Gua para elaboracin de polticas de seguridad -2003

Universidad Nacional de Colombia

1/13
UNIVERSIDAD NACIONAL DE COLOMBIA
VICERRECTORIA GENERAL
DIRECCIN NACIONAL DE INFORMTICA Y COMUNICACIONES

Gua para elaboracin de polticas de seguridad

Esta metodologa es potencialmente til para el desarrollo, implementacin, mantenimiento y
eliminacin de un conjunto completo de polticas tanto de seguridad como en otras reas.

Es frecuente que las personas involucradas con seguridad informtica tengan una visin estrecha de
lo que significa desarrollar las polticas de seguridad, pues no basta con escribirlas y pretender
ponerlas en prctica. En ocasiones se incluye la asignacin de responsables, se realizan actividades
para dar a conocerlas y, quiz, se supervise su cumplimiento; pero esto tampoco basta. Muchas
polticas de seguridad informtica fallan ya que se desconoce lo que implica realmente
desarrollarlas.

Es importante resaltar que una poltica de seguridad tiene un ciclo de vida completo mientras esta
vigente. Este ciclo de vida incluye un esfuerzo de investigacin, la labor de escribirla, lograr que las
directivas de la organizacin la acepten, conseguir que sea aprobada, lograr que sea diseminada a
travs de la empresa, concienciar a los usuarios de la importancia de la poltica, conseguir que la
acaten, hacerle seguimiento, garantizar que est actualizada y, finalmente, suprimirla cuando haya
perdido vigencia. Si no se tiene en cuenta este ciclo de vida se corre el riesgo de desarrollar
polticas que sean poco tenidas en cuenta, incompletas, redundantes, sin apoyo por parte de los
usuarios y las directivas, superfluas o irrelevantes.

Este documento presenta algunos puntos que deben tenerse en cuenta al desarrollar algn tipo de
poltica de seguridad informtica.

POR QU TENER POLTICAS ESCRITAS

Existen varias razones por las cuales es recomendable tener polticas escritas en una organizacin
como la Universidad Nacional de Colombia. La siguiente es una lista de algunas de estas razones.

1. Para cumplir con regulaciones legales o tcnicas
2. Como gua para el comportamiento profesional y personal
3. Permite unificar la forma de trabajo de personas en diferentes lugares o momentos que
tengan responsabilidades y tareas similares
4. Permiten recoger comentarios y observaciones que buscan atender situaciones anormales en
el trabajo
5. Permite encontrar las mejores prcticas en el trabajo
6. Permiten asociar la filosofa de una organizacin (lo abstracto) al trabajo (lo concreto)

DEFINICIN DE POLTICA

Es importante aclarar el trmino poltica desde el comienzo. Qu queremos dar a entender cuando
decimos POLTICA o ESTNDAR o MEJOR PRCTICA o GUA o PROCEDIMIENTO? Estos
son trminos utilizados en seguridad informtica todos los das, pero algunas veces son utilizados
correctamente, otras veces no.
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
2/13

POLTICA

Declaracin general de principios que presenta la posicin de la administracin para un rea de
control definida. Las polticas se elaboran con el fin de que tengan aplicacin a largo plazo y guen
el desarrollo de reglas y criterios ms especficos que aborden situaciones concretas. Las polticas
son desplegadas y soportadas por estndares, mejores prcticas, procedimientos y guas. Las
polticas deben ser pocas (es decir, un nmero pequeo), deben ser apoyadas y aprobadas por las
directivas de la universidad, y deben ofrecer direccionamientos a toda la organizacin o a un
conjunto importante de dependencias. Por definicin, las polticas son obligatorias y la
incapacidad o imposibilidad para cumplir una poltica exige que se apruebe una excepcin.

ESTNDAR

Regla que especifica una accin o respuesta que se debe seguir a una situacin dada. Los
estndares son orientaciones obligatorias que buscan hacer cumplir las polticas. Los estndares
sirven como especificaciones para la implementacin de las polticas: son diseados para
promover la implementacin de las polticas de alto nivel de la organizacin antes que crear
nuevas polticas.

MEJOR PRCTICA

Es una regla de seguridad especfica a una plataforma que es aceptada a travs de la industria al
proporcionar el enfoque ms efectivo a una implementacin de seguridad concreta. Las mejores
prcticas son establecidas para asegurar que las caractersticas de seguridad de sistemas
utilizados con regularidad estn configurados y administrados de manera uniforme, garantizando
un nivel consistente de seguridad a travs de la organizacin.

GUA

Una gua es una declaracin general utilizada para recomendar o sugerir un enfoque para
implementar polticas, estndares y buenas prcticas. Las guas son, esencialmente,
recomendaciones que deben considerarse al implementar la seguridad. Aunque no son
obligatorias, sern seguidas a menos que existan argumentos documentados y aprobados para no
hacerlo.

PROCEDIMIENTO

Los procedimientos definen especficamente cmo las polticas, estndares, mejores prcticas y
guas sern implementados en una situacin dada. Los procedimientos son dependientes de la
tecnologa o de los procesos y se refieren a plataformas, aplicaciones o procesos especficos. Son
utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar
la seguridad relacionada a dicho proceso o sistema especfico. Generalmente los procedimientos
son desarrollados, implementados y supervisados por el dueo del proceso o del sistema. Los
procedimientos seguirn las polticas de la organizacin, los estndares, las mejores prcticas y
las guas tan cerca como les sea posible, y a la vez se ajustarn a los requerimientos
procedimentales o tcnicos establecidos dentro de la dependencia donde ellos se aplican.

