UNIVERSIDAD NACIONAL DE COLOMBIA VICERRECTORIA GENERAL DIRECCIN NACIONAL DE INFORMTICA Y COMUNICACIONES

Gua para elaboracin de polticas de seguridad

Esta metodologa es potencialmente til para el desarrollo, implementacin, mantenimiento y eliminacin de un conjunto completo de polticas tanto de seguridad como en otras reas. Es frecuente que las personas involucradas con seguridad informtica tengan una visin estrecha de lo que significa desarrollar las polticas de seguridad, pues no basta con escribirlas y pretender ponerlas en prctica. En ocasiones se incluye la asignacin de responsables, se realizan actividades para dar a conocerlas y, quiz, se supervise su cumplimiento; pero esto tampoco basta. Muchas polticas de seguridad informtica fallan ya que se desconoce lo que implica realmente desarrollarlas. Es importante resaltar que una poltica de seguridad tiene un ciclo de vida completo mientras esta vigente. Este ciclo de vida incluye un esfuerzo de investigacin, la labor de escribirla, lograr que las directivas de la organizacin la acepten, conseguir que sea aprobada, lograr que sea diseminada a travs de la empresa, concienciar a los usuarios de la importancia de la poltica, conseguir que la acaten, hacerle seguimiento, garantizar que est actualizada y, finalmente, suprimirla cuando haya perdido vigencia. Si no se tiene en cuenta este ciclo de vida se corre el riesgo de desarrollar polticas que sean poco tenidas en cuenta, incompletas, redundantes, sin apoyo por parte de los usuarios y las directivas, superfluas o irrelevantes. Este documento presenta algunos puntos que deben tenerse en cuenta al desarrollar algn tipo de poltica de seguridad informtica. POR QU TENER POLTICAS ESCRITAS Existen varias razones por las cuales es recomendable tener polticas escritas en una organizacin como la Universidad Nacional de Colombia. La siguiente es una lista de algunas de estas razones. 1. Para cumplir con regulaciones legales o tcnicas 2. Como gua para el comportamiento profesional y personal 3. Permite unificar la forma de trabajo de personas en diferentes lugares o momentos que tengan responsabilidades y tareas similares 4. Permiten recoger comentarios y observaciones que buscan atender situaciones anormales en el trabajo 5. Permite encontrar las mejores prcticas en el trabajo 6. Permiten asociar la filosofa de una organizacin (lo abstracto) al trabajo (lo concreto) DEFINICIN DE POLTICA Es importante aclarar el trmino poltica desde el comienzo. Qu queremos dar a entender cuando decimos POLTICA o ESTNDAR o MEJOR PRCTICA o GUA o PROCEDIMIENTO? Estos son trminos utilizados en seguridad informtica todos los das, pero algunas veces son utilizados correctamente, otras veces no.

Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 1/13

POLTICA
Declaracin general de principios que presenta la posicin de la administracin para un rea de control definida. Las polticas se elaboran con el fin de que tengan aplicacin a largo plazo y guen el desarrollo de reglas y criterios ms especficos que aborden situaciones concretas. Las polticas son desplegadas y soportadas por estndares, mejores prcticas, procedimientos y guas. Las polticas deben ser pocas (es decir, un nmero pequeo), deben ser apoyadas y aprobadas por las directivas de la universidad, y deben ofrecer direccionamientos a toda la organizacin o a un conjunto importante de dependencias. Por definicin, las polticas son obligatorias y la incapacidad o imposibilidad para cumplir una poltica exige que se apruebe una excepcin.

ESTNDAR
Regla que especifica una accin o respuesta que se debe seguir a una situacin dada. Los estndares son orientaciones obligatorias que buscan hacer cumplir las polticas. Los estndares sirven como especificaciones para la implementacin de las polticas: son diseados para promover la implementacin de las polticas de alto nivel de la organizacin antes que crear nuevas polticas.

MEJOR PRCTICA
Es una regla de seguridad especfica a una plataforma que es aceptada a travs de la industria al proporcionar el enfoque ms efectivo a una implementacin de seguridad concreta. Las mejores prcticas son establecidas para asegurar que las caractersticas de seguridad de sistemas utilizados con regularidad estn configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a travs de la organizacin.

GUA
Una gua es una declaracin general utilizada para recomendar o sugerir un enfoque para implementar polticas, estndares y buenas prcticas. Las guas son, esencialmente, recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, sern seguidas a menos que existan argumentos documentados y aprobados para no hacerlo.

