Plantillas de políticas de seguridad de la información gratis

Si eres un administrador de sistemas en una pequeña empresa (ya sabes, tú te encargas de todo) o bien eres el responsable de ciberseguridad de tu organización, debes velar porque los empleados y responsables conozcan y respeten una serie de normativas de seguridad y confidencialidad.

Suele ser una tarea tediosa comenzar de cero, así que te interesará contar con documentos a modo de borradores o plantillas de políticas de seguridad de la información como estos, que podrás adaptar a tu entorno.

Estos recursos no cuestan un solo Euro. Se han recopilado para ayudar a los estudiantes del SANS en sus programas de entrenamiento, pero posteriormente se han ofrecido a todos los internautas.

La web de referencia de políticas de ciberseguridad está en constante actualización para que los documentos reflejen los cambios normativos y tecnológicos.

Políticas, estándares y guías de ciberseguridad de SANS

Antes de enumerar los documentos disponibles, una breve diferenciación entre estos términos que a menudo generan confusión y que el propio organismo describe con eficacia.

Una política es un documento que remarca requisitos específicos o reglas que deben cumplirse. En el campo de la seguridad de la información o de red, las políticas suelen ser específicas, cubriendo una sola área.

Definición de política, SANS

Un estándar es normalmente una recopilación de requisitos específicos de un sistema o procedimiento y que deben ser respetados por todos.

Definición de estándar, SANS

Por ejemplo, podría tratarse de un estándar que define como realizar bastionado de un equipo Windows 8.1 para su emplazamiento en una red externa (DMZ).

Y finalmente nos queda la definición de guía:

Una guía es normalmente una recopilación de sugerencias a modo de buenas prácticas, aplicadas a un sistema o procedimiento específicos. No son requisitos a cumplir, pero son de recomendado seguimiento.

Podría ser, por ejemplo, la serie 800 del NIST o las STIC del CCN-CERT.

Plantillas para políticas de seguridad de la información

A continuación las tablas de documentos vigentes que mantiene el SANS para operativas comunes sobre email, uso aceptable de recursos, gestión de contraseñas o credenciales de base de datos. Las tablas están ordenadas por temática, pero en cada una encontrarás tanto políticas como estándares o guías.

Disponibles en PDF/DOCX, estos documentos están en inglés. No debería ser un problema para muchos pero en cualquier caso puedes usar funciones de traducción para adaptarla al castellano sin esfuerzo.

Podéis descargar todas las plantillas de seguridad de la información aquí. A continuación un listado con las disponibles:

GENERAL

Acceptable Encryption Policy

Acceptable Use Policy

Clean Desk Policy

Data Breach Response Policy

Disaster Recovery Plan Policy

Digital Signature Acceptance Policy

Email Policy

Ethics Policy

Pandemic Response Planning Policy

Password Construction Guidelines

Password Protection Policy

Security Response Plan Policy

End User Encryption Key Protection Policy

SEGURIDAD EN REDES

Acquisition Assessment Policy

Bluetooth Baseline Requirements Policy

Remote Access Policy

Remote Access Tools Policy

Router and Switch Security Policy

Wireless Communication Policy

Wireless Communication Standard

SEGURIDAD EN SERVIDORES

Database Credentials Policy

Technology Equipment Disposal Policy

Information Logging Standard

Lab Security Policy

Server Security Policy

Software Installation Policy

Workstation Security (For HIPAA) Policy

SEGURIDAD EN APLICACIONES

WPolítica de seguridad en aplicaciones webPolicy

En el último apartado existen algunos documentos catalogados como «antiguos» o retirados. Por ejemplo: política de uso de extranet, guía sobre antivirus, política de cifrado en dispositivos móviles, etcétera.