3. Las polticas de seguridad tienen relacin con los planes y procedimientos de seguridad?

Una Poltica de Seguridad es una "declaracin de intenciones de alto nivel que cubre la
seguridad de los sistemas informticos y que proporciona las bases para definir y delimitar
responsabilidades para las diversas actuaciones tcnicas y organizativas que se requieran "
Una poltica de seguridad informtica es una forma de comunicarse con los usuarios y los
gerentes. Las PSI establecen el canal formal de actuacin del personal, en relacin con los
recursos y servicios informticos, importantes de la organizacin.
No se trata de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal
que involucre sanciones a conductas de los empleados. Es ms bien una descripcin de lo que
se desea proteger y el por qu de ello.
Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y
servicios informticos crticos de la compaa.
Un Procedimiento de seguridad es la definicin detallada de los pasos a ejecutar para llevar a
cabo unas tareas determinadas. Los Procedimientos de Seguridad permiten aplicar e implantar
las Polticas de Seguridad que han sido aprobadas por la organizacin.
Se describe cmo se implementan, en las reas a proteger, las polticas generales que han sido
definidas para toda la entidad, en correspondencia con las necesidades de proteccin en cada
una de ellas, atendiendo a sus formas de ejecucin, periodicidad, personal participante y
medios.
Se sustenta sobre la base de los recursos disponibles y, en dependencia de los niveles de
seguridad alcanzados se elaborar un Programa de Seguridad Informtica, que incluya las
acciones a realizar por etapas para lograr niveles superiores.

Un Plan de seguridad es un conjunto de decisiones que definen cursos de accin futuros, as
como los medios que se van a utilizar para conseguirlos.
El Plan de Seguridad debe ser un proyecto que desarrolle los objetivos de seguridad a largo
plazo de la organizacin, siguiendo el ciclo de vida completo desde la definicin hasta la
implementacin y revisin.
La forma adecuada para plantear la planificacin de la seguridad en una organizacin debe
partir siempre de la definicin de una poltica de seguridad que defina el QU se quiere hacer
en materia de seguridad en la organizacin para a partir de ella decidir mediante un adecuado
plan de implementacin el CMO se alcanzarn en la prctica los objetivos fijados.
La Poltica de Seguridad define el Plan de Seguridad ya que la implementacin
debe ser un fiel reflejo de los procedimientos y normas establecidos en la
poltica.
El Plan de Seguridad debe estar revisado para adaptarse a las nuevas necesidades
del entorno, los servicios que vayan apareciendo y a las aportaciones que
usuarios, administradores, etc. vayan proponiendo en funcin de su experiencia.
La revisin es esencial para evitar la obsolescencia de la poltica debido al
propio crecimiento y evolucin de la organizacin. Los plazos de revisin deben
estar fijados y permitir adems revisiones extraordinarias en funcin de
determinados eventos (por ejemplo, incidentes).
El Plan de Seguridad debe ser auditado para asegurar la adecuacin con las
normas.
El Plan de Seguridad debe realimentar a la Poltica de Seguridad. La
experiencia, los problemas de implantacin, las limitaciones y los avances
tecnolgicos, etc. permitirn que la poltica pueda adecuarse a la realidad,
evitando la inoperancia por ser demasiado utpica y la mejora cuando el
progreso lo permita.

4. Cules son los elementos de las polticas de seguridad?
ELEMENTOS DE UNA POLTICA DE SEGURIDAD INFORMTICA

- Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
- Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin.
- Responsabilidades por cada uno de los servicios y recursos informticos aplicado a todos
los niveles de la organizacin.
- Requerimientos mnimos para configuracin de la seguridad de los sistemas que abarca el
alcance de la poltica.
- Definicin de violaciones y sanciones por no cumplir con las polticas.
- Responsabilidades de los usuarios con respecto a la informacin a la que tiene acceso.

Las polticas de seguridad informtica, tambin deben ofrecer explicaciones comprensibles
sobre por qu deben tomarse ciertas decisiones y explicar la importancia de los recursos.
Igualmente, debern establecer las expectativas de la organizacin en relacin con la
seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones.
Otro punto importante, es que las polticas de seguridad deben redactarse en un lenguaje
sencillo y entendible, libre de tecnicismos y trminos ambiguos que impidan una
comprensin clara de las mismas, claro est sin sacrificar su precisin.
Por ltimo, y no menos importante, el que las polticas de seguridad, deben seguir un
proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes, como
son: el aumento de personal, cambios en la infraestructura computacional, alta rotacin de
personal, desarrollo de nuevos servicios, regionalizacin de la empresa, cambio o
diversificacin del rea de negocios, etc.