PROCEDIMIENTO
Los procedimientos definen especficamente cmo las polticas, estndares, mejores prcticas y guas sern implementados en una situacin dada. Los procedimientos son dependientes de la tecnologa o de los procesos y se refieren a plataformas, aplicaciones o procesos especficos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso o sistema especfico. Generalmente los procedimientos son desarrollados, implementados y supervisados por el dueo del proceso o del sistema. Los procedimientos seguirn las polticas de la organizacin, los estndares, las mejores prcticas y las guas tan cerca como les sea posible, y a la vez se ajustarn a los requerimientos procedimentales o tcnicos establecidos dentro de la dependencia donde ellos se aplican. El cuadro anterior, adems de presentar una definicin de los trminos utilizados en la enunciacin e implementacin de polticas, muestra una jerarqua entre las definiciones.
Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 2/13

Un ejemplo de los requerimientos de seguridad interrelacionados podra ser: 1. En el nivel ms alto, se puede elaborar una POLTICA, para toda la organizacin, que obligue a garantizar seguridad en el correo electrnico cuyo contenido sea informacin confidencial. 2. Esta POLTICA podra ser soportada por varios ESTNDARES, incluyendo por ejemplo, que los mensajes de este tipo sean enviados utilizando algn sistema de criptografa aprobado por la universidad y que sean borrados de manera segura despus de su envo. 3. Una MEJOR PRCTICA, en este ejemplo, podra estar relacionada sobre la manera de configurar el correo sobre un tipo especfico de sistema (Windows o Linux) con el fin de garantizar el cumplimiento de la POLTICA y del ESTNDAR. 4. Los PROCEDIMIENTOS podran especificar requerimientos para que la POLTICA y los ESTNDARES que la soportan, sean aplicados en una dependencia especfica, por ejemplo la Oficina de Control Interno. 5. Finalmente, las GUAS podran incluir informacin sobre tcnicas, configuraciones y secuencias de comandos recomendadas que deben seguir los usuarios para asegurar la informacin confidencial enviada y recibida a travs del servicio de correo electrnico. Ntese que, en muchas ocasiones, el trmino poltica es utilizado en un sentido genrico para aplicarlo a cualquiera de los tipos de requerimientos de seguridad expuestos. En este documento se llamar poltica, de manera genrica, a todos los requerimientos de seguridad mencionados antes y POLTICA (en maysculas) a las polticas propiamente dichas. ETAPAS EN EL DESARROLLO DE UNA POLTICA
Creacin (1) Revisin (2) Comunicacin (4)

Aprobacin (3)

Cumplimiento (5) Excepciones (6)

Concienciacin (7) Monitoreo (8) Garanta de Cumplimiento (9) Mantenimiento (10)

Fase de desarrollo

Fase de implementacin

Fase de mantenimiento

Retiro (11)

Fase de eliminacin
Hay 11 etapas que deben realizarse a travs de la vida de una poltica. Estas 11 etapas pueden ser agrupadas en 4 fases. 1. Fase de desarrollo: durante esta fase la poltica es creada, revisada y aprobada. 2. Fase de implementacin: en esta fase la poltica es comunicada y acatada (o no cumplida
Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 3/13

por alguna excepcin). 3. Fase de mantenimiento: los usuarios deben ser concientes de la importancia de la poltica, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se le debe dar mantenimiento (actualizarla). 4. Fase de eliminacin: La poltica se retira cuando no se requiera ms. Creacin: Planificacin, investigacin, documentacin, y coordinacin de la poltica El primer paso en la fase de desarrollo de una poltica es la planificacin, la investigacin y la redaccin de la poltica o, tomado todo junto, la creacin. La creacin de una poltica implica identificar por qu se necesita la poltica (por ejemplo, requerimientos legales, regulaciones tcnicas, contractuales u operacionales); determinar el alcance y la aplicabilidad de la poltica, los roles y las responsabilidades inherentes a la aplicacin de la poltica y garantizar la factibilidad de su implementacin. La creacin de una poltica tambin incluye la investigacin para determinar los requerimientos organizacionales para desarrollar las polticas (es decir, que autoridades deben aprobarla, con quin se debe coordinar el desarrollo y estndares del formato de redaccin), y la investigacin de las mejores prcticas en la industria para su aplicabilidad a las necesidades organizacionales actuales. De esta etapa se tendr como resultado la documentacin de la poltica de acuerdo con los procedimientos y estndares de la universidad, al igual que la coordinacin con entidades internas y externas que la poltica afectar, para obtener informacin y su aceptacin. En general, la creacin de una poltica es la funcin ms fcil de entender en el ciclo de vida de desarrollo de una poltica. Revisin: Evaluacin independiente de la poltica La revisin de la poltica es la segunda etapa en la fase de desarrollo del ciclo de vida. Una vez la documentacin de la poltica ha sido creada y la coordinacin inicial ha sido iniciada, esta debe ser remitida a un grupo (o un individuo) independiente para su evaluacin antes de su aprobacin final. Hay varios beneficios de la revisin independiente: una poltica ms viable a travs del escrutinio de individuos que tienen una perspectiva diferente o ms vasta que la persona que redact la poltica; apoyo ms amplio para la poltica a travs de un incremento en el nmero de involucrados; aumento de credibilidad en la poltica gracias a la informacin recibida de diferentes especialistas del grupo de revisin. Propio de esta etapa es la presentacin de la poltica a los revisores, ya sea de manera formal o informal, exponiendo cualquier punto que puede ser importante para la revisin, explicando su objetivo, el contexto y los beneficios potenciales de la poltica y justificando por qu es necesaria. Como parte de esta funcin, se espera que el creador de la poltica recopile los comentarios y las recomendaciones para realizar cambios en la poltica y efectuar todos los ajustes y las revisiones necesarias para obtener una versin final de la poltica lista para la aprobacin por las directivas. Aprobacin: Obtener la aprobacin de la poltica por parte de las directivas El paso final en la fase de desarrollo de la poltica es la aprobacin. El objetivo de esta etapa es obtener el apoyo de la administracin de la universidad, a travs de la firma de una persona ubicada en una posicin de autoridad. La aprobacin permite iniciar la implementacin de la poltica. Requiere que el proponente de la poltica haga una seleccin adecuada de la autoridad de aprobacin, que coordine con dicho funcionario, presente las recomendaciones emitidas durante la etapa de revisin y
Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 4/13