El cuadro anterior, adems de presentar una definicin de los trminos utilizados en la enunciacin
e implementacin de polticas, muestra una jerarqua entre las definiciones.

Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
3/13
Un ejemplo de los requerimientos de seguridad interrelacionados podra ser:

1. En el nivel ms alto, se puede elaborar una POLTICA, para toda la organizacin, que
obligue a garantizar seguridad en el correo electrnico cuyo contenido sea informacin
confidencial.
2. Esta POLTICA podra ser soportada por varios ESTNDARES, incluyendo por ejemplo,
que los mensajes de este tipo sean enviados utilizando algn sistema de criptografa
aprobado por la universidad y que sean borrados de manera segura despus de su envo.
3. Una MEJOR PRCTICA, en este ejemplo, podra estar relacionada sobre la manera de
configurar el correo sobre un tipo especfico de sistema (Windows o Linux) con el fin de
garantizar el cumplimiento de la POLTICA y del ESTNDAR.
4. Los PROCEDIMIENTOS podran especificar requerimientos para que la POLTICA y los
ESTNDARES que la soportan, sean aplicados en una dependencia especfica, por ejemplo
la Oficina de Control Interno.
5. Finalmente, las GUAS podran incluir informacin sobre tcnicas, configuraciones y
secuencias de comandos recomendadas que deben seguir los usuarios para asegurar la
informacin confidencial enviada y recibida a travs del servicio de correo electrnico.

Ntese que, en muchas ocasiones, el trmino poltica es utilizado en un sentido genrico para
aplicarlo a cualquiera de los tipos de requerimientos de seguridad expuestos. En este documento se
llamar poltica, de manera genrica, a todos los requerimientos de seguridad mencionados antes y
POLTICA (en maysculas) a las polticas propiamente dichas.

ETAPAS EN EL DESARROLLO DE UNA POLTICA



Hay 11 etapas que deben realizarse a travs de la vida de una poltica. Estas 11 etapas pueden ser
agrupadas en 4 fases.

1. Fase de desarrollo: durante esta fase la poltica es creada, revisada y aprobada.
2. Fase de implementacin: en esta fase la poltica es comunicada y acatada (o no cumplida







Fase
de desarrollo
Creacin (1)
Revisin (2)
Aprobacin (3)







Fase de
implementacin
Comunicacin (4)
Cumplimiento (5)
Excepciones (6)









Fase de
mantenimiento
Concienciacin (7)
Monitoreo (8)
Garanta de
Cumplimiento (9)
Mantenimiento (10)


Fase
de eliminacin
Retiro (11)
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
4/13
por alguna excepcin).
3. Fase de mantenimiento: los usuarios deben ser concientes de la importancia de la poltica,
su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se le debe dar
mantenimiento (actualizarla).
4. Fase de eliminacin: La poltica se retira cuando no se requiera ms.

Creacin: Planificacin, investigacin, documentacin, y coordinacin de la poltica

El primer paso en la fase de desarrollo de una poltica es la planificacin, la investigacin y
la redaccin de la poltica o, tomado todo junto, la creacin. La creacin de una poltica
implica identificar por qu se necesita la poltica (por ejemplo, requerimientos legales,
regulaciones tcnicas, contractuales u operacionales); determinar el alcance y la
aplicabilidad de la poltica, los roles y las responsabilidades inherentes a la aplicacin de la
poltica y garantizar la factibilidad de su implementacin. La creacin de una poltica
tambin incluye la investigacin para determinar los requerimientos organizacionales para
desarrollar las polticas (es decir, que autoridades deben aprobarla, con quin se debe
coordinar el desarrollo y estndares del formato de redaccin), y la investigacin de las
mejores prcticas en la industria para su aplicabilidad a las necesidades organizacionales
actuales. De esta etapa se tendr como resultado la documentacin de la poltica de acuerdo
con los procedimientos y estndares de la universidad, al igual que la coordinacin con
entidades internas y externas que la poltica afectar, para obtener informacin y su
aceptacin. En general, la creacin de una poltica es la funcin ms fcil de entender en el
ciclo de vida de desarrollo de una poltica.

Revisin: Evaluacin independiente de la poltica

La revisin de la poltica es la segunda etapa en la fase de desarrollo del ciclo de vida. Una
vez la documentacin de la poltica ha sido creada y la coordinacin inicial ha sido iniciada,
esta debe ser remitida a un grupo (o un individuo) independiente para su evaluacin antes
de su aprobacin final. Hay varios beneficios de la revisin independiente: una poltica ms
viable a travs del escrutinio de individuos que tienen una perspectiva diferente o ms vasta
que la persona que redact la poltica; apoyo ms amplio para la poltica a travs de un
incremento en el nmero de involucrados; aumento de credibilidad en la poltica gracias a
la informacin recibida de diferentes especialistas del grupo de revisin. Propio de esta
etapa es la presentacin de la poltica a los revisores, ya sea de manera formal o informal,
exponiendo cualquier punto que puede ser importante para la revisin, explicando su
objetivo, el contexto y los beneficios potenciales de la poltica y justificando por qu es
necesaria. Como parte de esta funcin, se espera que el creador de la poltica recopile los
comentarios y las recomendaciones para realizar cambios en la poltica y efectuar todos los
ajustes y las revisiones necesarias para obtener una versin final de la poltica lista para la
aprobacin por las directivas.

