Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Políticas de Seguridad
• La redacción del documento de política de Seguridad de la Información según ISO 27001, suele
ser una labor que genera controversia al interior de la organización.
• Se tiende a creer que este documento, en cumplimiento de la norma, deben estar contemplados
todos los aspectos que atañen a la seguridad de la información, de forma directa o indirecta.
• Es importante saber que la misma norma dispone en forma precisa que debe incluir la política de
Seguridad de la Información según ISO 27001, es decir, ¿Cuál es el propósito de este documento?
¿Cuáles son sus alcances y cuál su contenido?¿Para qué sirve la política de Seguridad de la
Información según ISO 27001?.
• El primer propósito que cumple la política de Seguridad de la Información según ISO 27001, es
transmitir los objetivos que la alta dirección pretende alcanzar con su implementación.
• El segundo propósito es obtener un documento que resulte fácil de entender para las partes
interesadas sin que necesariamente ellas tengan que conocer los detalles intrínsecos del sistema,
como los factores de evaluación del riesgo, o quiénes son los responsables directos.
Estructura de una Política de Seguridad
• La redacción del documento de política de Seguridad de la Información según ISO 27001, suele
ser una labor que genera controversia al interior de la organización.
• Se tiende a creer que este documento, en cumplimiento de la norma, deben estar contemplados
todos los aspectos que atañen a la seguridad de la información, de forma directa o indirecta.
• Es importante saber que la misma norma dispone en forma precisa que debe incluir la política de
Seguridad de la Información según ISO 27001, es decir, ¿Cuál es el propósito de este documento?
¿Cuáles son sus alcances y cuál su contenido?¿Para qué sirve la política de Seguridad de la
Información según ISO 27001?.
• El primer propósito que cumple la política de Seguridad de la Información según ISO 27001, es
transmitir los objetivos que la alta dirección pretende alcanzar con su implementación.
• El segundo propósito es obtener un documento que resulte fácil de entender para las partes
interesadas sin que necesariamente ellas tengan que conocer los detalles intrínsecos del sistema,
como los factores de evaluación del riesgo, o quiénes son los responsables directos.
Estructura de una Política de Seguridad
• Resumen: Indicar en que consiste la política, que aspectos cubre y como aporta a
la protección de la información,
• Introducción: Entregar detalles de los aspectos cubiertos por la política, pilares
de la seguridad que apoya, vigencia y todo lo que se deba comunicar antes de
entrar a los detalles.
• Alcance: especificar las limitaciones de la política (personas, áreas de la
compañía, sistemas, activos, etc.).
• Roles y Responsabilidades: identificar los cargos que desempeñarán un rol y
tendrán cierta responsabilidad en los componentes de la política.
• Componentes: detallar los escenarios que la política reglamenta, es decir,
establecer las reglas propiamente tal (lo que no se permite, o lo que se debe
hacer en función de los pilares de la seguridad de la información).
• Actualización: definir el plazo máximo para que la política sea revisada y
actualizada.
• Control de Cambios: registrar las diferentes versiones del documento, sus
autores y la naturaleza de cada cambio.
Procesos de Concienciación (Awarness)
• Beneficios