haga el esfuerzo para que sea aceptada por la administracin. Puede ocurrir que por incertidumbre de la autoridad de aprobacin sea necesaria una aprobacin temporal. Comunicacin: Difundir la poltica Una vez la poltica ha sido aprobada formalmente, se pasa a la fase de implementacin. La comunicacin de la poltica es la primera etapa que se realiza en esta fase. La poltica debe ser inicialmente difundida a los miembros de la comunidad universitaria o a quienes sean afectados directamente por la poltica (contratistas, proveedores, usuarios de cierto servicio, etc.). Esta etapa implica determinar el alcance y el mtodo inicial de distribucin de la poltica (es posible que deban tenerse en cuenta factores como la ubicacin geogrfica, el idioma, la cultura y lnea de mando que ser utilizada para comunicar la poltica). Debe planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que debe ser seguido para mejorar la visibilidad de la poltica. Cumplimiento: Implementar la poltica La etapa de cumplimiento incluye actividades relacionadas con la ejecucin de la poltica. Implica trabajar con otras personas de la universidad, vicerrectores, decanos, directores de departamento y los jefes de dependencias (de divisin o de seccin) para interpretar cul es la mejor manera de implementar la poltica en diversas situaciones y oficinas; asegurando que la poltica es entendida por aquellos que requieren implementarla, monitorearla, hacerle seguimiento, reportar regularmente su cumplimiento y medir el impacto inmediato de la poltica en las actividades operativas. Dentro de estas actividades est la elaboracin de informes a la administracin del estado de la implementacin de la poltica. Excepciones: Gestionar las situaciones donde la implementacin no es posible Debido a problemas de coordinacin, falta de personal y otros requerimientos operacionales, no todas las polticas pueden ser cumplidas de la manera que se pens al comienzo. Por esto, cuando los casos lo ameriten, es probable que se requieran excepciones a la poltica para permitir a ciertas oficinas o personas el no cumplimiento de la poltica. Debe establecerse un proceso para garantizar que las solicitudes de excepciones son registradas, seguidas, evaluadas, enviadas para aprobacin o desaprobacin, documentadas y vigiladas a travs del periodo de tiempo establecido para la excepcin. El proceso tambin debe permitir excepciones permanentes a la poltica al igual que la no aplicacin temporal por circunstancias de corta duracin. Concienciacin: Garantiza la concienciacin continuada de la poltica La etapa de concienciacin de la fase de mantenimiento comprende los esfuerzos continuos realizados para garantizar que las personas estn concientes de la poltica y buscan facilitar su cumplimiento. Esto es hecho al definir las necesidades de concienciacin de los diversos grupos de audiencia dentro de la organizacin (directivos, jefes de dependencias, usuarios, etc.); en relacin con la adherencia a la poltica, determinar los mtodos de concienciacin ms efectivos para cada grupo de audiencia (es decir, reuniones informativas, cursos de entrenamiento, mensajes de correo, etctera); y desarrollo y difusin de material de concienciacin (presentaciones, afiches, circulares, etc.). La etapa de concienciacin tambin incluye esfuerzos para integrar el cumplimiento de la poltica y retroalimentacin sobre el control realizado para su cumplimiento. La tarea final es medir la concienciacin de los miembros de la comunidad universitaria con la poltica y ajustar los esfuerzos de
Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 5/13

