Normas, lineamientos y políticas relativas a la seguridad informática en la Universidad

Políticas, normas, lineamientos, estándares en seguridad informática

La elaboración de una política de seguridad es guiada por un plan de seguridad que contiene los pasos o directrices a seguir para su concreción. El establecimiento de las políticas de seguridad debe tomar en cuenta las circunstancias particulares de la organización: objetivos comerciales, requisitos legales, estructura organizativa, tecnología utilizada, nivel de conocimiento de los trabajadores con respecto a la seguridad de información. Al momento de establecer una política de seguridad en una organización es importante aclarar la terminología alrededor de las mismas.

Política:

consiste en una declaración general de principios que presenta la posición de la administración para un área de control definida. Las políticas se elaboran con el fin de que tengan aplicación a largo plazo y guíen el desarrollo de reglas y criterios más específicos que aborden situaciones concretas. Las políticas son desplegadas y soportadas por estándares, mejores prácticas, procedimientos y guías. Las políticas deben ser pocas (es decir, un número pequeño), deben ser apoyadas y aprobadas por las directivas de la empresa, y deben ofrecer direccionamientos a toda la organización o a un conjunto importante de dependencias. Por definición, las políticas son obligatorias y la incapacidad o imposibilidad para cumplir una política exige que se apruebe una excepción.

Estándar:

Regla que especifica una acción o respuesta que se debe seguir a una situación dada. Los estándares son orientaciones obligatorias que buscan hacer cumplir las políticas. Los estándares sirven como especificaciones para la implementación de las políticas: son diseñados para promover la implementación de las políticas de alto nivel de la organización antes que crear nuevas políticas.

Mejor práctica:

Es una regla de seguridad específica a una plataforma que es aceptada a través de la industria al proporcionar el enfoque más efectivo a una implementación de seguridad concreta. Las mejores prácticas son establecidas para asegurar que las características de seguridad de sistemas utilizados con regularidad estén configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a través de la organización.

Guía:

Una guía es una declaración general utilizada para recomendar o sugerir un enfoque para implementar políticas, estándares y buenas prácticas. Las guías son, esencialmente, recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, serán seguidas a menos que existan argumentos documentados y aprobados para no hacerlo.

Procedimiento:

Los procedimientos definen específicamente cómo las políticas, estándares, mejores prácticas y guías serán implementados en una situación dada. Los procedimientos son dependientes de la tecnología o de los procesos y se refieren a plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso o sistema específico.

Al momento de establecer la normativa que regulara los elementos de relativos a la seguridad de información en una organización es importante tomar en cuenta metodologías y guías ya establecidas en la industria para estos fines, entre los más conocidos y utilizados están: COSO, ISO 27001, COBIT, y CPSMM entre otros.

En la Universidad de Los Andes:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *