Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Guia para Elaborar Politicas v1 0
Guia para Elaborar Politicas v1 0
VICERRECTORIA GENERAL
DIRECCIN NACIONAL DE INFORMTICA Y COMUNICACIONES
POLTICA
Declaracin general de principios que presenta la posicin de la administracin para un rea de
control definida. Las polticas se elaboran con el fin de que tengan aplicacin a largo plazo y guen
el desarrollo de reglas y criterios ms especficos que aborden situaciones concretas. Las polticas
son desplegadas y soportadas por estndares, mejores prcticas, procedimientos y guas. Las
polticas deben ser pocas (es decir, un nmero pequeo), deben ser apoyadas y aprobadas por las
directivas de la universidad, y deben ofrecer direccionamientos a toda la organizacin o a un
conjunto importante de dependencias. Por definicin, las polticas son obligatorias y la
incapacidad o imposibilidad para cumplir una poltica exige que se apruebe una excepcin.
ESTNDAR
Regla que especifica una accin o respuesta que se debe seguir a una situacin dada. Los
estndares son orientaciones obligatorias que buscan hacer cumplir las polticas. Los estndares
sirven como especificaciones para la implementacin de las polticas: son diseados para
promover la implementacin de las polticas de alto nivel de la organizacin antes que crear
nuevas polticas.
MEJOR PRCTICA
Es una regla de seguridad especfica a una plataforma que es aceptada a travs de la industria al
proporcionar el enfoque ms efectivo a una implementacin de seguridad concreta. Las mejores
prcticas son establecidas para asegurar que las caractersticas de seguridad de sistemas
utilizados con regularidad estn configurados y administrados de manera uniforme, garantizando
un nivel consistente de seguridad a travs de la organizacin.
GUA
Una gua es una declaracin general utilizada para recomendar o sugerir un enfoque para
implementar polticas, estndares y buenas prcticas. Las guas son, esencialmente,
recomendaciones que deben considerarse al implementar la seguridad. Aunque no son
obligatorias, sern seguidas a menos que existan argumentos documentados y aprobados para no
hacerlo.
PROCEDIMIENTO
Los procedimientos definen especficamente cmo las polticas, estndares, mejores prcticas y
guas sern implementados en una situacin dada. Los procedimientos son dependientes de la
tecnologa o de los procesos y se refieren a plataformas, aplicaciones o procesos especficos. Son
utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar
la seguridad relacionada a dicho proceso o sistema especfico. Generalmente los procedimientos
son desarrollados, implementados y supervisados por el dueo del proceso o del sistema. Los
procedimientos seguirn las polticas de la organizacin, los estndares, las mejores prcticas y
las guas tan cerca como les sea posible, y a la vez se ajustarn a los requerimientos
procedimentales o tcnicos establecidos dentro de la dependencia donde ellos se aplican.
El cuadro anterior, adems de presentar una definicin de los trminos utilizados en la enunciacin
e implementacin de polticas, muestra una jerarqua entre las definiciones.
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
2/13
Comunicacin (4)
Aprobacin (3)
Cumplimiento (5)
Concienciacin (7)
Fase
de desarrollo
Excepciones (6)
Monitoreo (8)
Fase de
implementacin
Garanta de
Cumplimiento (9)
Mantenimiento (10)
Fase de
mantenimiento
Retiro (11)
Fase
de eliminacin
Hay 11 etapas que deben realizarse a travs de la vida de una poltica. Estas 11 etapas pueden ser
agrupadas en 4 fases.
1. Fase de desarrollo: durante esta fase la poltica es creada, revisada y aprobada.
2. Fase de implementacin: en esta fase la poltica es comunicada y acatada (o no cumplida
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
3/13
haga el esfuerzo para que sea aceptada por la administracin. Puede ocurrir que por
incertidumbre de la autoridad de aprobacin sea necesaria una aprobacin temporal.
Comunicacin: Difundir la poltica
Una vez la poltica ha sido aprobada formalmente, se pasa a la fase de implementacin. La
comunicacin de la poltica es la primera etapa que se realiza en esta fase. La poltica debe
ser inicialmente difundida a los miembros de la comunidad universitaria o a quienes sean
afectados directamente por la poltica (contratistas, proveedores, usuarios de cierto servicio,
etc.). Esta etapa implica determinar el alcance y el mtodo inicial de distribucin de la
poltica (es posible que deban tenerse en cuenta factores como la ubicacin geogrfica, el
idioma, la cultura y lnea de mando que ser utilizada para comunicar la poltica). Debe
planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que
debe ser seguido para mejorar la visibilidad de la poltica.
Cumplimiento: Implementar la poltica
La etapa de cumplimiento incluye actividades relacionadas con la ejecucin de la poltica.
Implica trabajar con otras personas de la universidad, vicerrectores, decanos, directores de
departamento y los jefes de dependencias (de divisin o de seccin) para interpretar cul es
la mejor manera de implementar la poltica en diversas situaciones y oficinas; asegurando
que la poltica es entendida por aquellos que requieren implementarla, monitorearla, hacerle
seguimiento, reportar regularmente su cumplimiento y medir el impacto inmediato de la
poltica en las actividades operativas. Dentro de estas actividades est la elaboracin de
informes a la administracin del estado de la implementacin de la poltica.
Excepciones: Gestionar las situaciones donde la implementacin no es posible
Debido a problemas de coordinacin, falta de personal y otros requerimientos
operacionales, no todas las polticas pueden ser cumplidas de la manera que se pens al
comienzo. Por esto, cuando los casos lo ameriten, es probable que se requieran excepciones
a la poltica para permitir a ciertas oficinas o personas el no cumplimiento de la poltica.
Debe establecerse un proceso para garantizar que las solicitudes de excepciones son
registradas, seguidas, evaluadas, enviadas para aprobacin o desaprobacin, documentadas
y vigiladas a travs del periodo de tiempo establecido para la excepcin. El proceso
tambin debe permitir excepciones permanentes a la poltica al igual que la no aplicacin
temporal por circunstancias de corta duracin.
Concienciacin: Garantiza la concienciacin continuada de la poltica
La etapa de concienciacin de la fase de mantenimiento comprende los esfuerzos continuos
realizados para garantizar que las personas estn concientes de la poltica y buscan facilitar
su cumplimiento. Esto es hecho al definir las necesidades de concienciacin de los diversos
grupos de audiencia dentro de la organizacin (directivos, jefes de dependencias, usuarios,
etc.); en relacin con la adherencia a la poltica, determinar los mtodos de concienciacin
ms efectivos para cada grupo de audiencia (es decir, reuniones informativas, cursos de
entrenamiento, mensajes de correo, etctera); y desarrollo y difusin de material de
concienciacin (presentaciones, afiches, circulares, etc.). La etapa de concienciacin
tambin incluye esfuerzos para integrar el cumplimiento de la poltica y retroalimentacin
sobre el control realizado para su cumplimiento. La tarea final es medir la concienciacin
de los miembros de la comunidad universitaria con la poltica y ajustar los esfuerzos de
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
5/13
polticas que no estarn bien concebidas ni sern bien recibidas por la comunidad universitaria. En
otras circunstancias, y por falta de visin, puede desearse omitir la etapa de excepciones de la fase
de implementacin, pensando equivocadamente que no existirn circunstancias para su no
cumplimiento. Tambin se podra descuidar la etapa de mantenimiento, olvidando la importancia de
mantener la integridad y la vigencia de las polticas. Muchas veces se encuentran polticas
inoficiosas en los documentos de importantes organizaciones, indicando que la etapa de retiro no
est siendo realizada.
No slo se requiere que las once etapas sean realizadas, algunas de ellas deben ser ejecutadas de
manera cclica, en particular mantenimiento, concienciacin, monitoreo, y garanta de
cumplimiento.
ALGUNAS PRCTICAS RECOMENDADAS PARA ESCRIBIR UNA POLTICA
Sin importar que una poltica se enuncie formal o informalmente, esta debe incluir 12 tpicos:
1. La declaracin de la poltica (cul es la posicin de la administracin o qu es lo que se
desea regular)
2. Nombre y cargo de quien autoriza o aprueba la poltica
3. Nombre de la dependencia, del grupo o de la persona que es el autor o el proponente de la
poltica
4. Debe especificarse quin debe acatar la poltica (es decir, a quin est dirigida) y quin es el
responsable de garantizar su cumplimiento
5. Indicadores para saber si se cumple o no la poltica
6. Referencias a otras polticas y regulaciones en las cuales se soporta o con las cuales tiene
relacin
7. Enunciar el proceso para solicitar excepciones
8. Describir los pasos para solicitar cambios o actualizaciones a la poltica
9. Explicar qu acciones se seguirn en caso de contravenir la poltica
10. Fecha a partir de la cual tiene vigencia la poltica
11. Fecha cuando se revisar la conveniencia y la obsolescencia de la poltica
12. Incluir la direccin de correo electrnico, la pgina web y el telfono de la persona o
personas que se pueden contactar en caso de preguntas o sugerencias
Otras prcticas que se recomiendan seguir son:
1.
2.
3.
4.
Uso de lenguaje sencillo (evitar lenguaje tcnico hasta donde sea posible)
Escribir la poltica como si fuese a utilizarse siempre
Debe escribirse de tal forma que pueda leerlo cualquier miembro de la universidad
Se debe evitar describir tcnicas o mtodos particulares que definan una sola forma de
hacer las cosas
5. Cuando se requiera, hacer referencia explicita y clara a otras dependencias de la
organizacin
6. Utilizar la gua para la presentacin de documentos escritos de la universidad
ASPECTOS IMPORTANTES PARA
DESARROLLO DE POLTICAS
DEFINIR
RESPONSABILIDADES
EN
EL
proteccin de los activos informticos. Por diseo, la funcin seguridad informtica tiene la
responsabilidad a largo plazo y debe ejecutar las tareas diarias para asegurar los activos de
informacin y por tanto, debe ser el dueo y debe ejercer control centralizado sobre las
POLTICAS, ESTNDARES, MEJORES PRCTICAS, PROCEDIMIENTOS Y GUAS
relacionados con seguridad informtica.
Pero en ningn caso la funcin seguridad informtica debe ser el proponente de todas las polticas
relacionadas con seguridad, ni tampoco debe realizar todas las etapas de desarrollo en el ciclo de
vida de la poltica. Por ejemplo, los dueos de los sistemas de informacin deben tener la
responsabilidad para establecer los requerimientos necesarios para implementar las polticas de la
universidad para sus propios sistemas. Cuando existan requerimientos de seguridad en cierta
dependencia que deben cumplir con polticas de nivel superior, su proponente debe ser la
dependencia que tiene inters en garantizar la efectividad de dicha poltica.
Aunque el proponente o dueo de una poltica tiene una responsabilidad contina sobre el ciclo de
vida completo de la poltica, hay varios factores que influyen sobre la determinacin y la decisin
de quin o qu dependencia tienen responsabilidad directa para realizar etapas especficas del ciclo
de vida de la poltica en una organizacin. Entre estos factores se incluyen:
1. Separacin de tareas. El principio de separacin de tareas debe ser aplicado para
determinar la responsabilidad de una etapa en particular para garantizar que los chequeos y
ajustes necesarios sean aplicados. Para proveer una perspectiva ms amplia y diferente, un
directivo, o un grupo que sea independiente del proponente, debe revisar la poltica y una
directiva, superior al proponente, debe encargarse de aprobar la poltica. O, para disminuir
los posibles conflictos de intereses, la funcin auditoria (o control interno), como oficina
independiente dentro de la organizacin, debe ser encargada del monitoreo del
cumplimiento de la poltica, en tanto que grupos u organizaciones de auditoria externos
deben ser invitados a realizar una evaluacin independiente del cumplimiento de las
polticas para ser consistentes con el principio de separacin de tareas.
