5 Elementos clave de la Política de Seguridad de la Información según la ISO 27001

¿No tienes tiempo para construir los documentos del Sistema de Gestión?

Kit de Certificación ISO 22000:2018

Kit de Certificación ISO 9001:2015

Kit de Certificación ISO 27001:2013

Si hay algo que pueda generar controversia dentro de la organización, es la construcción y aprobación de la Política de Seguridad de la Información. Esto generalmente ocurre por la idea errónea de creer que este documento debe contemplar todos los elementos que afectan directa o indirectamente la seguridad de la información, así como las estrategias de  control.

 

Aunque la seguridad de la información garantiza la confidencialidad, integridad y disponibilidad de los datos sensibles de una organización, no quiere decir que dentro de este documento se deba presentar toda la planeación estratégica que se implementará.    

 

La principal característica de una política de seguridad de la información es su sencillez expresada en una o dos páginas. En ellas se enmarca el compromiso de la alta dirección, el personal y demás partes interesadas con la gestión, la calidad y garantía de la información.

 

Aunque es un documento breve y simple, representa los intereses y continuidad de un negocio, por lo que es importante que todos en la organización tengan claro que es, para qué sirve y los elementos claves de la política de seguridad de la información, y hoy tú lo conocerás, y lo mejor de todo, incluye un ejemplo.

 

Empecemos!

Política de seguridad de la información

 

Es una declaración determinante y decisiva para la seguridad de la información, que se fundamenta en la naturaleza del negocio, su contexto, partes interesadas, requisitos y normatividad aplicable.

 

Aunque es un documento aparentemente sencillo, debe ser completo en relación al marco de objetivos de la seguridad de la información, las estrategias de cumplimiento, los requisitos normativos y comerciales, los intereses corporativos, los indicadores de desempeño, métodos de evaluación, etc.

 

Una política de seguridad de la información bien construida garantiza que todos los interesados persigan los mismos objetivos y puedan afrontar eficazmente los problemas de seguridad. También, la cultura organizacional  será fortalecida al integrase en sí la gestión de riesgos y las buenas prácticas en seguridad.  

 

Importancia de la Política de Seguridad de la Información

 

La Política de Seguridad de la Información desarrolla un marco de intervención apropiado para proteger los datos sensibles de la organización. En ella se presenta el propósito del sistema de gestión ISO 27001, construido a partir de las características y singularidades del contexto organizacional y sus interesados.  

 

En la política se plasma el compromiso de la alta dirección, los empleados, clientes y  proveedores con los principios clave del sistema como son la confidencialidad, integridad y disponibilidad de la información.

 

¿Cómo crear una política de seguridad de la información?

 

No puedes crear la política de seguridad de la información sin antes llevar a cabo una completa y eficaz evaluación de riesgos en la identifiques las diferentes formas en las que pueden ocurrir los incidentes.

 

Con los resultados de este proceso podrás clasificar los riesgos de acuerdo a su probabilidad e impacto, y definir el plan de tratamiento adecuado para su control.

 

Aunque la ISO 27001 no especifica los riesgos que deben abordarse dentro de la organización (ya que varían de un negocio a otro), sí suministra un  marco en el que atribuye a la política de seguridad de la información entre otras, las siguientes características: 

 

  • Protege la información como un activo vital.

 

  • Se aplica a todos los procesos, personas y activos de la información.

 

  • Implica tareas como implementar procedimientos, definir los activos de la información, asignar roles y responsabilidades, identificar riesgos, mantener control, seguimiento y mejora continua.

 

  • Clasifica la información en confidencial (datos privados, semiprivados y sensibles), restringida (que no ha sido clasificada formalmente como información pública) y pública (de naturaleza pública).

 

  • Responsabiliza a las partes interesadas con la seguridad de la información desde sus respectivos roles.

 

Elementos clave de una Política de Seguridad de la Información

 

La ISO 27001 no propone grandes exigencias en la elaboración del documento, sin embargo permite algunas observaciones importantes que puedes tener en cuenta para la creación de tu política de seguridad:

 

Número 1. Adaptabilidad

 

La política de seguridad de la información debe adaptarse a las particularidades de la organización, no lo contrario. Por eso, se descarta totalmente la opción de tomar el documento de otras organizaciones.

 

Cada negocio al ser único presenta distintas necesidades, riesgos y problemas de seguridad informática. La clave del éxito de tu política está en la evaluación de riesgos, que al reflejar la situación de tu organización, permite planificar de forma real el alcance, los objetivos y las acciones estratégicas.  

 

Número 2. Precisión

 

Sin entrar en detalles, el documento define los objetivos de seguridad de la información y la forma en que se aprobará y revisará su eficacia. Ten en cuenta que los objetivos deben ser:

 

  • De plazo definido.

 

  • Posibles y asequibles.

 

  • Determinantes para la seguridad informática.

 

Número 3. Compromiso

 

Expresado en la parte introductoria del documento, la alta dirección deja en claro su firme y total compromiso con el sistema y sus propósitos, primando el deber de cumplir con los requisitos que garanticen la seguridad de la información del negocio y de las partes interesadas.

 

Número 4. Comunicación

 

El documento define el o los responsables de divulgar y comunicar a las partes interesadas el alcance, progreso y mejora del sistema. Esta tarea se debe hacer durante la implementación, mantenimiento, monitoreo o frente a cualquier cambio realizado.