Aprobacin: Obtener la aprobacin de la poltica por parte de las directivas

El paso final en la fase de desarrollo de la poltica es la aprobacin. El objetivo de esta
etapa es obtener el apoyo de la administracin de la universidad, a travs de la firma de una
persona ubicada en una posicin de autoridad.

La aprobacin permite iniciar la implementacin de la poltica. Requiere que el proponente
de la poltica haga una seleccin adecuada de la autoridad de aprobacin, que coordine con
dicho funcionario, presente las recomendaciones emitidas durante la etapa de revisin y
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
5/13
haga el esfuerzo para que sea aceptada por la administracin. Puede ocurrir que por
incertidumbre de la autoridad de aprobacin sea necesaria una aprobacin temporal.

Comunicacin: Difundir la poltica

Una vez la poltica ha sido aprobada formalmente, se pasa a la fase de implementacin. La
comunicacin de la poltica es la primera etapa que se realiza en esta fase. La poltica debe
ser inicialmente difundida a los miembros de la comunidad universitaria o a quienes sean
afectados directamente por la poltica (contratistas, proveedores, usuarios de cierto servicio,
etc.). Esta etapa implica determinar el alcance y el mtodo inicial de distribucin de la
poltica (es posible que deban tenerse en cuenta factores como la ubicacin geogrfica, el
idioma, la cultura y lnea de mando que ser utilizada para comunicar la poltica). Debe
planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que
debe ser seguido para mejorar la visibilidad de la poltica.

Cumplimiento: Implementar la poltica

La etapa de cumplimiento incluye actividades relacionadas con la ejecucin de la poltica.
Implica trabajar con otras personas de la universidad, vicerrectores, decanos, directores de
departamento y los jefes de dependencias (de divisin o de seccin) para interpretar cul es
la mejor manera de implementar la poltica en diversas situaciones y oficinas; asegurando
que la poltica es entendida por aquellos que requieren implementarla, monitorearla, hacerle
seguimiento, reportar regularmente su cumplimiento y medir el impacto inmediato de la
poltica en las actividades operativas. Dentro de estas actividades est la elaboracin de
informes a la administracin del estado de la implementacin de la poltica.

Excepciones: Gestionar las situaciones donde la implementacin no es posible

Debido a problemas de coordinacin, falta de personal y otros requerimientos
operacionales, no todas las polticas pueden ser cumplidas de la manera que se pens al
comienzo. Por esto, cuando los casos lo ameriten, es probable que se requieran excepciones
a la poltica para permitir a ciertas oficinas o personas el no cumplimiento de la poltica.
Debe establecerse un proceso para garantizar que las solicitudes de excepciones son
registradas, seguidas, evaluadas, enviadas para aprobacin o desaprobacin, documentadas
y vigiladas a travs del periodo de tiempo establecido para la excepcin. El proceso
tambin debe permitir excepciones permanentes a la poltica al igual que la no aplicacin
temporal por circunstancias de corta duracin.

Concienciacin: Garantiza la concienciacin continuada de la poltica

La etapa de concienciacin de la fase de mantenimiento comprende los esfuerzos continuos
realizados para garantizar que las personas estn concientes de la poltica y buscan facilitar
su cumplimiento. Esto es hecho al definir las necesidades de concienciacin de los diversos
grupos de audiencia dentro de la organizacin (directivos, jefes de dependencias, usuarios,
etc.); en relacin con la adherencia a la poltica, determinar los mtodos de concienciacin
ms efectivos para cada grupo de audiencia (es decir, reuniones informativas, cursos de
entrenamiento, mensajes de correo, etctera); y desarrollo y difusin de material de
concienciacin (presentaciones, afiches, circulares, etc.). La etapa de concienciacin
tambin incluye esfuerzos para integrar el cumplimiento de la poltica y retroalimentacin
sobre el control realizado para su cumplimiento. La tarea final es medir la concienciacin
de los miembros de la comunidad universitaria con la poltica y ajustar los esfuerzos de
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
6/13
acuerdo con los resultados de las actividades medidas.

Monitoreo: Seguimiento y reporte del cumplimiento de la poltica

Durante la fase de mantenimiento, la etapa de monitoreo es realizada para seguir y reportar
la efectividad de lo esfuerzos en el cumplimiento de la poltica. Esta informacin se obtiene
de la observacin de los docentes, estudiantes, empleados y los cargos de supervisin,
mediante auditorias formales, evaluaciones, inspecciones, revisiones y anlisis de los
reportes de contravenciones y de las actividades realizadas en respuesta a los incidentes.
Esta etapa incluye actividades continuas para monitorear el cumplimiento o no de la
poltica a travs de mtodos formales e informales y el reporte de las deficiencias
encontradas a las autoridades apropiadas.

Garanta de cumplimiento: Afrontar las contravenciones de la poltica

La etapa de garanta de cumplimiento de las polticas incluye las respuestas de la
administracin a actos u omisiones que tengan como resultado contravenciones de la
poltica con el fin de prevenir que sigan ocurriendo. Esto significa que una vez una
contravencin sea identificada, la accin correctiva debe ser determinada y aplicada a los
procesos (revisin del proceso y mejoramiento), a la tecnologa (actualizacin) y a las
personas (accin disciplinaria) involucrados en la contravencin con el fin de reducir la
probabilidad de que vuelva a ocurrir. Se recomienda incluir informacin sobre las acciones
correctivas adelantadas para garantizar el cumplimiento en la etapa de concienciacin.

