Securities">
Módulo 1 - Lectura 2
Módulo 1 - Lectura 2
Módulo 1 - Lectura 2
Introducción
No obstante esto, en la presente Lectura se presenta una breve revisión de este requisito
que constituye la base sobre la cual se asienta un sistema de gestión de seguridad de la
información en un entorno organizacional, cuya estructura se ilustra a continuación.
Política de seguridad
Plan de Seguridad
También conocido como plan director de seguridad, se trata de una planificación detallada
en la que se definen los proyectos que se deberán llevar a cabo para implementar la
política de seguridad. Comprende proyectos de nivel técnico, legal y organizativo.
Procedimiento de seguridad
Es una especificación de los pasos que se deben llevar a cabo para la realización de
tareas determinadas, relacionadas siempre con los objetivos definidos por la organización
en la política de seguridad.
Características de las políticas de seguridad
La política de seguridad debe reunir las siguientes características.
Debe ser posible implementarla a través de guías que especifiquen los pasos
necesarios de una forma detallada.
Debe contener y divulgar guías de uso responsable por parte del personal
involucrado.
Deben delimitar de forma clara las responsabilidades exigidas al personal
involucrado.
Debe alinearse con las exigencias del marco jurídico que regula la actividad de la
organización.
Debe ser auditada de forma periódica y adaptada a las nuevas exigencias de la
organización, del entorno tecnológico y del marco jurídico.
Debe mantenerse en un grado de abstracción elevado, de forma tal que no impida o
limite la aplicación de medidas necesarias (normativas, procedimientos) ante
cambios de contextos internos o externos. Es decir, debe ser atemporal.
Los servicios, aplicaciones y usuarios deben tener asignados los privilegios mínimos
necesarios para llevar a cabo sus tareas.
Los sistemas deben ser desarrollados e implementados para que, en caso de fallas,
se sitúen en un estado seguro.
No debe limitarse al cumplimiento de requisitos impuestos jurídicos o a exigencias
de terceros, sino que debe estar alineada con las necesidades de negocio de la
organización.
Debe ser independiente del hardware y del software.
Los organismos públicos alcanzados por este modelo están definidos en la Decisión
[5]
Administrativa N° 669/2004 .
[3]
Ver más en Jefatura de Gabinete de Ministros. Argentina. https://www.argentina.gob.ar/jefatura
[4]
ONTI. Política de Seguridad Modelo. De: http://servicios.infoleg.gob.ar/infolegInternet/anexos/215000-
219999/219163/norma.htm
[5]
Decisión administrativa N° 669/2004. De http://servicios.infoleg.gob.ar/infolegInternet/anexos/100000-
104999/102188/norma.htm
En concreto, constituye un marco flexible que da cabida a todas las normas y planes que
regulan los procesos de seguridad en toda la organización.
Por otra parte, los planes y procedimientos son los medios a través de los cuales se
implementan esos objetivos de seguridad. Si la política de seguridad es el “qué se
pretende” en relación a la seguridad, los planes y procedimientos serán el “cómo lograr”
esos objetivos.
Por último, la revisión de las normas estándares, guías y referencias expuestas en esta
lectura es de carácter obligatorio para profundizar los conceptos presentados.
Referencias
Gómez Vieites, A. (2011). Enciclopedia de la Seguridad Informática (2da ed.). Madrid,
España: Ra-Ma.