¿Existen motivos o beneficios específicos para usar una arquitectura de políticas de seguridad de la información en niveles?

2

Tenía otra pregunta en mente, pero pensé que debería hacer esta primero.

Fondo:

En todos los lugares en los que he estado en el pasado, se ha utilizado una arquitectura de políticas por niveles. Lo que quiero decir es que hay una Política de seguridad de la información global, con declaraciones generales sobre la postura de la compañía en cada uno de los temas aplicables de InfoSec. Subsection on Access Controls: Logical access controls must be instituted and enforced on

Debajo de eso tendrías muchas políticas de Nivel 2, específicas del tema, con declaraciones más específicas sobre el tema. Statement in the Password Policy: Strong passwords must be used to secure all company IT systems.

Finalmente, en el Nivel 2, las políticas eran normas, procesos y procedimientos con orientación de implementación específica. Statement in Password Standards document: Windows passwords must be at least 16 characters long.

Esta estructura tiene sentido para mí. Es más fácil de entender, de mantener y de hacer cumplir.

Recientemente empecé en una nueva empresa como Ingeniero de Seguridad de la Información. Lo que he encontrado es, para decirlo con delicadeza, no de acuerdo con este estándar. Me encargaron recoger las piezas, por así decirlo, y me dieron un documento para comenzar con esas cabezas más por el camino equivocado. Pasé un tiempo mirando las políticas actuales, y básicamente volví a archivar la Política de Seguridad de la Información en una estructura escalonada, reescribí un borrador de la política de SI y algunas políticas de nivel 2 como ejemplos. Presenté los borradores para su revisión, y los comentarios que recibí intentan hacer retroceder el camino de una única política de Controles Generales, tratando de volver a colocar las declaraciones y procesos de las normas en un documento de políticas. No hace falta decir que fue un poco frustrante.

Pregunta

Mi pregunta es ¿cuáles son los pros y los contras de usar una arquitectura de políticas de seguridad de la información en niveles en comparación con una política global?

Tengo mis opiniones sobre ambos métodos, y obviamente prefiero una manera sobre la otra. Pero también me doy cuenta de que mi opinión se basa en experiencias pasadas, por lo que tal vez no esté viendo la luz de otra manera.

Actualizar

No estoy tan enfocado en por qué debería dividir las políticas de los procesos, estándares y procedimientos, que entiendo y puedo articular bien. Estoy más en busca de los pros y los contras de muchas políticas compactas y enfocadas en comparación con una política grande que abarca todo. He actualizado la pregunta en consecuencia.

    
pregunta Craine 18.09.2014 - 16:49
fuente

2 respuestas

1

La idea básica es que las Políticas están separadas de los Procedimientos porque las Políticas rara vez van a cambiar. Son una visión de alto nivel de la intención de la empresa. Los procedimientos son cómo se lleva a cabo esa intención. Esos detalles de implementación pueden variar de un departamento a otro y modificarse con el tiempo.

Imagine que los usuarios pueden tener un tipo de requisito de complejidad de contraseña, pero los administradores necesitan otro. Con una Política y dos Procedimientos (usuario y administrador), puede crear fácilmente un escenario de este tipo, rastrearlo y aplicarlo más fácilmente, y mantenerlo a lo largo del tiempo.

Al dividir esos 2 conceptos, puede satisfacer las necesidades de la empresa y las necesidades de implementación al mismo tiempo.

EDIT

Después de su aclaración, puedo decir que es un problema de mantenibilidad. Una política general debe ser revisada y firmada por cada parte interesada de una vez, y cualquier cambio debe pasar por el mismo proceso. Al dividirlo, puede hacer los cambios necesarios, incluso los más pequeños, sin la necesidad de involucrar a toda la compañía.

    
respondido por el schroeder 18.09.2014 - 17:29
fuente
0

Mucho depende de cuántas personas están a cargo de la seguridad en la organización (también denominada organización de seguridad). También depende de la complejidad de la organización.

Caso 1: - Si tiene un equipo muy pequeño y un único responsable de la toma de decisiones, entonces tiene sentido tener uno, un documento de políticas que abarque todo, porque en última instancia, la persona que necesita la firma de la política es la misma persona. .

Por otra parte, si tiene varios tomadores de decisiones para diferentes unidades de negocios, tiene sentido mantener separadas las políticas individuales. Por ejemplo, he visto compañías que han distribuido geográficamente las unidades de negocios. Así que tienen CISO's separados para cada unidad, y un CISO grupal para administrarlos todos. las decisiones de políticas se toman a nivel de BU, mientras que las decisiones a nivel de grupo van a Grupo CISO

Caso 2: - Tomando el ejemplo anterior, si una organización está geográficamente distribuida, con diferentes tipos de empresas, sus necesidades de seguridad de la información también serán diferentes. Por ejemplo, las necesidades de seguridad de la información de la industria financiera serán diferentes de las de los textiles. En esos casos, las políticas deben estar en diferentes documentos para atender las directivas de administración según las necesidades / controles de seguridad de la información específicos de la industria.

Por supuesto, la capacidad de mantenimiento también es un factor, pero no le doy mucha importancia. En última instancia, los requisitos del usuario final deciden si la política será un documento o se dividirá en muchos.

    
respondido por el M S Sripati 05.04.2018 - 12:23
fuente

Lea otras preguntas en las etiquetas