2. Eficiencia. Adicionalmente, por razones de eficiencia, dependencias diferentes a la
proponente deben tener alguna responsabilidad para la realizacin de ciertas etapas del ciclo
de vida del desarrollo de una poltica. Por ejemplo, la difusin y la comunicacin de la
poltica sera mejor realizada si se encomendara a la dependencia encargada de estas
funciones dentro de la organizacin (por ejemplo, la Secretara General, las Secretaras de
las sedes o UNIMEDIOS). Por otra parte, basados en la eficiencia, los esfuerzos de
concienciacin seran asignados a la funcin capacitacin de la universidad (en este
momento se encuentra en la Direccin Nacional de Personal y las oficinas de personal de
las sedes) -an cuando puede ocurrir que el personal de capacitacin no est entrenado
especficamente en la labor de la concienciacin de la poltica de seguridad-. En este ltimo
caso, sera mejor que la desarrollara la funcin de seguridad informtica.
3. Alcance del control. Lmites en el alcance del control que la dependencia proponente
puede ejercer tiene impacto sobre quin debe ser el ponente de una poltica especfica.
Normalmente, el proponente slo puede jugar un papel limitado en el monitoreo y en la
garanta del cumplimiento de la poltica debido a que l no puede estar en todos lo sitios, en
todo momento, donde sta debe ser implementada. Los vicerrectores, decanos, directores de
departamento, jefes de oficinas, de dependencias, de divisiones o de secciones, por su
ubicacin jerrquica, estn cerca de las personas (docentes, estudiantes o empleados) a
quienes afecta la poltica de seguridad y por tanto estn en una mejor posicin para
monitorear de manera efectiva y garantizar el cumplimiento de la poltica. Por tanto deben
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
8/13
Etapa
Polticas
Creacin
Funcin
seguridad
informtica
Revisin
Aprobacin
Comit de evaluacin
de polticas
Funcin
seguridad
informtica
e
ingenieros
con
conocimiento en el
rea
Comit de evaluacin
de polticas
Funcin
seguridad
informtica
e
ingenieros
con
conocimiento en el
rea
Comit de evaluacin
de polticas
Rector general o
vicerrector general
Secretara
o
UNIMEDIOS
Docentes,
estudiantes,
empleados
y
funcionarios
con
responsabilidades de
supervisin en toda la
universidad
Comit de evaluacin
de polticas
Funcin
seguridad
informtica y funcin
capacitacin
Funcionarios
con
responsabilidades de
supervisin, funcin
seguridad informtica
y funcin auditoria
Rector general o
vicerrector
Secretara
o
UNIMEDIOS
Docentes,
estudiantes,
empleados
y
funcionarios
con
responsabilidades de
supervisin en toda la
universidad
Comit de evaluacin
de polticas
Funcin
seguridad
informtica y funcin
capacitacin
Funcionarios
con
responsabilidades de
supervisin, funcin
seguridad informtica
y funcin auditoria
Rector general o
vicerrector
Secretara
o
UNIMEDIOS
Docentes,
estudiantes,
empleados
y
funcionarios
con
responsabilidades de
supervisin en toda la
universidad
No aplica
Garantizar
cumplimiento
Funcionarios
con
responsabilidades de
supervisin
Funcionarios
con
responsabilidades de
supervisin
No aplica
Mantenimiento
Funcin
seguridad
informtica
Funcin
seguridad
informtica
Funcin
seguridad
informtica
Funcin
seguridad
informtica
Funcin
seguridad
informtica
Funcin
seguridad
informtica
Comunicacin
Cumplimiento
Excepciones
Concienciacin
Monitoreo
Retiro
Funcin
seguridad
informtica y funcin
capacitacin
Funcionarios
con
responsabilidades de
supervisin, funcin
seguridad informtica
y funcin auditoria
Procedimientos
Dependencia que los
propone
Funcin
seguridad
informtica y director
de dependencia
Directivo del rea
Dependencia que los
propone
Empleados
y
funcionarios
con
responsabilidades de
supervisin de la
dependencia
Directivo del rea
Jefe de dependencia
Funcionarios
con
responsabilidades de
supervisin
y