acuerdo con los resultados de las actividades medidas. Monitoreo: Seguimiento y reporte del cumplimiento de la poltica Durante la fase de mantenimiento, la etapa de monitoreo es realizada para seguir y reportar la efectividad de lo esfuerzos en el cumplimiento de la poltica. Esta informacin se obtiene de la observacin de los docentes, estudiantes, empleados y los cargos de supervisin, mediante auditorias formales, evaluaciones, inspecciones, revisiones y anlisis de los reportes de contravenciones y de las actividades realizadas en respuesta a los incidentes. Esta etapa incluye actividades continuas para monitorear el cumplimiento o no de la poltica a travs de mtodos formales e informales y el reporte de las deficiencias encontradas a las autoridades apropiadas. Garanta de cumplimiento: Afrontar las contravenciones de la poltica La etapa de garanta de cumplimiento de las polticas incluye las respuestas de la administracin a actos u omisiones que tengan como resultado contravenciones de la poltica con el fin de prevenir que sigan ocurriendo. Esto significa que una vez una contravencin sea identificada, la accin correctiva debe ser determinada y aplicada a los procesos (revisin del proceso y mejoramiento), a la tecnologa (actualizacin) y a las personas (accin disciplinaria) involucrados en la contravencin con el fin de reducir la probabilidad de que vuelva a ocurrir. Se recomienda incluir informacin sobre las acciones correctivas adelantadas para garantizar el cumplimiento en la etapa de concienciacin. Mantenimiento: Asegurar que la poltica est actualizada La etapa de mantenimiento esta relacionada con el proceso de garantizar la vigencia y la integridad de la poltica. Esto incluye hacer seguimiento a las tendencias de cambios (cambios en la tecnologa, en los procesos, en las personas, en la organizacin, en el enfoque del negocio, etctera) que puede afectar la poltica; recomendando y coordinando modificaciones resultado de estos cambios, documentndolos en la poltica y registrando las actividades de cambio. Esta etapa tambin garantiza la disponibilidad continuada de la poltica para todas las partes afectadas por ella, al igual que el mantenimiento de la integridad de la poltica a travs de un control de versiones efectivo. Cuando se requieran cambios a la poltica, las etapas realizadas antes deben ser re-visitadas, en particular las etapas de revisin, aprobacin, comunicacin y garanta de cumplimiento. Retiro: Prescindir de la poltica cuando no se necesite ms Despus que la poltica ha cumplido con su finalidad y no es necesaria (por ejemplo, la empresa cambi la tecnologa a la cual aplicaba o se cre una nueva poltica que la reemplaz) entonces debe ser retirada. La etapa de retiro corresponde a la fase de eliminacin del ciclo de vida de la poltica, y es la etapa final del ciclo. Esta funcin implica retirar una poltica superflua del inventario de polticas activas para evitar confusin, archivarla para futuras referencias y documentar la informacin sobre la decisin de retirar la poltica (es decir, la justificacin, quin autoriz, la fecha, etctera). Estas cuatro fases del ciclo de vida renen 11 etapas diferentes que deben seguirse durante el ciclo de vida de una poltica especfica. No importa como se agrupen, tampoco importa si estas etapas son abreviadas por necesidades de inmediatez, pero cada etapa debe ser realizada. Si en la fase de desarrollo la universidad intenta crear una poltica sin una revisin independiente, se tendrn
Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 6/13

polticas que no estarn bien concebidas ni sern bien recibidas por la comunidad universitaria. En otras circunstancias, y por falta de visin, puede desearse omitir la etapa de excepciones de la fase de implementacin, pensando equivocadamente que no existirn circunstancias para su no cumplimiento. Tambin se podra descuidar la etapa de mantenimiento, olvidando la importancia de mantener la integridad y la vigencia de las polticas. Muchas veces se encuentran polticas inoficiosas en los documentos de importantes organizaciones, indicando que la etapa de retiro no est siendo realizada. No slo se requiere que las once etapas sean realizadas, algunas de ellas deben ser ejecutadas de manera cclica, en particular mantenimiento, concienciacin, monitoreo, y garanta de cumplimiento. ALGUNAS PRCTICAS RECOMENDADAS PARA ESCRIBIR UNA POLTICA Sin importar que una poltica se enuncie formal o informalmente, esta debe incluir 12 tpicos: 1. La declaracin de la poltica (cul es la posicin de la administracin o qu es lo que se desea regular) 2. Nombre y cargo de quien autoriza o aprueba la poltica 3. Nombre de la dependencia, del grupo o de la persona que es el autor o el proponente de la poltica 4. Debe especificarse quin debe acatar la poltica (es decir, a quin est dirigida) y quin es el responsable de garantizar su cumplimiento 5. Indicadores para saber si se cumple o no la poltica 6. Referencias a otras polticas y regulaciones en las cuales se soporta o con las cuales tiene relacin 7. Enunciar el proceso para solicitar excepciones 8. Describir los pasos para solicitar cambios o actualizaciones a la poltica 9. Explicar qu acciones se seguirn en caso de contravenir la poltica 10. Fecha a partir de la cual tiene vigencia la poltica 11. Fecha cuando se revisar la conveniencia y la obsolescencia de la poltica 12. Incluir la direccin de correo electrnico, la pgina web y el telfono de la persona o personas que se pueden contactar en caso de preguntas o sugerencias Otras prcticas que se recomiendan seguir son: Uso de lenguaje sencillo (evitar lenguaje tcnico hasta donde sea posible) Escribir la poltica como si fuese a utilizarse siempre Debe escribirse de tal forma que pueda leerlo cualquier miembro de la universidad Se debe evitar describir tcnicas o mtodos particulares que definan una sola forma de hacer las cosas 5. Cuando se requiera, hacer referencia explicita y clara a otras dependencias de la organizacin 6. Utilizar la gua para la presentacin de documentos escritos de la universidad ASPECTOS IMPORTANTES PARA DESARROLLO DE POLTICAS DEFINIR RESPONSABILIDADES EN EL 1. 2. 3. 4.

