin restricciones. Repito, todos, sin restricciones. Este pensamiento es aplicable, ojo, a aquellos que retienen para sí lo que no es suyo. Para nada quiero dar a entender que aquellos que generan know-how propio, con esfuerzo, sudor y lágrimas, no puedan protegerlo y explotarlo a su santo antojo, decidiendo si compartirlo o no.
Disfrutad de este PDF. No es habitual que la gente libere este tipo de conocimientos.
Hi dude :) Thanks for the tip, I guess they’ve processed it automatically without looking at it, which is sad as it’s a very popular publication I wrote three years ago, but still using pretty much all the time on the topic :
http://www.google.com/search?hl=en&lr=&q=Building+and+Implementing+a+Successful+Information+Security+Policy&btnG=Search
Cheers,
Dancho
Yo creo que aquí realmente coinciden dos problemas diferentes: primero que muy pocas empresas realizan planes de seguridad y segundo que, como tú dices, son menos aún las que comparten ese conocimiento.
Yo abrí una sección en mi antigua web (1.0 ;-)) destinada a recopilar planes y políticas de seguridad, de recuperación ante desastres, etc, y me moría de tristeza cada vez que pasaba por ella porque no había forma de llenarla:
http://www.morales-vazquez.com/fplanes.html
Muy buen post y mucho mejor documento de Dancho Danchev. El post viene a dar en el auténtico corazón de la seguridad de una organización y es sólamente que la Dirección de la empresa entienda las implicaciones de la seguridad dentro del desempeño de los procesos de negocio (algo que en seguridad física entienden muy facilmente y en seguridad de la información apenas perciben).
Además tenemos otro problema añadido y es lo extendido que está en seguridad la palabra política y los diferentes usos y objetivos que puede tener. Tenemos política de parches, política de filtrado, política corporativa de uso de los sistemas informáticos, etc…
Además, tradicionalmente a la redacción de los principios básicos de utilización y uso de los sistemas informaticos también se le ha llamado política, y ahora con la aparición del SGSI de nuevo se nombra a la Política como el documento padre del sistema.
Debemos distinguir por tanto entre la Política del SGSI (visto como una declaración de objetivos de la dirección respecto de la seguridad) y lo que normalmente entendemos por políticas asociadas a textos regulatorios de conducta. Yo prefiero utilizar para aclararme la siguiente regla: Política (¿qué quiero conseguir), normas o políticas de uso ( de rango menor y alineadas con los objetivos de la política, cuya redacción establece cómo vamos a conseguirlo) y procedimientos e instrucciones de trabajo (reglas para hacer las cosas según lo establecido). Con esta filosofía, todos los documentos son dependientes unos de otros, conexos, coherentes e independientes de cara a modificaciones o revisiones.
Joe,me he emocionao, …este comentario casi es materia para un post del mio.
José María,
Me anoto ese enlace para inspeccionarlo. Hay cosas que no pierden utilidad con el paso del tiempo, y seguro que algo tienes ahí colgado que merezca lectura y descarga :D
Javier,
Me quedo con lo que dices sobre «Además tenemos otro problema añadido y es lo extendido que está en seguridad la palabra política y los diferentes usos y objetivos que puede tener».
No te falta razón. Cualquier metodología o manera de hacer las cosas en una empresa, hasta poner sellos en sobres, se llama política.
Es obvio que para una persona versada en la materia no hace falta especificar que se trata de la política del SGSI, pero evidentemente, no todos están formados en este campo.
Me anoto esto. Creo que hay que ir especificando, y no todos los lectores tienen familiaridad con los sistemas de gestión de la seguridad.
Si haces un post sobre la materia, no dudaré el leerlo :)
Hola chicos,
Llegué a este post buscando info sobre como implementar un SGSI y realmente me he quedado atónita con todo lo que hay y falta x decir sobre seguridad de la información.
Muchas gracias Dancho por ese documento y a todos ustedes por colaborar con tan interesantes artículos.
Saludos desde Perú!