31/7/08

Políticas, normas, procedimientos de seguridad y otros documentos de un SGSI

Como resumen al documento que ya indiqué en el post Guía para la elaboración del marco normativo de Seguridad ISO 27002 en este texto que he redactado para el Blog del INTECO, comento los principales documentos que aparecen en un SGSI.

Cuando se trata de documentar las decisiones y acciones relacionadas con la seguridad de la información o la construcción de un SGSI (Sistema de Gestión de la Seguridad de la Información), aparecen diferentes tipos de documentos que contribuyen a lograr ese objetivo. En este texto trataré de poner algo de luz en relación a los diferentes documentos que pueden ser utilizados para tratar de establecer, definir y documentar las necesidades en Seguridad de la Información.

Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mínimo de responder a tres preguntas:

* Qué: objetivo, requisito o regulación que se quiere satisfacer o cumplir (lo que hay que lograr).
* Quién: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible).
* Cómo: descripción de las actividades que darán con la consecución del objetivo o requisito (lo que haya que hacer para conseguirlo).

Las preguntas cuándo y dónde muchas veces no tienen por qué ser respondidas aunque suelen ser tratadas en los procedimientos. Basándose en lo anterior, los documentos que se elaboran para formalizar la seguridad tratan, a diferentes niveles, de responder a esas preguntas, relacionándose de manera jerárquica unos con otros:

* Una política de seguridad debe establecer las necesidades y requisitos de protección en el ámbito de la organización y es la guía o marco para la creación de otro tipo de documento más detallado que denominamos norma de seguridad. Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos. Definen qué quiere la organización a muy alto nivel, de forma muy genérica, quedando como una declaración de intenciones sobre la seguridad de la Organización. A su vez, una política de seguridad puede apoyarse en documentos de menor rango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos. Hablamos entonces del marco normativo que puede estar constituido por documentos de rango inferior, como pueden ser las normas, políticas de uso, procedimientos de seguridad e instrucciones técnicas de trabajo. Vamos a ver en qué consisten cada una de ellas.
* Una norma de seguridad define qué hay que proteger y en qué condiciones, pero para situaciones más concretas. Sirven para establecer unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Una norma debe ser clara, concisa y no ambigua en su interpretación. Se pueden agrupar en base a las diferentes áreas de la seguridad dentro de la organización: normas de seguridad física, normas de control de acceso a sistemas, normas de gestión de soportes, normas de clasificación de información, etc.
* Un procedimiento de seguridad determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución. Son, por tanto, la especificación de una serie de pasos en relación la ejecución de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecución de actividades se considerarán determinados aspectos de seguridad. Un procedimiento debe ser claro, sencillo de interpretar y no ambiguo en su ejecución. No tiene por qué ser extenso, dado que la intención del documento es indicar las acciones a desarrollar. Un procedimiento puede apoyarse en otros documentos para especificar, con el nivel de detalle que se desee, las diferentes tareas. Para ello, puede relacionarse con otros procedimientos o con instrucciones técnicas de seguridad.
* Una instrucción técnica de seguridad determina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de información (hardware, sistema operativo, aplicación, datos, usuario, etc.). Al igual que un procedimiento, son la especificación pormenorizada de los pasos a ejecutar. Una instrucción técnica debe ser clara y sencilla de interpretar. Deben documentarse los aspectos técnicos necesarios para que la persona que ejecute la instrucción técnica no tenga que tomar decisiones respecto a la ejecución de la misma. A mayor nivel de detalle, mayor precisión y garantía de su correcta ejecución.
* Una política de uso es un documento destinado a usuarios finales con la intención de establecer una regulación específica sobre la utilización de un sistema, tecnología o recurso. En este caso, deben documentarse las normas de comportamiento que deben cumplir los usuarios en el uso de los sistemas de información o los aspectos generales que se desean regular, así como los usos que son considerados autorizados y los usos no aceptables.

Lo importante de este conjunto de documentos que forman el marco normativo es, por un lado, documentar de forma clara y concreta las decisiones establecidas por la organización en materia de seguridad y, por otro, que sean utilizados por todas las personas de la organización para saber qué hacer en cada circunstancia en relación con la protección de la información.

7 comentarios:

edgaruco dijo...