personas asignadas
dentro
de
la
dependencia, funcin
seguridad informtica
y funcin auditoria
Funcionarios
con
responsabilidades de
supervisin
asignados
en
la
dependencia
Dependencia que los
propone
Dependencia que los
propone
El cuadro anterior proporciona una orientacin para asignar responsabilidades a cada etapa de
desarrollo de una poltica de acuerdo al nivel del requerimiento. En general, este modelo propone
que la responsabilidad para las etapas relacionadas con las POLTICAS, ESTNDARES,
MEJORES PRCTICAS y GUAS sean similares en muchos aspectos. Al existir una dependencia
encargada de la gestin del programa de seguridad informtica de toda la universidad, la funcin de
seguridad informtica debe servir como proponente para la mayora de POLTICAS,
ESTNDARES, MEJORES PRCTICAS Y GUAS relacionadas con la seguridad de los recursos
de informacin de la universidad -en colaboracin con los profesionales que tengan conocimientos
en el rea tcnica especfica-. Dentro de sus posibilidades, la funcin de seguridad informtica debe
realizar las etapas de creacin, concienciacin, mantenimiento y retiro para las polticas de
seguridad de cada nivel. Sin embargo, hay excepciones a este principio general. Por ejemplo, aun
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
10/13
Cumplimiento. Los mandos medios y empleados para quienes las polticas de seguridad
son aplicables son los principales jugadores en la implementacin y garanta inicial del
cumplimiento de polticas que hayan sido publicadas recientemente. En el caso de las
POLTICAS, ESTNDARES, MEJORES PRCTICAS y GUAS que afectan a toda la
universidad, esta responsabilidad se extiende a todos los funcionarios con responsabilidades
de supervisin, empleados, docentes y estudiantes a quien aplique. En relacin con los
PROCEDIMIENTOS de seguridad, esta responsabilidad estar limitada a los jefes y a los
empleados de la dependencia donde apliquen los procedimientos
Excepciones. En todos los niveles de una organizacin, habr situaciones potenciales que
impedirn el cumplimiento total de una poltica. Es importante que el proponente de la
poltica o un individuo o grupo con una autoridad igual o superior revise las excepciones. El
comit de evaluacin de polticas puede ser efectivo en investigar las solicitudes de
excepciones recibidas de las dependencias que no pueden cumplir con POLTICAS,
ESTNDARES, Y MEJORES PRCTICAS. Ya que las GUAS son, por definicin,
recomendaciones o sugerencias y no son obligatorias, solicitudes formales de excepcin en
su aplicacin no son necesarias (aunque es recomendable que existan argumentos
documentados y aprobados para no seguirlas). En el caso de los PROCEDIMIENTOS de
seguridad, el directivo que aprob el procedimiento debe tambin servir como autoridad
para aprobar las excepciones relacionadas.
REFERENCIAS
Fites, Philip and Martin P.J. Kratz. Information Systems Security: A Practitioners Reference,
London: International Thomson Computer Press, 1996.
Hutt, Arthur E., Seymour Bosworth, and Douglas B. Hoyt. Computer Security Handbook, 3rd
ed., John Wiley & Sons, New York, 1995.
National Institute of Standards and Technology, An Introduction to Computer Security: The
NIST Handbook , Special Publication 800-12, October 1995.
Peltier, Thomas R., Information Security Policies and Procedures: A Practitioners Reference,
Auerbach Publications, New York, 1999.
Tudor, Jan Killmeyer, Information Security Architecture: An Integrated Approach to Security in
the Organization,Auerbach Publications, New York, 2001.
Texto traducido y adaptado de The Security Policy Life Cycle: Functions and Responsibilities
de Patrick D. Howard, Information Security Management Handbook, Edited by Tipton & Krause,
CRC Press LLC, 2003.
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
13/13