Políticas de seguridad

Una de las preguntas más habituales a la hora de tratar de llevar a la práctica la seguridad suele ser cómo desarrollar políticas de seguridad. Realmente suele ser uno de los apartados en los que es más complicado encontrar documentación útil en Internet, ya que normalmente los consultores guardan con celo ese tipo de documentación, que refleja parte de su KnowHow adquirido a lo largo de los años. Por éso, creo que el link que dejo a continuación puede ser útil, si no para servir de modelo de creación de políticas, sí como referencia para su redacción:

http://www.27001-online.com/secpols.htm

En esta dirección se puede encontrar un listado de políticas organizadas por capítulos, y para cada una un pequeño índice del contenido que se debe regular en cada una de ellas. Como cualquiera puede comprobar, la estructura no sigue la misma organización que los controles de la norma ISO 27001, pero creo que este es uno de los puntos fuertes de esta lista, ya que están organizadas de una forma más práctica y con la que probablemente muchas organizaciones se sentirán más cómodas, debido a que se asemeje más a su organización y funcionamiento interno.

En resumen, esta puede ser una guía de trabajo para todo aquél que quiera adentrarse en el desarrollo de políticas de seguridad y no sepa por dónde empezar. Y si se quiere que la documentación desarrollada sea compatible con ISO 27001, no hay más (ni menos) que identificar la correspondencia entre ellas y los apartados y controles de la norma. Y que conste que no es algo tan trivial como parece...