En muchas ocasiones se asume que la funcin seguridad informtica ya sea un grupo o un individuo- sea la encargada de adelantar la gran mayora de las etapas en el ciclo de vida de una poltica y que tambin acte como el proponente para la mayora de las polticas relacionadas con la
Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 7/13

proteccin de los activos informticos. Por diseo, la funcin seguridad informtica tiene la responsabilidad a largo plazo y debe ejecutar las tareas diarias para asegurar los activos de informacin y por tanto, debe ser el dueo y debe ejercer control centralizado sobre las POLTICAS, ESTNDARES, MEJORES PRCTICAS, PROCEDIMIENTOS Y GUAS relacionados con seguridad informtica. Pero en ningn caso la funcin seguridad informtica debe ser el proponente de todas las polticas relacionadas con seguridad, ni tampoco debe realizar todas las etapas de desarrollo en el ciclo de vida de la poltica. Por ejemplo, los dueos de los sistemas de informacin deben tener la responsabilidad para establecer los requerimientos necesarios para implementar las polticas de la universidad para sus propios sistemas. Cuando existan requerimientos de seguridad en cierta dependencia que deben cumplir con polticas de nivel superior, su proponente debe ser la dependencia que tiene inters en garantizar la efectividad de dicha poltica. Aunque el proponente o dueo de una poltica tiene una responsabilidad contina sobre el ciclo de vida completo de la poltica, hay varios factores que influyen sobre la determinacin y la decisin de quin o qu dependencia tienen responsabilidad directa para realizar etapas especficas del ciclo de vida de la poltica en una organizacin. Entre estos factores se incluyen: 1. Separacin de tareas. El principio de separacin de tareas debe ser aplicado para determinar la responsabilidad de una etapa en particular para garantizar que los chequeos y ajustes necesarios sean aplicados. Para proveer una perspectiva ms amplia y diferente, un directivo, o un grupo que sea independiente del proponente, debe revisar la poltica y una directiva, superior al proponente, debe encargarse de aprobar la poltica. O, para disminuir los posibles conflictos de intereses, la funcin auditoria (o control interno), como oficina independiente dentro de la organizacin, debe ser encargada del monitoreo del cumplimiento de la poltica, en tanto que grupos u organizaciones de auditoria externos deben ser invitados a realizar una evaluacin independiente del cumplimiento de las polticas para ser consistentes con el principio de separacin de tareas. 2. Eficiencia. Adicionalmente, por razones de eficiencia, dependencias diferentes a la proponente deben tener alguna responsabilidad para la realizacin de ciertas etapas del ciclo de vida del desarrollo de una poltica. Por ejemplo, la difusin y la comunicacin de la poltica sera mejor realizada si se encomendara a la dependencia encargada de estas funciones dentro de la organizacin (por ejemplo, la Secretara General, las Secretaras de las sedes o UNIMEDIOS). Por otra parte, basados en la eficiencia, los esfuerzos de concienciacin seran asignados a la funcin capacitacin de la universidad (en este momento se encuentra en la Direccin Nacional de Personal y las oficinas de personal de las sedes) -an cuando puede ocurrir que el personal de capacitacin no est entrenado especficamente en la labor de la concienciacin de la poltica de seguridad-. En este ltimo caso, sera mejor que la desarrollara la funcin de seguridad informtica. 3. Alcance del control. Lmites en el alcance del control que la dependencia proponente puede ejercer tiene impacto sobre quin debe ser el ponente de una poltica especfica. Normalmente, el proponente slo puede jugar un papel limitado en el monitoreo y en la garanta del cumplimiento de la poltica debido a que l no puede estar en todos lo sitios, en todo momento, donde sta debe ser implementada. Los vicerrectores, decanos, directores de departamento, jefes de oficinas, de dependencias, de divisiones o de secciones, por su ubicacin jerrquica, estn cerca de las personas (docentes, estudiantes o empleados) a quienes afecta la poltica de seguridad y por tanto estn en una mejor posicin para monitorear de manera efectiva y garantizar el cumplimiento de la poltica. Por tanto deben
Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 8/13

asumir la responsabilidad de estas etapas. Estos funcionarios pueden garantizar que la poltica est siendo seguida y que las contravenciones se manejan de manera adecuada. 4. Autoridad. Lmites en la autoridad que un individuo o una dependencia ejerce, puede determinar la habilidad para desarrollar exitosamente una etapa del ciclo de vida de una poltica. La efectividad de una poltica, a menudo, puede ser juzgada por su visibilidad y el nfasis que la administracin de la universidad coloquen. La efectividad de una poltica, en muchos casos, depende de la autoridad en la cual la poltica se soporta. Para que una poltica tenga un soporte en toda la organizacin, el directivo que la aprueba debe tener un reconocido grado de autoridad sobre una gran parte de la universidad. Normalmente, la funcin de seguridad informtica de la organizacin no goza del nivel de reconocimiento ideal a travs de toda la organizacin y requiere el soporte de directivas de nivel superior para cumplir con su misin. En consecuencia, la aceptacin y el cumplimiento de las polticas de seguridad informtica tienen mayor probabilidad de darse cuando la autoridad que la aprueba es de nivel superior. 5. Conocimiento. La ubicacin del proponente en la universidad puede inducir a deficiencias en el conocimiento del entorno en el cual la poltica ser implementada, entorpeciendo su efectividad. El empleo de un comit que realice la evaluacin de polticas puede ofrecer un entendimiento ms amplio de las operaciones que afectar la poltica. Un organismo de este tipo puede ayudar a garantizar que la poltica sea escrita con el fin de promover su aceptacin y su implementacin exitosa y puede ser til para prever problemas de implementacin y para evaluar efectivamente situaciones donde las excepciones a la poltica pueden ser justificadas. De acuerdo con el alcance de la poltica, la labor de evaluacin puede ser realizada por el comit nacional de informtica o los comits de informtica de las sedes. 6. Aplicabilidad. Finalmente, la aplicabilidad de la poltica tambin afecta la responsabilidad en las etapas de desarrollo del ciclo de vida de la poltica. Qu reas de la universidad son afectadas por la poltica? La poltica aplica a una sola dependencia, slo a los usuarios de una tecnologa en particular o a toda la universidad? Si la aplicabilidad de una poltica est limitada a una sola dependencia, entonces la jefatura de la dependencia debe tener su propia poltica. Sin embargo, si la poltica es aplicable a toda la universidad, entonces una dependencia de alto nivel debe asumir la responsabilidad en relacin con la poltica. RESPONSABILIDADES EN EL MODELO DE CICLO DE VIDA DE LA POLTICA Para garantizar que todas las etapas del ciclo de vida sean realizadas de manera apropiada y las responsabilidades para su ejecucin sean asignadas adecuadamente, la universidad debe establecer un marco de referencia para facilitar el entendimiento, promover la aplicacin consistente, establecer una estructura jerrquica para soportar mutuamente los distintos niveles de polticas, y acomodar efectivamente los frecuentes cambios tecnolgicos y organizacionales.

Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 9/13

Modelo de responsabilidad por etapa para cada tipo de poltica. Etapa Creacin Polticas
Funcin seguridad informtica

Responsabilidad Estndares y Guas buenas prcticas

Funcin seguridad informtica e ingenieros con conocimiento en el rea Comit de evaluacin de polticas Rector general o vicerrector Secretara o UNIMEDIOS Docentes, estudiantes, empleados y funcionarios con responsabilidades de supervisin en toda la universidad Comit de evaluacin de polticas Funcin seguridad informtica y funcin capacitacin Funcionarios con responsabilidades de supervisin, funcin seguridad informtica y funcin auditoria Funcin seguridad informtica e ingenieros con conocimiento en el rea Comit de evaluacin de polticas Rector general o vicerrector Secretara o UNIMEDIOS Docentes, estudiantes, empleados y funcionarios con responsabilidades de supervisin en toda la universidad No aplica Funcin seguridad informtica y funcin capacitacin Funcionarios con responsabilidades de supervisin, funcin seguridad informtica y funcin auditoria

Procedimientos
Dependencia que los propone

Revisin Aprobacin Comunicacin Cumplimiento

Comit de evaluacin de polticas Rector general o vicerrector general Secretara o UNIMEDIOS Docentes, estudiantes, empleados y funcionarios con responsabilidades de supervisin en toda la universidad Comit de evaluacin de polticas Funcin seguridad informtica y funcin capacitacin Funcionarios con responsabilidades de supervisin, funcin seguridad informtica y funcin auditoria

Funcin seguridad informtica y director de dependencia Directivo del rea Dependencia que los propone Empleados y funcionarios con responsabilidades de supervisin de la dependencia Directivo del rea Jefe de dependencia Funcionarios con responsabilidades de supervisin y personas asignadas dentro de la dependencia, funcin seguridad informtica y funcin auditoria Funcionarios con responsabilidades de supervisin asignados en la dependencia Dependencia que los propone Dependencia que los propone

Excepciones Concienciacin Monitoreo

Garantizar cumplimiento Mantenimiento Retiro

Funcionarios con responsabilidades de supervisin Funcin seguridad informtica Funcin seguridad informtica

Funcionarios con responsabilidades de supervisin Funcin seguridad informtica Funcin seguridad informtica

No aplica

Funcin seguridad informtica Funcin seguridad informtica

El cuadro anterior proporciona una orientacin para asignar responsabilidades a cada etapa de desarrollo de una poltica de acuerdo al nivel del requerimiento. En general, este modelo propone que la responsabilidad para las etapas relacionadas con las POLTICAS, ESTNDARES, MEJORES PRCTICAS y GUAS sean similares en muchos aspectos. Al existir una dependencia encargada de la gestin del programa de seguridad informtica de toda la universidad, la funcin de seguridad informtica debe servir como proponente para la mayora de POLTICAS, ESTNDARES, MEJORES PRCTICAS Y GUAS relacionadas con la seguridad de los recursos de informacin de la universidad -en colaboracin con los profesionales que tengan conocimientos en el rea tcnica especfica-. Dentro de sus posibilidades, la funcin de seguridad informtica debe realizar las etapas de creacin, concienciacin, mantenimiento y retiro para las polticas de seguridad de cada nivel. Sin embargo, hay excepciones a este principio general. Por ejemplo, aun
Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 10/13

