Politicas Y Estandares De Seguridad (punto De Convergencia)

INFORMACION.

Estándares y Políticas (Punto de Convergencia)

A la descripción que se encuentre bajo la forma de reglas y en la cual se incluyan las propiedades de la triada de la seguridad como lo son la confidencialidad, integridad y disponibilidad, en la medida requerida por una Organización, (empresa o negocio) se le conoce como Política de Seguridad.

Debido a que las políticas están escritas en un nivel amplio, las organizaciones deben también desarrollar estándares, procedimientos y guías para ofrecer a sus empleados, administradores y demás personal un método claro para implementarlas y observar los objetivos del negocio o la misión. Logrando con esto un punto de convergencia entre ambas y en donde las dos se unen con el mismo fin de alcanzar los objetivos de la empresa. Lo que significa que el término política es definido como una disposición o lineamiento de alto nivel, que corresponde con la visión, misión y objetivos, así como la tendencia institucional ante un aspecto específico en un área en particular. Y que el termino de Estándar esta definido como un documento, establecido mediante un consenso y aprobado por un cuerpo reconocido que provee, para uso común y repetido, reglas, guías o características para actividades o sus resultados, orientado al logro del grado óptimo de orden en un contexto dado.

Tanto las Políticas como los Estándares son necesarios por que en el rubro de seguridad no podemos hacer una buena decisión sin determinar primero cuales son los objetivos de la misma así estos objetivos están determinados por los servicios ofrecidos en contra de la seguridad proveída, por la facilidad de uso de los sistemas en contra de la misma seguridad y del costo de la seguridad en contra del riesgo de pérdida, una vez que se tienen determinados los objetivos podremos determinar el nivel de seguridad que se va a implementar en la Empresa.

La razón de ser de la políticas implica el comunicar a todos la postura de seguridad que la Alta Dirección va a implementar teniendo como propósito el informar a los usuarios, mandos medios y administradores de los requerimientos obligatorios de protección a los activos de TI, especificando los mecanismos a implementar con que se va a alcanzar estos requerimientos suministrando una guía para quienes adquieren, configuran o auditan sistemas para verificar el cumplimiento de una política, estas políticas deben además de contar con la aceptación y el respaldo de la Alta Dirección de la empresa y finalmente del resto del personal para que estas sean apropiadas y efectivas.

Dentro de la creación y revisión de las Políticas deben de intervenir el administrador de seguridad, mandos medios de TI, Administradores de usuarios, el grupo de respuesta a incidentes de seguridad, algunos representantes de usuarios afectados, una persona que funja como consejero legal y el responsable de la creación de la Política propiamente dicho. Así, de esta manera se vela por que las políticas sean implementables al cien por ciento, forzosas a través de herramientas de seguridad (incluyendo por obviedad las sanciones) y que defina dentro de su contenido de una manera clara y concisa las aéreas de responsabilidad de los usuarios, el administrador, la Alta Dirección, Mandos Medios etc.…)

Los estándares como ya los definimos anteriormente son como documento, establecido mediante un consenso y aprobado por un cuerpo reconocido que provee, para uso común y repetido, reglas, guías o características para actividades o sus resultados, orientado al logro del grado óptimo de orden en un contexto dado. Estos, como requerimientos mandatorios dan soporte a las políticas individuales de cada área en la empresa.

En algunos casos los estándares pueden hablar de qué hardware o software debe ser usado, de qué protocolo de acceso remoto va a implementarse, de quién es el responsable de aprobar algo. La adopción de los estándares significa que los fabricantes tienen una base de desarrollo y un marco de referencia que tengan una amplia aceptación en sus sectores así

...