Mantenimiento: Asegurar que la poltica est actualizada

La etapa de mantenimiento esta relacionada con el proceso de garantizar la vigencia y la
integridad de la poltica. Esto incluye hacer seguimiento a las tendencias de cambios
(cambios en la tecnologa, en los procesos, en las personas, en la organizacin, en el
enfoque del negocio, etctera) que puede afectar la poltica; recomendando y coordinando
modificaciones resultado de estos cambios, documentndolos en la poltica y registrando las
actividades de cambio. Esta etapa tambin garantiza la disponibilidad continuada de la
poltica para todas las partes afectadas por ella, al igual que el mantenimiento de la
integridad de la poltica a travs de un control de versiones efectivo. Cuando se requieran
cambios a la poltica, las etapas realizadas antes deben ser re-visitadas, en particular las
etapas de revisin, aprobacin, comunicacin y garanta de cumplimiento.

Retiro: Prescindir de la poltica cuando no se necesite ms

Despus que la poltica ha cumplido con su finalidad y no es necesaria (por ejemplo, la
empresa cambi la tecnologa a la cual aplicaba o se cre una nueva poltica que la
reemplaz) entonces debe ser retirada. La etapa de retiro corresponde a la fase de
eliminacin del ciclo de vida de la poltica, y es la etapa final del ciclo. Esta funcin
implica retirar una poltica superflua del inventario de polticas activas para evitar
confusin, archivarla para futuras referencias y documentar la informacin sobre la decisin
de retirar la poltica (es decir, la justificacin, quin autoriz, la fecha, etctera).

Estas cuatro fases del ciclo de vida renen 11 etapas diferentes que deben seguirse durante el ciclo
de vida de una poltica especfica. No importa como se agrupen, tampoco importa si estas etapas
son abreviadas por necesidades de inmediatez, pero cada etapa debe ser realizada. Si en la fase de
desarrollo la universidad intenta crear una poltica sin una revisin independiente, se tendrn
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
7/13
polticas que no estarn bien concebidas ni sern bien recibidas por la comunidad universitaria. En
otras circunstancias, y por falta de visin, puede desearse omitir la etapa de excepciones de la fase
de implementacin, pensando equivocadamente que no existirn circunstancias para su no
cumplimiento. Tambin se podra descuidar la etapa de mantenimiento, olvidando la importancia de
mantener la integridad y la vigencia de las polticas. Muchas veces se encuentran polticas
inoficiosas en los documentos de importantes organizaciones, indicando que la etapa de retiro no
est siendo realizada.

No slo se requiere que las once etapas sean realizadas, algunas de ellas deben ser ejecutadas de
manera cclica, en particular mantenimiento, concienciacin, monitoreo, y garanta de
cumplimiento.

ALGUNAS PRCTICAS RECOMENDADAS PARA ESCRIBIR UNA POLTICA

Sin importar que una poltica se enuncie formal o informalmente, esta debe incluir 12 tpicos:

1. La declaracin de la poltica (cul es la posicin de la administracin o qu es lo que se
desea regular)
2. Nombre y cargo de quien autoriza o aprueba la poltica
3. Nombre de la dependencia, del grupo o de la persona que es el autor o el proponente de la
poltica
4. Debe especificarse quin debe acatar la poltica (es decir, a quin est dirigida) y quin es el
responsable de garantizar su cumplimiento
5. Indicadores para saber si se cumple o no la poltica
6. Referencias a otras polticas y regulaciones en las cuales se soporta o con las cuales tiene
relacin
7. Enunciar el proceso para solicitar excepciones
8. Describir los pasos para solicitar cambios o actualizaciones a la poltica
9. Explicar qu acciones se seguirn en caso de contravenir la poltica
10. Fecha a partir de la cual tiene vigencia la poltica
11. Fecha cuando se revisar la conveniencia y la obsolescencia de la poltica
12. Incluir la direccin de correo electrnico, la pgina web y el telfono de la persona o
personas que se pueden contactar en caso de preguntas o sugerencias

Otras prcticas que se recomiendan seguir son:

1. Uso de lenguaje sencillo (evitar lenguaje tcnico hasta donde sea posible)
2. Escribir la poltica como si fuese a utilizarse siempre
3. Debe escribirse de tal forma que pueda leerlo cualquier miembro de la universidad
4. Se debe evitar describir tcnicas o mtodos particulares que definan una sola forma de
hacer las cosas
5. Cuando se requiera, hacer referencia explicita y clara a otras dependencias de la
organizacin
6. Utilizar la gua para la presentacin de documentos escritos de la universidad

ASPECTOS IMPORTANTES PARA DEFINIR RESPONSABILIDADES EN EL
DESARROLLO DE POLTICAS

En muchas ocasiones se asume que la funcin seguridad informtica ya sea un grupo o un
individuo- sea la encargada de adelantar la gran mayora de las etapas en el ciclo de vida de una
poltica y que tambin acte como el proponente para la mayora de las polticas relacionadas con la
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
8/13
proteccin de los activos informticos. Por diseo, la funcin seguridad informtica tiene la
responsabilidad a largo plazo y debe ejecutar las tareas diarias para asegurar los activos de
informacin y por tanto, debe ser el dueo y debe ejercer control centralizado sobre las
POLTICAS, ESTNDARES, MEJORES PRCTICAS, PROCEDIMIENTOS Y GUAS
relacionados con seguridad informtica.