cuando tiene un impacto importante sobre la seguridad informtica, es ms eficiente que la direccin de personal sea quien proponga las polticas y los estndares, relacionados con seguridad informtica, para contratar nuevos empleados. Las responsabilidades para las etapas relacionadas con el desarrollo de PROCEDIMIENTOS de seguridad son diferentes de las propuestas para las POLTICAS, ESTNDARES, MEJORES PRCTICAS y GUAS. El cuadro anterior muestra que los proponentes para los PROCEDIMIENTOS estn por fuera de la funcin seguridad informtica (un enfoque descentralizado), basados en la aplicabilidad limitada de dichos procedimientos a cierta dependencia. Aunque los PROCEDIMIENTOS se crean e implementan de manera descentralizada (en varias etapas), estos deben ser consistentes con las polticas de seguridad de mayor nivel; por tanto deben ser revisados por la funcin seguridad informtica de la organizacin al igual que por el funcionario superior de la dependencia. Adicionalmente, las funciones de seguridad y de auditoria deben ofrecer retroalimentacin al proponente sobre el cumplimiento de los PROCEDIMIENTOS cuando se estn conduciendo revisiones y auditorias. La asignacin de responsabilidades mostrada en el cuadro anterior se entiende mejor si se explora el modelo propuesto de acuerdo con las etapas del ciclo de vida: Creacin. En la mayora de las organizaciones la funcin seguridad informtica debe servir como proponente de todas las polticas relacionadas con seguridad que engloban toda la organizacin y debe ser la responsable para crear estas POLTICAS, ESTNDARES, MEJORES PRCTICAS Y GUAS. Con el fin de garantizar la pertinencia de las polticas, es recomendable que en le universidad estas polticas sean elaboradas en conjunto con los profesionales conocedores del rea tcnica especfica. Sin embargo, las actividades necesarias, para implementar GUAS y requerimientos de alto nivel deben ser realizadas por cada dependencia proponente para la cual los PROCEDIMIENTOS aplicarn ya que son especficos a la estructura y a la operacin de la dependencia especfica. Revisin. El establecimiento de un comit de evaluacin de polticas proporciona un foro de amplio espectro para revisar y evaluar la viabilidad de POLTICAS, ESTNDARES, MEJORES PRCTICAS y GUAS que afectan a toda la organizacin. Aqu se propone que esta labor sea realizada por los comits de informtica, que en principio estn conformados por personas de diversas reas organizacionales, interesadas en la seguridad informtica. La responsabilidad del comit de evaluacin es garantizar que las POLTICAS, ESTNDARES, MEJORES PRCTICAS y GUAS estn bien redactadas, sean comprensibles, estn coordinadas y sean viables en trminos de las personas, procesos y tecnologas que afecta. Debido al volumen y el nmero de dependencias involucradas, es muy probable que un comit central de evaluacin de polticas no pueda revisar todos los PROCEDIMIENTOS desarrollados por todas las dependencias proponentes. Sin embargo, los PROCEDIMIENTOS requieren una revisin similar y el proponente debe buscar un igual que los revise o disear un proceso de revisin por otras dependencias o, en ltimo caso, solicitar una revisin por la funcin seguridad informtica. Aprobacin. La diferencia ms importante entre las responsabilidades con las POLTICAS, con los ESTNDARES, con las MEJORES PRCTICAS o con las GUAS, es el nivel de aprobacin requerido para cada uno y el alcance de su implementacin. Las POLTICAS de seguridad que afectan toda la organizacin deben ser firmadas por el rector general (o el vicerrector general) para garantizar el nivel necesario de nfasis y visibilidad a estas (quiz el tipo ms importante de polticas). Ya que los ESTNDARES, las MEJORES PRCTICAS y las GUAS son diseadas para cumplir una poltica especfica, estos deben ser aprobados con la firma de un directivo subordinado del rector general (o el vicerrector general), quien tendr la responsabilidad de implementar la poltica. El director
Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 11/13

de informtica, normalmente, ser el responsable de aprobar este tipo de polticas. Igualmente, los PROCEDIMIENTOS de seguridad deben ser aprobados por la directiva que tiene la responsabilidad administrativa directa de la dependencia para la cual aplican dichos procedimientos. Comunicacin. Ya que la secretara (general o de sede) o UNIMEDIOS cuentan con la infraestructura y la experiencia, deberan asumir la responsabilidad de la etapa de comunicacin de las polticas que aplican a toda la universidad. Cuando sea una poltica que no cubra toda la universidad, el proponente debe asumir la responsabilidad de comunicar los procedimientos de seguridad, pero hasta donde sea posible debe buscar el apoyo de la secretara o de UNIMEDIOS. Cumplimiento. Los mandos medios y empleados para quienes las polticas de seguridad son aplicables son los principales jugadores en la implementacin y garanta inicial del cumplimiento de polticas que hayan sido publicadas recientemente. En el caso de las POLTICAS, ESTNDARES, MEJORES PRCTICAS y GUAS que afectan a toda la universidad, esta responsabilidad se extiende a todos los funcionarios con responsabilidades de supervisin, empleados, docentes y estudiantes a quien aplique. En relacin con los PROCEDIMIENTOS de seguridad, esta responsabilidad estar limitada a los jefes y a los empleados de la dependencia donde apliquen los procedimientos Excepciones. En todos los niveles de una organizacin, habr situaciones potenciales que impedirn el cumplimiento total de una poltica. Es importante que el proponente de la poltica o un individuo o grupo con una autoridad igual o superior revise las excepciones. El comit de evaluacin de polticas puede ser efectivo en investigar las solicitudes de excepciones recibidas de las dependencias que no pueden cumplir con POLTICAS, ESTNDARES, Y MEJORES PRCTICAS. Ya que las GUAS son, por definicin, recomendaciones o sugerencias y no son obligatorias, solicitudes formales de excepcin en su aplicacin no son necesarias (aunque es recomendable que existan argumentos documentados y aprobados para no seguirlas). En el caso de los PROCEDIMIENTOS de seguridad, el directivo que aprob el procedimiento debe tambin servir como autoridad para aprobar las excepciones relacionadas. Concienciacin. Para la mayora de organizaciones, la funcin de seguridad informtica est idealmente ubicada para administrar la etapa de concienciacin en seguridad y debe por tanto tener la responsabilidad de esta etapa en el caso de las POLTICAS, ESTNDARES, MEJORES PRCTICAS Y GUAS que afectan a toda la universidad. Sin embargo, el equipo de seguridad informtica debe realizar esta etapa en coordinacin con el departamento de capacitacin de la organizacin (Direccin Nacional de Personal u Oficina de Personal de sede) para garantizar unidad en el esfuerzo y en el ptimo uso de los recursos. El directivo o jefe de dependencia proponente de los PROCEDIMIENTOS debe responsabilizarse para concienciar los empleados de los procedimientos de seguridad que estn a su cargo. Dentro de lo posible, esto debe ser realizado con el consejo y la asistencia de la funcin de seguridad informtica. Monitoreo. La responsabilidad para monitorear el cumplimiento de las POLTICAS, ESTNDARES, MEJORES PRCTICAS y GUAS que son aplicables a toda la organizacin es compartida entre los docentes, estudiantes, empleados, directivos, decanos, jefes de dependencia (oficina, divisin o seccin), la funcin de auditoria (control interno) y la funcin de seguridad informtica. Cada empleado que esta sujeto a los requerimientos de seguridad debe ayudar en el monitoreo del cumplimiento reportando las desviaciones que
Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 12/13

