Guía para hacer una Política de Seguridad de la Información

La Política de Seguridad de la Información es uno de los requisitos para implementar de manera adecuada un Sistema de Gestión de Seguridad de la Información, SGSI, según la norma ISO 27001.  

Introducción

Para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones, de acuerdo con los lineamientos propuestos por la norma ISO 27001, es fundamental contar con una Política de Seguridad de la Información, que en términos generales consiste en un documento en el que la alta gerencia define de manera explícita cuál es la posición y compromiso de la empresa para garantizar la confidencialidad, integridad y disponibilidad de la información. 

Entre otros aspectos, esta política debe especificar cómo la organización gestiona sus activos de información, entendiendo por activo todo aquello que tiene valor para la empresa, por ejemplo, la infraestructura informática, las redes de comunicaciones, las instalaciones, los equipos auxiliares y las personas. 

Contar con una Política de Seguridad de la Información es uno de los requisitos para cumplir con lo establecido por la norma ISO 27001, norma que es certificable y que ofrece grandes ventajas para las empresas tal como incrementar la reputación organizacional, generar mayor seguridad, confianza y mejores relaciones con los diferentes stakeholders y reducir y mitigar la materialización de riesgos tecnológicos.

A continuación podrás conocer más sobre qué es una Política de Seguridad de la Información, cuáles son sus características, cuáles son los pasos a seguir y recomendaciones a tener en cuenta para crear esta política en tu organización.

Política de Seguridad de la Información 

En el ámbito organizacional, una política es un documento en el que la alta dirección de la empresa manifiesta su posición y su manera de actuar frente a un tema específico.

Así, en este caso, la Política de Seguridad de la Información define los lineamientos y compromiso de los directivos para proteger la información, esto es, garantizar en todo momento su confidencialidad, integridad y disponibilidad, y además, para prevenir y mitigar los riesgos que pueden afectarla.

Por eso, esta política incluye todas las medidas consideradas por la organización para proteger sus activos de información y entre otras, se deben dejar claros cuáles son los roles y responsabilidades que los miembros deben cumplir, qué excepciones existen y qué consecuencias pueden haber por incumplimientos de la misma.

Adicional a esto, como lo explica Andrés Darío Olarte, especialista en seguridad de la información, según lo plantea la norma ISO 27001, esta política debe:

• Ser enriquecida y compatible con otras políticas que dependen de esta, al igual que de los objetivos de seguridad, los procedimientos a llevar a cabo, los controles y los protocolos.
  
  
• Contar con un propietario, es decir, con una persona responsable de su mantenimiento, su actualización y de cualquier cambio que se requiera.
  
  
• Ser de fácil acceso y de conocimiento para todos los empleados de la empresa para que así puedan ponerla en práctica y garantizar su cumplimiento. 

Y, por otro lado, es recomendable documentar el procedimiento, los pasos a seguir, para la gestión de los riesgos asociados a la seguridad de la información.

Pasos para hacer una Política de Seguridda de la Información

Teniendo en cuenta todo lo anterior, a continuación conocerás cuáles son los elementos a incluir y pasos a seguir para realizar una Política de Seguridad de la Información para tu empresa.

1. Establecer la definición de la política

Lo primero es dejar claro qué es lo que define esta política, por ejemplo, se puede decir que:

Esta Política de Seguridad de la Información define los lineamientos y medidas a tener en cuenta para gestionar los riesgos de seguridad de la información sobre los activos de información, los procesos y actividades del negocio. 

Esta definición puede verse como una descripción o explicación general y resumida de lo que contiene y para qué sirve la política que se ha desarrollado y que se publica para el conocimiento y cumplimiento de los miembros de una organización.

2. Definir el objetivo de la política

Luego de la definición general, se debe especificar cuál es el objetivo principal de esta política, esto es el para qué la organización va a desarrollar e implementar esta Política de Seguridad de la Información. Un objetivo puede ser:

Establecer las políticas, prácticas y lineamientos que permitan a la organización garantizar la adecuada protección de todos sus activos de información y prevenir la materialización de riesgos que puedan afectar su confidencialidad, integridad y disponibilidad. 

Es importante que este objetivo esté alineado con los objetivos estratégicos del negocio, pues de esta forma ayuda a la consecución de estos.

3. Determinar el alcance de la política

El alcance de la política se refiere a las áreas, procesos, actividades, activos y personas a las que les aplica este documento. Por ejemplo, se puede determinar que:

Esta Política de Seguridad de la Información es aplicable a todos los activos de información de la compañía, así como a todos los procesos, actividades de negocio y a todas las personas que directa o indirectamente prestan algún servicio para la organización.

Determinar este alcance es clave para dejar claro cuáles son los aspectos que se van a tener en cuenta para la puesta en marcha y cumplimiento de la política.

4. Establecer los roles y responsabilidades

La Política de Seguridad de la Información, tal como lo plantea la norma ISO 27001, debe indicar los diferentes roles y responsabilidades que tienen las personas de la organización para garantizar el adecuado cumplimiento tanto de esta política como del Sistema de Gestión de Seguridad de la Información.

Algunos de los roles y responsabilidades que se deben considerar para esto son:

1. Seguridad de la información. Entre sus funciones están:

• Realizar la gestión de riesgos sobre activos de información que no son parte de la infraestructura tecnológica.
• Gestionar riesgos en procesos o actividades específicas de la compañía. 
• Aprobar y realizar seguimiento a los controles implementados y a los planes de acción para la mitigación de riesgos.

2. Ciberseguridad. Algunas de sus funciones son:

• Realizar la gestión de riesgos sobre activos de información que son parte de la infraestructura tecnológica.
• Gestionar riesgos por solicitud bajo demanda.
• Llevar a cabo el procedimiento para la gestión de ciberataques y ciberamenazas.