Pero en ningn caso la funcin seguridad informtica debe ser el proponente de todas las polticas
relacionadas con seguridad, ni tampoco debe realizar todas las etapas de desarrollo en el ciclo de
vida de la poltica. Por ejemplo, los dueos de los sistemas de informacin deben tener la
responsabilidad para establecer los requerimientos necesarios para implementar las polticas de la
universidad para sus propios sistemas. Cuando existan requerimientos de seguridad en cierta
dependencia que deben cumplir con polticas de nivel superior, su proponente debe ser la
dependencia que tiene inters en garantizar la efectividad de dicha poltica.

Aunque el proponente o dueo de una poltica tiene una responsabilidad contina sobre el ciclo de
vida completo de la poltica, hay varios factores que influyen sobre la determinacin y la decisin
de quin o qu dependencia tienen responsabilidad directa para realizar etapas especficas del ciclo
de vida de la poltica en una organizacin. Entre estos factores se incluyen:

1. Separacin de tareas. El principio de separacin de tareas debe ser aplicado para
determinar la responsabilidad de una etapa en particular para garantizar que los chequeos y
ajustes necesarios sean aplicados. Para proveer una perspectiva ms amplia y diferente, un
directivo, o un grupo que sea independiente del proponente, debe revisar la poltica y una
directiva, superior al proponente, debe encargarse de aprobar la poltica. O, para disminuir
los posibles conflictos de intereses, la funcin auditoria (o control interno), como oficina
independiente dentro de la organizacin, debe ser encargada del monitoreo del
cumplimiento de la poltica, en tanto que grupos u organizaciones de auditoria externos
deben ser invitados a realizar una evaluacin independiente del cumplimiento de las
polticas para ser consistentes con el principio de separacin de tareas.

2. Eficiencia. Adicionalmente, por razones de eficiencia, dependencias diferentes a la
proponente deben tener alguna responsabilidad para la realizacin de ciertas etapas del ciclo
de vida del desarrollo de una poltica. Por ejemplo, la difusin y la comunicacin de la
poltica sera mejor realizada si se encomendara a la dependencia encargada de estas
funciones dentro de la organizacin (por ejemplo, la Secretara General, las Secretaras de
las sedes o UNIMEDIOS). Por otra parte, basados en la eficiencia, los esfuerzos de
concienciacin seran asignados a la funcin capacitacin de la universidad (en este
momento se encuentra en la Direccin Nacional de Personal y las oficinas de personal de
las sedes) -an cuando puede ocurrir que el personal de capacitacin no est entrenado
especficamente en la labor de la concienciacin de la poltica de seguridad-. En este ltimo
caso, sera mejor que la desarrollara la funcin de seguridad informtica.

3. Alcance del control. Lmites en el alcance del control que la dependencia proponente
puede ejercer tiene impacto sobre quin debe ser el ponente de una poltica especfica.
Normalmente, el proponente slo puede jugar un papel limitado en el monitoreo y en la
garanta del cumplimiento de la poltica debido a que l no puede estar en todos lo sitios, en
todo momento, donde sta debe ser implementada. Los vicerrectores, decanos, directores de
departamento, jefes de oficinas, de dependencias, de divisiones o de secciones, por su
ubicacin jerrquica, estn cerca de las personas (docentes, estudiantes o empleados) a
quienes afecta la poltica de seguridad y por tanto estn en una mejor posicin para
monitorear de manera efectiva y garantizar el cumplimiento de la poltica. Por tanto deben
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
9/13
asumir la responsabilidad de estas etapas. Estos funcionarios pueden garantizar que la
poltica est siendo seguida y que las contravenciones se manejan de manera adecuada.

4. Autoridad. Lmites en la autoridad que un individuo o una dependencia ejerce, puede
determinar la habilidad para desarrollar exitosamente una etapa del ciclo de vida de una
poltica. La efectividad de una poltica, a menudo, puede ser juzgada por su visibilidad y el
nfasis que la administracin de la universidad coloquen. La efectividad de una poltica, en
muchos casos, depende de la autoridad en la cual la poltica se soporta. Para que una
poltica tenga un soporte en toda la organizacin, el directivo que la aprueba debe tener un
reconocido grado de autoridad sobre una gran parte de la universidad. Normalmente, la
funcin de seguridad informtica de la organizacin no goza del nivel de reconocimiento
ideal a travs de toda la organizacin y requiere el soporte de directivas de nivel superior
para cumplir con su misin. En consecuencia, la aceptacin y el cumplimiento de las
polticas de seguridad informtica tienen mayor probabilidad de darse cuando la autoridad
que la aprueba es de nivel superior.

5. Conocimiento. La ubicacin del proponente en la universidad puede inducir a deficiencias
en el conocimiento del entorno en el cual la poltica ser implementada, entorpeciendo su
efectividad. El empleo de un comit que realice la evaluacin de polticas puede ofrecer un
entendimiento ms amplio de las operaciones que afectar la poltica. Un organismo de este
tipo puede ayudar a garantizar que la poltica sea escrita con el fin de promover su
aceptacin y su implementacin exitosa y puede ser til para prever problemas de
implementacin y para evaluar efectivamente situaciones donde las excepciones a la
poltica pueden ser justificadas. De acuerdo con el alcance de la poltica, la labor de
evaluacin puede ser realizada por el comit nacional de informtica o los comits de
informtica de las sedes.

6. Aplicabilidad. Finalmente, la aplicabilidad de la poltica tambin afecta la responsabilidad
en las etapas de desarrollo del ciclo de vida de la poltica. Qu reas de la universidad son
afectadas por la poltica? La poltica aplica a una sola dependencia, slo a los usuarios de
una tecnologa en particular o a toda la universidad? Si la aplicabilidad de una poltica est
limitada a una sola dependencia, entonces la jefatura de la dependencia debe tener su propia
poltica. Sin embargo, si la poltica es aplicable a toda la universidad, entonces una
dependencia de alto nivel debe asumir la responsabilidad en relacin con la poltica.

RESPONSABILIDADES EN EL MODELO DE CICLO DE VIDA DE LA POLTICA

Para garantizar que todas las etapas del ciclo de vida sean realizadas de manera apropiada y las
responsabilidades para su ejecucin sean asignadas adecuadamente, la universidad debe establecer
un marco de referencia para facilitar el entendimiento, promover la aplicacin consistente,
establecer una estructura jerrquica para soportar mutuamente los distintos niveles de polticas, y
acomodar efectivamente los frecuentes cambios tecnolgicos y organizacionales.
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
10/13
Modelo de responsabilidad por etapa para cada tipo de poltica.

Responsabilidad
Etapa Polticas Estndares y
buenas prcticas
Guas Procedimientos
Creacin
Funcin seguridad
informtica
Funcin seguridad
informtica e
ingenieros con
conocimiento en el
rea
Funcin seguridad
informtica e
ingenieros con
conocimiento en el
rea
Dependencia que los
propone
Revisin
Comit de evaluacin
de polticas
Comit de evaluacin
de polticas
Comit de evaluacin
de polticas
Funcin seguridad
informtica y director
de dependencia
Aprobacin
Rector general o
vicerrector general
Rector general o
vicerrector
Rector general o
vicerrector
Directivo del rea
Comunicacin
Secretara o
UNIMEDIOS
Secretara o
UNIMEDIOS
Secretara o
UNIMEDIOS
Dependencia que los
propone
Cumplimiento
Docentes,
estudiantes,
empleados y
funcionarios con
responsabilidades de
supervisin en toda la
universidad
Docentes,
estudiantes,
empleados y
funcionarios con
responsabilidades de
supervisin en toda la
universidad
Docentes,
estudiantes,
empleados y
funcionarios con
responsabilidades de
supervisin en toda la
universidad
Empleados y
funcionarios con
responsabilidades de
supervisin de la
dependencia
Excepciones
Comit de evaluacin
de polticas
Comit de evaluacin
de polticas
No aplica Directivo del rea
Concienciacin
Funcin seguridad
informtica y funcin
capacitacin
Funcin seguridad
informtica y funcin
capacitacin
Funcin seguridad
informtica y funcin
capacitacin
Jefe de dependencia
Monitoreo
Funcionarios con
responsabilidades de
supervisin, funcin
seguridad informtica
y funcin auditoria
Funcionarios con
responsabilidades de
supervisin, funcin
seguridad informtica
y funcin auditoria
Funcionarios con
responsabilidades de
supervisin, funcin
seguridad informtica
y funcin auditoria
Funcionarios con
responsabilidades de
supervisin y
personas asignadas
dentro de la
dependencia, funcin
seguridad informtica
y funcin auditoria
Garantizar
cumplimiento
Funcionarios con
responsabilidades de
supervisin
Funcionarios con
responsabilidades de
supervisin
No aplica Funcionarios con
responsabilidades de
supervisin
asignados en la
dependencia
Mantenimiento
Funcin seguridad
informtica
Funcin seguridad
informtica
Funcin seguridad
informtica
Dependencia que los
propone
Retiro
Funcin seguridad
informtica
Funcin seguridad
informtica
Funcin seguridad
informtica
Dependencia que los
propone

El cuadro anterior proporciona una orientacin para asignar responsabilidades a cada etapa de
desarrollo de una poltica de acuerdo al nivel del requerimiento. En general, este modelo propone
que la responsabilidad para las etapas relacionadas con las POLTICAS, ESTNDARES,
MEJORES PRCTICAS y GUAS sean similares en muchos aspectos. Al existir una dependencia
encargada de la gestin del programa de seguridad informtica de toda la universidad, la funcin de
seguridad informtica debe servir como proponente para la mayora de POLTICAS,
ESTNDARES, MEJORES PRCTICAS Y GUAS relacionadas con la seguridad de los recursos
de informacin de la universidad -en colaboracin con los profesionales que tengan conocimientos
en el rea tcnica especfica-. Dentro de sus posibilidades, la funcin de seguridad informtica debe
realizar las etapas de creacin, concienciacin, mantenimiento y retiro para las polticas de
seguridad de cada nivel. Sin embargo, hay excepciones a este principio general. Por ejemplo, aun
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
11/13
cuando tiene un impacto importante sobre la seguridad informtica, es ms eficiente que la
direccin de personal sea quien proponga las polticas y los estndares, relacionados con seguridad
informtica, para contratar nuevos empleados. Las responsabilidades para las etapas relacionadas
con el desarrollo de PROCEDIMIENTOS de seguridad son diferentes de las propuestas para las
POLTICAS, ESTNDARES, MEJORES PRCTICAS y GUAS. El cuadro anterior muestra que
los proponentes para los PROCEDIMIENTOS estn por fuera de la funcin seguridad informtica
(un enfoque descentralizado), basados en la aplicabilidad limitada de dichos procedimientos a cierta
dependencia. Aunque los PROCEDIMIENTOS se crean e implementan de manera descentralizada
(en varias etapas), estos deben ser consistentes con las polticas de seguridad de mayor nivel; por
tanto deben ser revisados por la funcin seguridad informtica de la organizacin al igual que por el
funcionario superior de la dependencia. Adicionalmente, las funciones de seguridad y de auditoria
deben ofrecer retroalimentacin al proponente sobre el cumplimiento de los PROCEDIMIENTOS
cuando se estn conduciendo revisiones y auditorias.