observe. Aunque no deberan estar involucrados en la garanta de cumplimiento de las polticas, la funcin seguridad informtica y la funcin auditoria (control interno) pueden jugar un importante papel en el cumplimiento del monitoreo. Incluye el cumplimiento del monitoreo de PROCEDIMIENTOS propios de dependencias mediante reportes de las contravenciones dirigidos al proponente con el fin de que se adelante la accin apropiada. Garanta de cumplimiento. La responsabilidad de garantizar el cumplimiento de los requerimientos de seguridad est en los funcionarios con responsabilidades de supervisin sobre los docentes, estudiantes y empleados afectados por la poltica. Por supuesto, esto no aplica para las GUAS, que por diseo no son obligatorias. Los jefes responsables de las dependencias en las cuales aplican los PROCEDIMIENTOS de seguridad son los garantes de su cumplimiento. La regla general es que cada persona que tenga autoridad para supervisar otras personas debe ser el funcionario que garantice el cumplimiento de la poltica de seguridad. Por tanto, en ningn caso la funcin de seguridad informtica ni la funcin de auditoria debe asignrsele autoridad en lugar de o en adicin a el jefe. Aunque la funcin de seguridad informtica no debe estar involucrada directamente en las acciones de garanta de cumplimiento, es importante que est enterada, para reportar las acciones correctivas de tal forma que esta informacin pueda ser integrada en los esfuerzos de la etapa de concienciacin. Mantenimiento. Debido a su responsabilidad en el programa de seguridad informtica de la organizacin, la funcin seguridad informtica es la que mejor est posicionada para dar manteniendo a las POLTICAS, ESTNDARES, MEJORES PRCTICAS Y GUAS que tengan aplicabilidad en toda la organizacin para garantizar que estn actualizadas y disponibles a todos los afectados. En los niveles inferiores de la organizacin, la dependencia proponente, como duea de los PROCEDIMIENTOS de seguridad, debe realizar el mantenimiento de los procedimientos que ellos desarrollaron. Retiro. Cuando una POLITICA, ESTNDAR, MEJOR PRCTICA o GUA no se necesita ms, debe ser retirada. El proponente del requerimiento debe tener la responsabilidad de retirarlo. Normalmente el equipo de seguridad informtica realizar esta funcin con las polticas de seguridad que afectan toda la organizacin, en tanto la dependencia que es la duea de los PROCEDIMIENTOS de seguridad debe tener la responsabilidad de retirar el procedimiento. REFERENCIAS Fites, Philip and Martin P.J. Kratz. Information Systems Security: A Practitioners Reference, London: International Thomson Computer Press, 1996. Hutt, Arthur E., Seymour Bosworth, and Douglas B. Hoyt. Computer Security Handbook, 3rd ed., John Wiley & Sons, New York, 1995. National Institute of Standards and Technology, An Introduction to Computer Security: The NIST Handbook , Special Publication 800-12, October 1995. Peltier, Thomas R., Information Security Policies and Procedures: A Practitioners Reference, Auerbach Publications, New York, 1999. Tudor, Jan Killmeyer, Information Security Architecture: An Integrated Approach to Security in the Organization,Auerbach Publications, New York, 2001. Texto traducido y adaptado de The Security Policy Life Cycle: Functions and Responsibilities de Patrick D. Howard, Information Security Management Handbook, Edited by Tipton & Krause, CRC Press LLC, 2003.
Gua para elaboracin de polticas de seguridad -2003 Universidad Nacional de Colombia 13/13