 

Número 5. Revisiones

 

Los periodos entre cada revisión y los responsables de llevar a cabo este proceso, son temas que deben estar incluidos en el documento de la política de seguridad de la información. Con esto se garantiza que la política de seguridad se cumpla, se mantenga y sea eficaz  en sus propósitos.

Cómo documentar la política de seguridad de la información

 

  • Revisar los requisitos. Es importante conocer la legislación aplicable para determinar especificaciones que deban incluirse de forma escrita.

 

  • Conocer los resultados de la evaluación de riesgos. Esta información específica las áreas y el grado de criticidad que debe abordarse en el documento.

 

  • Alinear el documento a otros similares. Se debe mantener la coherencia entre la política de seguridad de la información con otras directrices del sistema.

 

  • Estructurar el documento. El formato del documento debe corresponder a las normas propias de la  organización, teniendo en cuenta el procedimiento de control de documentos.

 

  • Aprobar el documento. Esta tarea le corresponde a la alta dirección, que además de aprobar la política de seguridad de la información, debe asegurar su cumplimiento.

 

  • Sensibilizar al personal. El grado de conciencia del personal frente al valor e importancia de la policía de seguridad de la información es determinante para su cumplimiento y eficacia.

 

Ejemplo de la Política de Seguridad de la Información

 

Sumario de la política:

 

La organización se compromete a proteger la información sensible de su interés y sus partes involucradas, en cualquiera que sea la forma de compartir, comunicar o almacenar los datos.

 

Introducción:

 

Para toda la información en medios impresos, digitales, formatos de video, audio, etc., se debe adoptar estrategias de control que permitan garantizar su disponibilidad, integridad y confidencialidad, así como la continuidad del negocio. Bajo el compromiso firme y constante de la alta dirección, el personal y demás partes interesadas, los resultados serán exitosos. 

 

Alcance:

 

La presente política aprobada por todas las partes interesadas de la organización se apoya y fundamenta en las directrices generales del Sistema de Gestión de Seguridad de la Información.

 

Objetivos:

 

  • Gestionar los riesgos operacionales y estratégicos en seguridad de la información para mantenerlos en un nivel de aceptabilidad apropiado.

 

  • Defender la confidencialidad, integridad y disponibilidad de la información relacionada con los procesos, el personal, los clientes, proveedores y demás partes interesadas.

 

  • Atender las necesidades y expectativas en seguridad de la información de las partes interesadas.

 

Responsabilidades:

 

  • La alta dirección asume la responsabilidad de garantizar la gestión adecuada de la seguridad de la información asignando los recursos y el apoyo requeridos.

 

  • El personal se compromete a ejercer buenas prácticas para mantener la seguridad de información dentro del desarrollo de sus actividades.

 

  • Otras partes interesadas deben cumplir con las medidas en seguridad de la información implementadas por la organización.

 

Indicadores de eficacia:

 

  • Incidentes de seguridad de la información controlados sin perturbar las actividades comerciales.

 

  • Los daños por fraude detectados dentro de un nivel aceptable.

 

  • Las entregas satisfactorias a los clientes sin presentar inconvenientes relacionados con la seguridad de la información.

 

Declaración

 

En miras de cumplir con los requisitos del Sistema de Gestión de Seguridad de la Información, mantener el rendimiento y los intereses del negocio; la organización ha desarrollado una metodología de gestión de riesgo para supervisar de forma regular la vulnerabilidad de los activos de la información frente a las amenazas en seguridad.

 

Con la experiencia, el compromiso y apoyo de todas las partes interesadas, la organización declara:

 

  • La información estará protegida de todo acceso no autorizado.

 

  • Se garantizará la confidencialidad de la información del negocio, los empleados y clientes.

 

  • La integridad de la información se mantendrá de acuerdo a su uso.

 

  • La disponibilidad de la información estará conforme a los tiempos requeridos por los procesos críticos de negocio.

 

  • Los programas de continuidad de negocio se revisarán, aprobarán y actualizarán como mínimo cada año.

 

  • Se cumplirá con las jornadas de capacitación en seguridad para todo el personal.

 

  • Se contará con todos los procedimientos que permitan la debida gestión de la seguridad de la información.

 

Es responsabilidad de todo el personal el cumplimiento obligatorio de la presente política y otros documentos incluidos en el SGSI. Por su parte, el personal externo cuyo acceso a las instalaciones de la organización se apruebe, debe acatar las obligaciones indiciadas en la documentación del sistema.

 

En todo caso, las dudas y comentarios frente a la presente pueden exponerse a través de los medios de comunicación corporativos.

 

Firma Director ejecutivo.

 

Conclusión

 

Como ves, la Política de Seguridad de la Información es un documento sencillo y no debe extenderse para explicar los pormenores de los procesos, las pruebas y auditorías del sistema. Recuerda que existen otros documentos que cumplen con estos propósitos.

 

Ahora que sabes un poco más sobre esta importante directriz, recuerda que en el caso de la seguridad de la información, a mayor brevedad, mejor precisión y cumplimiento.  

 

Si este post te ha sido de utilidad me gustaría que lo compartas en tus redes sociales.

 

 Nos vemos en breve!

Talvez te interese leer más sobre:

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *