UNIVERSIDAD NACIONAL DE COLOMBIA

VICERRECTORIA GENERAL
DIRECCION NACIONAL DE INFORMTICA Y COMUNICACIONES

Guia para elaboracin de politicas de seguridad

Esta metodologia es potencialmente para el desarrollo, implementacin, mantenimiento y
eliminacin de un conjunto conpleto de politicas tanto de seguridad como en otras reas.
Es frecuente que las personas involucradas con seguridad infonntica tengan una visin estrecha de lo
que significa desanollar las politicas de seguridad, pues no basta con escribirlas y pretender ponerlas en
prctica. En ocasiones se incluye la asignacin de responsables, se realizan actividades para dar a
conocerlas y, quiz, se supervise su cumplimiento; pero esto tampoco basta. Muchas politicas de
seguridad infonntica fallan ya que se desconoce lo que implica realmente desarrollarlas.
ES importante resaltar que una poltica de seguridad tiene un ciclo de Vida completo mientras esta
vigente. Este ciclo de vida incluye un esfuerzo de investigacin, la labor de escribirla, lograr que las
directivas de la organizacin la acepten, conseguir que sea aprobada, lograr que sea diseminada a travs
de la empresa, concienciar a los usuarios de la impoltancia de la poltica. conseguir que la acaten,
hacerle seguimiento. garantizar que est actualizada y, finalmente, suprimirla cuando haya perdido
vigencia. Si no se tiene en cuenta este ciclo de vida se cone el riesgo de desannllar politicas que sean
poco tenidas en cuenta, incompletas, redundantes, sin apoyo por parte de los usuarios y las directivas,
superfluas o inelevantes.
Este documento presenta algunos puntos que deben tenerse en cuenta al desanollar algn tipo de
politica de seguridad infonntica.
POR QU TENER POLTICAS ESCRITAS
Existen varias razones por las cuales es recomendable tener politicas escritas en una organizacin como
la Universidad Nacional de Colombia. La siguiente es una lista de algunas de estas razones.
. Para cumplir con regulaciones legales o tcnicas
2. Como guia para el comportamiento profesional y personal
Permite unificar la fonna de trabajo de personas en diferentes lugares 0 momentos que tengan
responsabilidades y tareas similares
4. Permiten recoger comentarios y observaciones que buscan atender situaciones anormales en el
trabajo
Permite encontrar las mejores prcticas en el trabajo
6. Penniten asociar la filosofia de una organizacin (lo abstracto) al trabajo (lo concreto)
DEFINICION DE POLTICA
Es importante aclarar el trmino politica desde el comienzo. Qu queremos dar a entender cuando
decimos POLTICA o ESTNDAR o MEJOR PRCTICA o GUA o PROCEDIMIENTO? Estos
son tnninos utilizados en seguridad infonntica todos los das, pero algunas veces son utilizados
conectamente, otras veces no.

POLTICA
Declaracin general de principios que presenta la posicin de la administracin para un rea
de control definida. Las politicas se elaboran con elfin de que tengan aplicacin a largo
plazo y guien el desarrollo de reglas y criterios ms especificos que aborden situaciones
concretas. Las politicas son desplegadas y soportadas por estndares, mejores prcticas,
procedimientos y guas. Las politicas deben ser pocas (es decir, un nmero pequeo), deben
ser apoyadas y aprobadas por las directivas de la universidad, y deben ofrecer
direccionamientos a toda la Organizacin 0 a un conjunto importante de dependencias. Por
definicin, las politicas son obligatorias y la incapacidad 0 imposibilidad para cumplir una
politica exige que se apruebe una excepcin.
ESTNDAR
Regla que especifica una accin o respuesta que se debe seguir a una situacin dada. Los
estndares son orientaciones obligatorias que buscan hacer cumplir las polticas. Los
estndares sirven como especificaciones para la implementacin de las politicas: son
diseados para promover la implementacin de las politicas de alto nivel de la organizacin
antes que crear nuevas polticas.
MEJOR PRCTICA
Es una regla de seguridad especifica a una plataforma que es aceptada a travs de la
industria al proporcionar el enfoque ms efectivo a una implementacin de seguridad
concreta. Las mejores prcticas son establecidas para asegurar que las caractersticas de
seguridad de sistemas utilizados con regularidad estn configurados y administrados de
manera uniforme, garantizando un nivel consistente de seguridad a travs de la
organizacin.
GUIA
Una guia es una declaracin general utilizada para recomendar o sugerir un enfoque para
implementar politicas, estndares y buenas prcticas. Las guias son, esencialmente,
recomendaciones que deben considerarse al implementar la seguridad. Aunque no son
obligatorias, sern seguidas a menos que existan argumentos documentados y aprobados
para no hacerlo.
PROCEDIMIENTO
Los procedimientos definen especficamente cmo las polticas, estndares, mejores
prcticas y guias sern implementados en una situacin dada. Los procedimientos son
dependientes de la tecnologa o de los procesos y se refieren a plataformas, aplicaciones o
procesos especificos. Son utilizados para delinear los pasos que deben ser seguidos por una
dependencia para implementar la seguridad relacionada a dicho proceso 0 sistema
especifico. Generalmente los procedimientos son desarrollados, implementados y
supervisados por el dueo del proceso o del sistema, Los procedimientos seguirn las
politicas de la organizacin, los estndares, las mejores prcticas y las guias tan cerca como
les sea posible, y a la ve: se ajustarn a los requerimientos procedimentales o tcnicos
establecidos dentro de la dependencia donde ellos se aplican.
El cuadro anterior, adems de presentar una definicin de los trminos utilizados en la enunciacin e
implementacin de polticas, muestra una jerarqua entre las definiciones.