Conjunto de directrices plasmadas en un documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos.

Según se dispone en el Anexo IV del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, referente obligado en materia de Seguridad de la Información, se denomina Política de Seguridad al «Conjunto de directrices plasmadas en un documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos».

La implementación de la Política busca reducir el riesgo corporativo en su conjunto y, en el caso de los activos de información, reducir la probabilidad de que accidental o intencionadamente se divulgue, modifique, destruya o haga mal uso de los datos.

La Política de Seguridad debe describir QUÉ (qué activos se protegen) se intenta proteger y POR QUÉ (por qué se protegen esos activos) se debe hacer, sin entrar en detalles acerca del CÓMO, que corresponden a un plan de implementación.

Adicionalmente, una vez establecida la Política se debe planificar su revisión periódica en la organización, ya que las necesidades y requisitos cambiarán con el tiempo y las normas establecidas pueden volverse demasiado estrictas o, por el contrario, demasiado relajadas.

La Política de Seguridad se establecerá en base a unos principios básicos y se desarrollará aplicando determinados requisitos mínimos. Los más significativos son los siguientes:

  • Organización e implantación del proceso de seguridad.
  • Análisis y gestión de los riesgos.
  • Gestión de personal.
  • Profesionalidad.
  • Autorización y control de los accesos.
  • Protección de las instalaciones.
  • Adquisición de productos.
  • Seguridad por defecto.
  • Integridad y actualización del sistema.
  • Protección de la información almacenada y en tránsito.
  • Prevención ante otros sistemas de información interconectados.
  • Registro de actividad.
  • Incidentes de seguridad.
  • Continuidad de la actividad.
  • Mejora continua del proceso de seguridad.

En definitiva: seguridad integral, prevención, detección y recuperación, re-evaluación periódica, gestión de riesgos, líneas de defensa y función diferenciada.

El contenido del documento de Políticas de Seguridad debería ser:

  1. Misión y objetivos de la organización.
  2. Marco normativo en el que se desenvuelve su actividad.
  3. Organización de seguridad:
    • Definición de comités y roles unipersonales.
    • Funciones.
    • Responsabilidades.
    • Mecanismos de coordinación.
    • Procedimientos de designación de personas.
  4. Concienciación y formación.
  5. Postura para la gestión de riesgos
    • Plan de análisis.
    • Criterios de evaluación de riesgos.
    • Directrices de tratamiento.
    • Proceso de aceptación del riesgo residual.
  6. Proceso de revisión de la Política de Seguridad.

La seguridad deberá comprometer a todos los miembros de la organización. La Política de Seguridad deberá identificar unos claros responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización.

Como hemos indicado, la Política de Seguridad de la organización es un documento de alto nivel que define lo que significa «seguridad de la información» en la organización. El documento debe estar accesible a todos los miembros de la organización y redactado de forma sencilla, precisa y comprensible. Conviene que sea breve, dejando los detalles técnicos para otros documentos normativos.

Dado que la Política de Seguridad está escrita a un nivel muy amplio, se requiere complementarla con documentos más precisos que ayuden a llevar a cabo lo propuesto. Para ello se utilizan otros instrumentos que reciben diferentes nombres, siendo comunes los siguientes:

  • Normas de seguridad: uniformizan el uso de aspectos concretos del sistema. Indican el uso correcto y las responsabilidades de los usuarios. Suelen ser de aplicación obligatoria. Dentro de este apartado también se encuentran las llamadas Instrucciones de Seguridad, que atienden a un objetivo de seguridad específico y suelen ser de obligado cumplimiento en su ámbito de actuación, estableciendo los requisitos de seguridad generales a implementar en un sistema.
  • Guías de seguridad: tienen un carácter formativo y buscan ayudar a los usuarios a aplicar correctamente las medidas de seguridad, proporcionando razonamientos donde no existen procedimientos precisos.
  • Procedimientos de seguridad: afrontan tareas concretas, indicando lo que hay que hacer, paso a paso. Son útiles en tareas repetitivas.

Estos instrumentos forman la Normativa de Seguridad. La Poltícia de Seguridad de la Información de la organización se desarrollará, entre otros instrumentos, por medio de la Normativa de Seguridad, que abordará aspectos generales y específicos y, en general, modelos de comportamiento. Deberá estar disponible en la Intranet Corporativa del organismo (accesible por todos los usuarios de la corporación) o incluso impresa y accesible en una determinada ubicación física