Tenía otra pregunta en mente, pero pensé que debería hacer esta primero.
Fondo:
En todos los lugares en los que he estado en el pasado, se ha utilizado una arquitectura de políticas por niveles. Lo que quiero decir es que hay una Política de seguridad de la información global, con declaraciones generales sobre la postura de la compañía en cada uno de los temas aplicables de InfoSec. Subsection on Access Controls: Logical access controls must be instituted and enforced on
Debajo de eso tendrías muchas políticas de Nivel 2, específicas del tema, con declaraciones más específicas sobre el tema. Statement in the Password Policy: Strong passwords must be used to secure all company IT systems.
Finalmente, en el Nivel 2, las políticas eran normas, procesos y procedimientos con orientación de implementación específica. Statement in Password Standards document: Windows passwords must be at least 16 characters long.
Esta estructura tiene sentido para mí. Es más fácil de entender, de mantener y de hacer cumplir.
Recientemente empecé en una nueva empresa como Ingeniero de Seguridad de la Información. Lo que he encontrado es, para decirlo con delicadeza, no de acuerdo con este estándar. Me encargaron recoger las piezas, por así decirlo, y me dieron un documento para comenzar con esas cabezas más por el camino equivocado. Pasé un tiempo mirando las políticas actuales, y básicamente volví a archivar la Política de Seguridad de la Información en una estructura escalonada, reescribí un borrador de la política de SI y algunas políticas de nivel 2 como ejemplos. Presenté los borradores para su revisión, y los comentarios que recibí intentan hacer retroceder el camino de una única política de Controles Generales, tratando de volver a colocar las declaraciones y procesos de las normas en un documento de políticas. No hace falta decir que fue un poco frustrante.
Pregunta
Mi pregunta es ¿cuáles son los pros y los contras de usar una arquitectura de políticas de seguridad de la información en niveles en comparación con una política global?
Tengo mis opiniones sobre ambos métodos, y obviamente prefiero una manera sobre la otra. Pero también me doy cuenta de que mi opinión se basa en experiencias pasadas, por lo que tal vez no esté viendo la luz de otra manera.
Actualizar
No estoy tan enfocado en por qué debería dividir las políticas de los procesos, estándares y procedimientos, que entiendo y puedo articular bien. Estoy más en busca de los pros y los contras de muchas políticas compactas y enfocadas en comparación con una política grande que abarca todo. He actualizado la pregunta en consecuencia.