Después de los pasos previos y con los conocimientos ganados se procede a la construcción del documento formal que incluirá los diversos elementos y para lo cual se deben tener en cuenta los aspectos mostrados en la figura 6. Debe entenderse esta etapa como la del diseño de la Política de Seguridad y deben quedar especificados los diferentes componentes que cubrirá y la forma como se aplicará la misma.

La Política de Seguridad tiene dos propósitos centrales: Informar a todos los usuarios sobre las obligaciones que deben asumir respecto a la seguridad asociada a los recursos de tecnología de Información T.I y dar las guías para actuar ante posibles amenazas y problemas presentados.

	Fig. 6. ELEMENTOS ASOCIADOS A LAS POLITICAS DE SEGURIDAD

Para que pueda convertirse en esa línea guía, es necesario involucrar a los diferentes sectores en la organización: Alta gerencia, responsables de T.I., los encargados de seguridad, los auditores, gerentes de las dependencias y representantes de los usuarios.

El documento formal debe definir elementos asociados la adquisición de hardware, software y contratación de servicios externos teniendo presente los aspectos referentes a seguridad (outsourcing, mantenimiento a hardware y/o software, desarrollo de aplicaciones, administración de proyectos, etc.); las disposiciones sobre privacidad y control de acceso incluidas las políticas de autenticación; las responsabilidades asociadas a las métodos de actuación y el manejo de incidentes. Un aspecto importante es la declaración de disponibilidad, entendida como el compromiso que hace el área de sistemas informáticos sobre el mínimo nivel la prestación de servicios en términos de tiempo y cobertura que se garantizará [FAQ97].

Un reto importante es lograr todo lo anterior emitiendo un documento sencillo y claro, apoyado por la alta dirección, que permita la normal actuación, haciendo de las políticas procedimientos inmersos en los tareas cotidianas, enfocados a los problemas relevantes, fácil de ajustar a los cambios permanentes, que garanticen su cumplimiento apoyándose en herramientas de seguridad antes que orientado a castigar a los infractores, lo cual no se descarta. Pero hay que resaltar algunas características que hacen de ella una buena Política de Seguridad: La constante actualización y el hacerla pública y respaldada por los usuarios en la vida práctica.