La asignacin de responsabilidades mostrada en el cuadro anterior se entiende mejor si se explora el
modelo propuesto de acuerdo con las etapas del ciclo de vida:

Creacin. En la mayora de las organizaciones la funcin seguridad informtica debe servir
como proponente de todas las polticas relacionadas con seguridad que engloban toda la
organizacin y debe ser la responsable para crear estas POLTICAS, ESTNDARES,
MEJORES PRCTICAS Y GUAS. Con el fin de garantizar la pertinencia de las polticas,
es recomendable que en le universidad estas polticas sean elaboradas en conjunto con los
profesionales conocedores del rea tcnica especfica. Sin embargo, las actividades
necesarias, para implementar GUAS y requerimientos de alto nivel deben ser realizadas
por cada dependencia proponente para la cual los PROCEDIMIENTOS aplicarn ya que
son especficos a la estructura y a la operacin de la dependencia especfica.

Revisin. El establecimiento de un comit de evaluacin de polticas proporciona un foro
de amplio espectro para revisar y evaluar la viabilidad de POLTICAS, ESTNDARES,
MEJORES PRCTICAS y GUAS que afectan a toda la organizacin. Aqu se propone
que esta labor sea realizada por los comits de informtica, que en principio estn
conformados por personas de diversas reas organizacionales, interesadas en la seguridad
informtica. La responsabilidad del comit de evaluacin es garantizar que las
POLTICAS, ESTNDARES, MEJORES PRCTICAS y GUAS estn bien redactadas,
sean comprensibles, estn coordinadas y sean viables en trminos de las personas, procesos
y tecnologas que afecta. Debido al volumen y el nmero de dependencias involucradas, es
muy probable que un comit central de evaluacin de polticas no pueda revisar todos los
PROCEDIMIENTOS desarrollados por todas las dependencias proponentes. Sin embargo,
los PROCEDIMIENTOS requieren una revisin similar y el proponente debe buscar un
igual que los revise o disear un proceso de revisin por otras dependencias o, en ltimo
caso, solicitar una revisin por la funcin seguridad informtica.

Aprobacin. La diferencia ms importante entre las responsabilidades con las
POLTICAS, con los ESTNDARES, con las MEJORES PRCTICAS o con las GUAS,
es el nivel de aprobacin requerido para cada uno y el alcance de su implementacin. Las
POLTICAS de seguridad que afectan toda la organizacin deben ser firmadas por el rector
general (o el vicerrector general) para garantizar el nivel necesario de nfasis y visibilidad a
estas (quiz el tipo ms importante de polticas). Ya que los ESTNDARES, las
MEJORES PRCTICAS y las GUAS son diseadas para cumplir una poltica especfica,
estos deben ser aprobados con la firma de un directivo subordinado del rector general (o el
vicerrector general), quien tendr la responsabilidad de implementar la poltica. El director
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
12/13
de informtica, normalmente, ser el responsable de aprobar este tipo de polticas.
Igualmente, los PROCEDIMIENTOS de seguridad deben ser aprobados por la directiva que
tiene la responsabilidad administrativa directa de la dependencia para la cual aplican dichos
procedimientos.

Comunicacin. Ya que la secretara (general o de sede) o UNIMEDIOS cuentan con la
infraestructura y la experiencia, deberan asumir la responsabilidad de la etapa de
comunicacin de las polticas que aplican a toda la universidad. Cuando sea una poltica
que no cubra toda la universidad, el proponente debe asumir la responsabilidad de
comunicar los procedimientos de seguridad, pero hasta donde sea posible debe buscar el
apoyo de la secretara o de UNIMEDIOS.

Cumplimiento. Los mandos medios y empleados para quienes las polticas de seguridad
son aplicables son los principales jugadores en la implementacin y garanta inicial del
cumplimiento de polticas que hayan sido publicadas recientemente. En el caso de las
POLTICAS, ESTNDARES, MEJORES PRCTICAS y GUAS que afectan a toda la
universidad, esta responsabilidad se extiende a todos los funcionarios con responsabilidades
de supervisin, empleados, docentes y estudiantes a quien aplique. En relacin con los
PROCEDIMIENTOS de seguridad, esta responsabilidad estar limitada a los jefes y a los
empleados de la dependencia donde apliquen los procedimientos

Excepciones. En todos los niveles de una organizacin, habr situaciones potenciales que
impedirn el cumplimiento total de una poltica. Es importante que el proponente de la
poltica o un individuo o grupo con una autoridad igual o superior revise las excepciones. El
comit de evaluacin de polticas puede ser efectivo en investigar las solicitudes de
excepciones recibidas de las dependencias que no pueden cumplir con POLTICAS,
ESTNDARES, Y MEJORES PRCTICAS. Ya que las GUAS son, por definicin,
recomendaciones o sugerencias y no son obligatorias, solicitudes formales de excepcin en
su aplicacin no son necesarias (aunque es recomendable que existan argumentos
documentados y aprobados para no seguirlas). En el caso de los PROCEDIMIENTOS de
seguridad, el directivo que aprob el procedimiento debe tambin servir como autoridad
para aprobar las excepciones relacionadas.