3. Seguridad TI. Cumple funciones como:

• Generar planes de acción y controles para los activos de información que están bajo su administración.
• Apoyar la gestión de riesgos de estos activos de información.
• Informar oportunamente sobre aquellos activos de información que no estén inventariados o que no hayan sido incluidos en la gestión de riesgos.

4. Responsables de los activos de información. Entre sus funciones están:

• Apoyar adecuadamente la gestión de riesgos sobre los activos de información de los que son responsables.
• Aceptar los riesgos con su gestión para estos activos de información.

5. Funcionarios y terceros de la organización. Tienen funciones como:

• Apoyar la gestión de riesgos en los activos de información a los que tienen acceso y que utilizan. 
• Informar de la necesidad de gestionar riesgos sobre los activos de información que tienen a su alcance.
• Informar oportunamente sobre aquellos activos de información que no estén inventariados o que no hayan sido incluidos en la gestión de riesgos.

Los anteriores roles y responsabilidades están relacionados específicamente con la gestión de riesgos de seguridad de la información, sin embargo, vale la pena aclarar, que en la Política de Seguridad de la Información cada empresa puede incluir los diferentes roles y funciones que considere pertinentes para garantizar en todo momento el adecuado uso y protección de sus activos de información.

5. Especificar las normas / reglas de aplicación

Las normas o reglas de aplicación de la política tienen que ver con los aspectos que serán de obligatorio cumplimiento por parte de los miembros de la organización y pueden ser de diferentes ámbitos. Entre otras, por ejemplo, se pueden especificar las siguientes:

Adicional a las anteriores, cada organización puede incluir las normas o reglas que considere necesarias para garantizar y preservar su seguridad de la información.

Por ejemplo, otras normas a tener en cuenta son las relacionadas con la gestión de claves y con la gestión para el respaldo y recuperación de información para asegurar la continuidad del negocio en el menor tiempo posible, en caso de ser víctima de la materialización de una amenaza cibernética.

6. Definir excepciones y sanciones

La Política de Seguridad de la Información también debe incluir excepciones, es decir, especificar en qué casos una norma, lineamiento o medida descrita no es aplicable por alguna razón.

Igualmente, debe incluir las sanciones que la organización aplicará en caso de incumplimiento de alguna de las normas establecidas y de lo descrito en la política.

Algunas sanciones que se pueden considerar según el impacto del incumplimiento son: llamado de atención por escrito, anulación de accesos, suspensión temporal de permisos, desvinculación laboral, denuncia legal.

Sin embargo, la organización también puede especificar que cada caso de incumplimiento particular de la política se revisará con el área jurídica para tomar decisiones y determinar la sanción o amonestación a la que haya lugar.

7. Desarrollar un glosario

Teniendo en cuenta que la Política de Seguridad de la Información debe ser comunicada a todo el personal de la empresa, es importante incluir un glosario de términos para que todos tengan claridad sobre lo que se habla y se espera con la aplicación de esta política.

Algunos términos que se pueden definir e incluir en este glosario son:

Recomendaciones adicionales

Sumado a los anteriores pasos, para realizar una Política de Seguridad de la Información es importante tener en cuenta las siguientes recomendaciones para que esta sea lo más efectiva posible:

• Considerar las necesidades específicas de cada organización, esto es, no olvidar aspectos claves como el tamaño, la estructura, el sector al que pertenece y su actividad principal. Cada organización tiene sus particularidades y sus necesidades en seguridad de la información también pueden ser diferentes. 

• Tener presente los objetivos estratégicos y de negocio de la organización. Como lo mencionamos en la definición del objetivo de la política, este debe estar alineado a los objetivos estratégicos. 

• Demostrar en todo el momento el compromiso que tiene la alta dirección con el cumplimiento de esta política y, por supuesto, con el Sistema de Gestión de Seguridad de la Información. Es más, la alta dirección es la responsable de aprobar la política y dar vía libre para su publicación y difusión entre todos los empleados de la organización.

• Comunicar la política a todas las partes interesadas. Además del personal interno, es importante dar a conocer esta política a proveedores y terceros que tengan alguna relación con la empresa. Debe haber una persona responsable de esta labor y se debe asegurar que esto se realiza oportunamente y de la manera más adecuada. 

• Designar un propietario de la Política de Seguridad de la Información. Esta persona será responsable de realizar su mantenimiento, su actualización y de cualquier cambio que se deba hacer. 

• También se puede especificar cada cuánto tiempo se realizará la revisión y actualización a la Política de Seguridad de la Información. Es recomendable hacerlo mínimo una vez al año. 
• Incluir un recuadro con información como:
  Elaborado por:
  Versión:
  Fecha de actualización:
  Revisado por:
  Aprobado por:   

Ahora que ya conoces los principales aspectos y pasos a tener en cuenta para realizar una Política de Seguridad de la Información, esperamos que puedas aplicarlo en tu organización para de esta forma poder aportar al cumplimiento del SGSI.

Por último, te invitamos a conocer más sobre Pirani y nuestro módulo de Seguridad de Información, que permite a las empresas gestionar e identificar fácilmente procesos, activos de información, riesgos, controles, incidentes, planes de acción y reportes. Conoce más creando tu cuenta gratis.

Referencia bibliográfica

1. Norma ISO 27001. Fase 3 Elaboración de la Política
2. Hackmetrix. Cómo hacer tu política de seguridad de la información
3. Estructura recomendada para el documento de Política de Seguridad de la Información ISO 27001:2013
4. Curso virtual: Riesgos de Seguridad de la Información y Ciberseguridad