Buenas tardes, una pregunta sobre La Guia de marco normativo de SGSI.
El tema de Instrucción Técnica de Seguridad, tiene la siguiente descripción: Tareas necesarias para completar una actividad o porceso de un procedimiento como ( hardware, Sistema operativo, aplicacion etc). Aqui me surge la duda sobre si estas hablando de un proceso de especialidad. por poner un ejemplo. si tengo un procedimiento de configuración de servidor, estoy de acuerdo contigo que tengo que definir responsables y tareas a travez del un cross funtional de operación, pero al llegar a la parte de instalación de sistema operativo, te refieres que ¿Le llamas Instrucción Técnica de Seguridad al echo de poder realizar la instalación como lo marca el proveedor? por ejemplo un windows 2000 server. porque para ello existen instrucciones de como instalar un sistema operativo.

Javier Cao Avellaneda dijo...

Una instrucción técnica es una particularización concreta de un procedimiento. Para el caso que comentas, podría ser una instrucción técnica usar las propias guías de fabricante en relación a la instalación de un determinado sistema operativo. Normalmente se elaboran "intrucciones técnicas" para todas aquellas tareas particulares que requieren cierta adecuación en la empresa. Me refiero a que no tiene sentido escribir como instalar un sistema operativo si ya viene dicho por el fabricante. Si tendría sentido hacer una instrucción técnica, si existen diferentes configuraciones particulares que se deban realizar a posteriori. El dejar las cosas documentadas hace que siempre se realicen de una determinada manera y no quede a criterio del que instala.

Leo dijo...

Buen dia Javier:
El marco normativo (pirámide de política, normas, proc, instr. técnicos) me parece muy adecuado para la documentación de la forma en que se aplican los controles sugeridos en la ISO27002, pero no me queda claro cómo insertar allí los documentos que se refieren al funcionamiento del SGSI en sí (la mayoría de los referidos en el punto 4.2 de la norma ISO27001).
Lo que yo veo es que hay dos niveles. En uno se predica sobre el SGSI, y en el otro (inferior) se habla del Sistema de Información (SI). Por ejemplo: en el control 5.1.1 se sugiere una "política de seguridad para el SI" que, según se aclara en la 27001, no es la misma política que la "política del SGSI" (en el punto 4.2.1 se indica que la 1ra es considerada un sobconjunto de la 2da).
En la pág 3 del documento "Guía para la elaboración del marco normativo de un SGSI" se habla de la política de seguridad del SGSI, pero luego se indica que ésta corresponde al 1er control de la ISO27002, lo cual no ayuda a aclarar mi confusión.
¿La "política" del tope de la pírámide es la del SGSI o la del SI?
Otro ejemplo de los dos niveles:
Los controles 6.1.8 y 15.3 hablan de auditoría sobre el manejo del SI y sobre auditoría de los sistemas. Mientras, en el punto 6 de la ISO27001 se habla sobre auditorías sobre el funcionamiento del SGSI.
Si yo escribo una norma que hable del establecimiento y funcionamiento del SGSI debería haber alguna referencia hacia ella en la política, no? De aquí deduzco que en el tope de la pirámide debería estar la política del SGSI. ¿Estoy en lo correcto? ¿O debería usar la pirámide sólo para documentar los controles y ubicar aparte la documentación sobre el funcionamiento del SGSI?
Ante todo muchas gracias!

Javier Cao Avellaneda dijo...

Yo respecto a la documentación del SGSI suelo hacer tres paquetes: 1) Documentación que describe el SGSI y que es establecida por la cláusula 4 (alcance, política de seguridad, metodología, analisis de riesgos, plan de tratamiento y SOA)
2)Procedimientos generales del SGSI como el control de la documentación y registros, auditoria interna, revisión del sistema y mejora continua. 3) Normas y procedimientos de seguridad que se corresponden con la jerarquía que plantea el documento.

Mauro Graziosi dijo...

Quisiera saber si las políticas de uso aceptable es conveniente hacerlas en un único documento o si hacerla por cada recurso.
¿Cómo se realiza la gestión de esas políticas de uso? Con esto me refiero a como mantengo el control de quien ha aceptado que...

Saludos

Anónimo dijo...

Aunque es un post antiguo.....no entiendo bien la diferencia entre una norma y una politica de uso.

¿No es lo mismo?

Javier Cao Avellaneda dijo...

No es exactamente lo mismo. Una norma es expecífica y tiene el propósito concreto de determinar y establecer qué se puede o no hacer en relación a un área regulada. Está orientada a regular un aspecto de la seguridad. Por tanto, tiene un ámbito específico y puede ir destinada a los actores principales que se vean afectados por dicho área o aspecto. Por ejemplo, la norma de control de acceso puede establecer las directrices de asignación de privilegios y estaría sobre todo orientada al personal que otorga acceso. Una política de uso es una especie de "resumen" de normas destinado a un tipo de lector particular donde se le trasmite "en un solo documento" todas las restricciones que debe conocer. Por tanto, sería un documento orientado al lector y no al área que regular.