Concienciacin. Para la mayora de organizaciones, la funcin de seguridad informtica
est idealmente ubicada para administrar la etapa de concienciacin en seguridad y debe por
tanto tener la responsabilidad de esta etapa en el caso de las POLTICAS, ESTNDARES,
MEJORES PRCTICAS Y GUAS que afectan a toda la universidad. Sin embargo, el
equipo de seguridad informtica debe realizar esta etapa en coordinacin con el
departamento de capacitacin de la organizacin (Direccin Nacional de Personal u Oficina
de Personal de sede) para garantizar unidad en el esfuerzo y en el ptimo uso de los
recursos. El directivo o jefe de dependencia proponente de los PROCEDIMIENTOS debe
responsabilizarse para concienciar los empleados de los procedimientos de seguridad que
estn a su cargo. Dentro de lo posible, esto debe ser realizado con el consejo y la asistencia
de la funcin de seguridad informtica.

Monitoreo. La responsabilidad para monitorear el cumplimiento de las POLTICAS,
ESTNDARES, MEJORES PRCTICAS y GUAS que son aplicables a toda la
organizacin es compartida entre los docentes, estudiantes, empleados, directivos, decanos,
jefes de dependencia (oficina, divisin o seccin), la funcin de auditoria (control interno) y
la funcin de seguridad informtica. Cada empleado que esta sujeto a los requerimientos de
seguridad debe ayudar en el monitoreo del cumplimiento reportando las desviaciones que
Gua para elaboracin de polticas de seguridad -2003
Universidad Nacional de Colombia
13/13
observe. Aunque no deberan estar involucrados en la garanta de cumplimiento de las
polticas, la funcin seguridad informtica y la funcin auditoria (control interno) pueden
jugar un importante papel en el cumplimiento del monitoreo. Incluye el cumplimiento del
monitoreo de PROCEDIMIENTOS propios de dependencias mediante reportes de las
contravenciones dirigidos al proponente con el fin de que se adelante la accin apropiada.

Garanta de cumplimiento. La responsabilidad de garantizar el cumplimiento de los
requerimientos de seguridad est en los funcionarios con responsabilidades de supervisin
sobre los docentes, estudiantes y empleados afectados por la poltica. Por supuesto, esto no
aplica para las GUAS, que por diseo no son obligatorias. Los jefes responsables de las
dependencias en las cuales aplican los PROCEDIMIENTOS de seguridad son los garantes
de su cumplimiento. La regla general es que cada persona que tenga autoridad para
supervisar otras personas debe ser el funcionario que garantice el cumplimiento de la
poltica de seguridad. Por tanto, en ningn caso la funcin de seguridad informtica ni la
funcin de auditoria debe asignrsele autoridad en lugar de o en adicin a el jefe.
Aunque la funcin de seguridad informtica no debe estar involucrada directamente en las
acciones de garanta de cumplimiento, es importante que est enterada, para reportar las
acciones correctivas de tal forma que esta informacin pueda ser integrada en los esfuerzos
de la etapa de concienciacin.

Mantenimiento. Debido a su responsabilidad en el programa de seguridad informtica de
la organizacin, la funcin seguridad informtica es la que mejor est posicionada para dar
manteniendo a las POLTICAS, ESTNDARES, MEJORES PRCTICAS Y GUAS que
tengan aplicabilidad en toda la organizacin para garantizar que estn actualizadas y
disponibles a todos los afectados. En los niveles inferiores de la organizacin, la
dependencia proponente, como duea de los PROCEDIMIENTOS de seguridad, debe
realizar el mantenimiento de los procedimientos que ellos desarrollaron.

Retiro. Cuando una POLITICA, ESTNDAR, MEJOR PRCTICA o GUA no se
necesita ms, debe ser retirada. El proponente del requerimiento debe tener la
responsabilidad de retirarlo. Normalmente el equipo de seguridad informtica realizar esta
funcin con las polticas de seguridad que afectan toda la organizacin, en tanto la
dependencia que es la duea de los PROCEDIMIENTOS de seguridad debe tener la
responsabilidad de retirar el procedimiento.

REFERENCIAS

Fites, Philip and Martin P.J. Kratz. Information Systems Security: A Practitioners Reference,
London: International Thomson Computer Press, 1996.
Hutt, Arthur E., Seymour Bosworth, and Douglas B. Hoyt. Computer Security Handbook, 3rd
ed., John Wiley & Sons, New York, 1995.
National Institute of Standards and Technology, An Introduction to Computer Security: The
NIST Handbook , Special Publication 800-12, October 1995.
Peltier, Thomas R., Information Security Policies and Procedures: A Practitioners Reference,
Auerbach Publications, New York, 1999.
Tudor, Jan Killmeyer, Information Security Architecture: An Integrated Approach to Security in
the Organization,Auerbach Publications, New York, 2001.

Texto traducido y adaptado de The Security Policy Life Cycle: Functions and Responsibilities
de Patrick D. Howard, Information Security Management Handbook, Edited by Tipton & Krause,
CRC Press LLC, 2003.