Política, Objetivo de Control, Estándar,

Procedimiento

La documentación de ciberseguridad adecuada se compone de cinco partes principales:

(1) Política que establece la intención de la administración

(2) Objetivo de control que identifica la condición que debe cumplirse
(3) Estándares que proporcionan requisitos cuantificables que deben cumplirse.
(4) Procedimientos que establecen cómo se deben realizar las tareas para cumplir con
los requisitos establecidos en las normas.
(5) Se recomiendan pautas (Guidelines), pero no son obligatorias

Las políticas son declaraciones de alto nivel de la intención de la gerencia y están

destinadas a guiar las decisiones para lograr resultados racionales. Las políticas no están
destinadas a ser prescriptivas, sino que proporcionan una dirección general para la
organización.

Ejemplo: Política

 Mantener la propiedad de nuestra red y activos

Los objetivos de control apoyan la política identificando los requisitos aplicables que la
organización necesita abordar. Estos requisitos aplicables pueden ser mejores prácticas,
leyes u otras obligaciones legales:
PCI DSS - Requisito 6.1

Ejemplo: Objetivo de control

 La organización aplica parches de software de manera oportuna

Los estándares establecen requisitos formales en cuanto a procesos, acciones y

configuraciones. Los estándares están completamente enfocados en proporcionar
requisitos prescriptivos de enfoque estrecho que sean cuantificables

Ejemplo: Estándar

 Los sistemas deben parchearse dentro de los 30 días posteriores a la

fecha de lanzamiento del proveedor

Los procedimientos son métodos formales de realizar una tarea, basados en una serie de
acciones realizadas de manera definida y repetible.

Ejemplo: Procedimiento

 La estación de trabajo y los servidores serán parcheados (cierto día de

cada mes) por (equipo asignado)