Distingue una política, una norma, un procedimiento y una directriz. ¿Cuáles son obligatorios?
Respuesta breve
Una política es la declaración obligatoria de alto nivel de la intención de la dirección; una norma es una regla específica obligatoria que aplica la política (p. ej. AES-256); un procedimiento es el instructivo obligatorio paso a paso; una directriz es una recomendación opcional. Las políticas, normas y procedimientos son obligatorios, mientras que las directrices son discrecionales.
Esta es una pregunta clásica de definiciones del CISSP, y los entrevistadores la usan para comprobar si sabes hablar con precisión a directivos y auditores. Confundir estos términos señala unos fundamentos de gobernanza débiles.
La jerarquía de gobernanza
Piensa en estos documentos como una pirámide que fluye de la intención a la ejecución:
- Política — la declaración de más alto nivel, amplia, de la intención y la dirección de la dirección. Dice qué y por qué, la aprueba la alta dirección y evita deliberadamente tecnologías concretas para mantenerse estable durante años. Obligatoria.
- Norma — una regla específica y obligatoria que operacionaliza una política. «Todos los datos en reposo deben cifrarse con AES-256» es una norma que aplica una política de cifrado. Obligatoria.
- Línea base (baseline) — un nivel de configuración mínimo aceptable (p. ej. una compilación de SO endurecida) al que hacen referencia las normas.
- Procedimiento — el instructivo detallado, paso a paso, que el personal debe seguir para cumplir una norma. Obligatorio.
- Directriz — una buena práctica recomendada que ofrece flexibilidad donde las reglas rígidas resultan impracticables. Discrecional / opcional.
Por qué importa la distinción
La línea entre obligatorio y opcional es el núcleo de la respuesta. Los auditores comprueban el cumplimiento frente a políticas, normas y procedimientos porque son exigibles; las directrices existen para apoyar el criterio en situaciones que una norma no puede anticipar del todo. Mantener los detalles tecnológicos fuera de las políticas (y trasladarlos a normas y líneas base) significa que puedes cambiar de proveedor o de algoritmo sin reescribir documentos aprobados por el consejo.
Qué buscan los entrevistadores
Definiciones nítidas en el orden correcto, la afirmación explícita de que solo las directrices son opcionales, y la comprensión de que las políticas deben ser neutrales en cuanto a tecnología mientras que las normas y los procedimientos llevan los detalles.
Posibles preguntas de seguimiento
- ¿Dónde encajan las líneas base (baselines) en esta jerarquía?
- ¿Por qué una política debería evitar nombrar tecnologías o proveedores concretos?
- ¿Quién debería aprobar formalmente una política de seguridad?