Normas y Estándares de Seguridad y Protección de
Sistemas de Información
Las
normas son un conjunto de lineamientos, reglas,
recomendaciones y controles con el propósito de dar
respaldo a las políticas de seguridad y a los
objetivos desarrollados por éstas, a través de
funciones, delegación de responsabilidades y otras
técnicas, con un objetivo claro y acorde a las
necesidades de seguridad establecidas para el entorno
administrativo de la red organizacional.
Una norma de seguridad establece unos requisitos que
se sustentan en la política y que regulan determinados
aspectos de seguridad. Son por tanto, declaraciones a
satisfacer. Una norma debe ser clara, concisa y no
ambigua en su interpretación. En cuanto a la
estructura de un documento normativo, se recomienda
estructurarlo en los siguientes apartados:
Objetivo: declaración del propósito o
intención de la redacción del documento y de los
objetivos de seguridad relacionados con la política
que se intentan satisfacer.
Definiciones: Se indican las
definiciones de aquellos términos que aparezcan en la
norma y que pudieran ofrecer dificultad para su
comprensión. Es una forma de eliminar la ambigüedad en
la interpretación al establecer el significado en la
norma de los términos utilizados.
Responsables del cumplimiento: se
define dentro de la Organización qué departamento o
responsable velará por el cumplimiento de la norma y
revisará su correcta implantación o cumplimiento.
Incumplimiento: se establecen las
consecuencias que se derivarán del incumplimiento de
la norma cuando éste sea detectado o las acciones
disciplinarias que ocasionarán.
Normas a aplicar: debe contener los
requisitos de seguridad que se declaran de obligado
cumplimiento. Podrán agruparse los requisitos por
categorías, estableciendo apartados donde se agrupen
los requisitos relacionados. También los enunciados
pueden numerarse para poder posteriormente
referenciarlos. Documentos relacionados: se indican
otros documentos del marco normativo que pudieran
estar relacionados con el cumplimiento de la norma.
En cuanto a las recomendaciones en la redacción del
documento, se debe procurar que:
- El
cumplimiento debe ser factible a nivel organizativo
y técnico.
- La
redacción debe ser clara y resumida.
- Las
afirmaciones realizadas dentro del apartado “Normas
a aplicar” deben ser taxativas, no ambiguas y deben
permitir la revisión o auditoría del cumplimiento
del hecho reglado.
- El
tiempo verbal de las normas debe ser presente del
indicativo.
- La
divulgación se realizará entre las áreas afectadas o
implicadas en el cumplimiento.
- Su
aprobación debe estar formalizada, indicando los
plazos de vigencia y de revisión de la norma. Debe
estar bajo un control de versiones.
|