Esquemas de Seguridad Informática

Políticas de Seguridad Proceso del Diseño de Políticas

De acuerdo a (Daltabuit Godás & Vázquez Gómez, 2007), hay que especificar el alcance de las políticas y los objetos de las mismas, consistentemente con la misión de seguridad previamente establecida.

Las políticas promulgadas deben escribirse en párrafos que sean, cada uno por separado, implementarles mediante un mecanismo específico. Es decir, hay que procurar pensar claramente en la conveniencia de que las políticas sean sumamente específicas, si esto se puede lograr, es deseable fragmentar las políticas por departamento o unidad de trabajo. Pueden entonces pensarse en una jerarquía de políticas, unas con aplicabilidad general, y otras para aplicabilidad para grupos o tareas específicas.

Las políticas que no cuenten con la aceptación entusiasta de los usuarios de todos los niveles serán muy difíciles de implantar. Todos aquellos que serían afectados por las políticas deben tener la oportunidad de revisarlas y hacer comentarios antes de que se promulguen, deben contar con el apoyo total de los administradores.

En esta etapa deben considerarse los mecanismos de difusión, capacitación y concientización iniciales y permanentes sobre seguridad informática.

La cultura de la organización y sus necesidades de seguridad son un factor determinante para el equipo de redacción de las políticas. El nivel del control que se establezca no debe resultar en una reducción de la productividad, pues en muchos casos los ingresos y la carrera de la persona esta designadas por su productividad. Si son demasiadas restrictivas en comparación de la cultura organizacional se violarán las políticas.

Las razones que llevan la implantación de una política deben de explicarse dentro de la política misma. También debe definirse la cultura de cada política: quién, qué y cuándo.