La Política de Seguridad de la Información es uno de los requisitos para implementar de manera adecuada un Sistema de Gestión de Seguridad de la Información, SGSI, según la norma ISO 27001.
Para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones, de acuerdo con los lineamientos propuestos por la norma ISO 27001, es fundamental contar con una Política de Seguridad de la Información, que en términos generales consiste en un documento en el que la alta gerencia define de manera explícita cuál es la posición y compromiso de la empresa para garantizar la confidencialidad, integridad y disponibilidad de la información.
Entre otros aspectos, esta política debe especificar cómo la organización gestiona sus activos de información, entendiendo por activo todo aquello que tiene valor para la empresa, por ejemplo, la infraestructura informática, las redes de comunicaciones, las instalaciones, los equipos auxiliares y las personas.
Contar con una Política de Seguridad de la Información es uno de los requisitos para cumplir con lo establecido por la norma ISO 27001, norma que es certificable y que ofrece grandes ventajas para las empresas tal como incrementar la reputación organizacional, generar mayor seguridad, confianza y mejores relaciones con los diferentes stakeholders y reducir y mitigar la materialización de riesgos tecnológicos.
A continuación podrás conocer más sobre qué es una Política de Seguridad de la Información, cuáles son sus características, cuáles son los pasos a seguir y recomendaciones a tener en cuenta para crear esta política en tu organización.
En el ámbito organizacional, una política es un documento en el que la alta dirección de la empresa manifiesta su posición y su manera de actuar frente a un tema específico.
Así, en este caso, la Política de Seguridad de la Información define los lineamientos y compromiso de los directivos para proteger la información, esto es, garantizar en todo momento su confidencialidad, integridad y disponibilidad, y además, para prevenir y mitigar los riesgos que pueden afectarla.
Por eso, esta política incluye todas las medidas consideradas por la organización para proteger sus activos de información y entre otras, se deben dejar claros cuáles son los roles y responsabilidades que los miembros deben cumplir, qué excepciones existen y qué consecuencias pueden haber por incumplimientos de la misma.
Adicional a esto, como lo explica Andrés Darío Olarte, especialista en seguridad de la información, según lo plantea la norma ISO 27001, esta política debe:
Y, por otro lado, es recomendable documentar el procedimiento, los pasos a seguir, para la gestión de los riesgos asociados a la seguridad de la información.
Teniendo en cuenta todo lo anterior, a continuación conocerás cuáles son los elementos a incluir y pasos a seguir para realizar una Política de Seguridad de la Información para tu empresa.
Lo primero es dejar claro qué es lo que define esta política, por ejemplo, se puede decir que:
Esta Política de Seguridad de la Información define los lineamientos y medidas a tener en cuenta para gestionar los riesgos de seguridad de la información sobre los activos de información, los procesos y actividades del negocio.
Esta definición puede verse como una descripción o explicación general y resumida de lo que contiene y para qué sirve la política que se ha desarrollado y que se publica para el conocimiento y cumplimiento de los miembros de una organización.
Luego de la definición general, se debe especificar cuál es el objetivo principal de esta política, esto es el para qué la organización va a desarrollar e implementar esta Política de Seguridad de la Información. Un objetivo puede ser:
Establecer las políticas, prácticas y lineamientos que permitan a la organización garantizar la adecuada protección de todos sus activos de información y prevenir la materialización de riesgos que puedan afectar su confidencialidad, integridad y disponibilidad.
Es importante que este objetivo esté alineado con los objetivos estratégicos del negocio, pues de esta forma ayuda a la consecución de estos.
El alcance de la política se refiere a las áreas, procesos, actividades, activos y personas a las que les aplica este documento. Por ejemplo, se puede determinar que:
Esta Política de Seguridad de la Información es aplicable a todos los activos de información de la compañía, así como a todos los procesos, actividades de negocio y a todas las personas que directa o indirectamente prestan algún servicio para la organización.
Determinar este alcance es clave para dejar claro cuáles son los aspectos que se van a tener en cuenta para la puesta en marcha y cumplimiento de la política.
La Política de Seguridad de la Información, tal como lo plantea la norma ISO 27001, debe indicar los diferentes roles y responsabilidades que tienen las personas de la organización para garantizar el adecuado cumplimiento tanto de esta política como del Sistema de Gestión de Seguridad de la Información.
Algunos de los roles y responsabilidades que se deben considerar para esto son:
1. Seguridad de la información. Entre sus funciones están:
2. Ciberseguridad. Algunas de sus funciones son:
3. Seguridad TI. Cumple funciones como:
4. Responsables de los activos de información. Entre sus funciones están:
5. Funcionarios y terceros de la organización. Tienen funciones como:
Los anteriores roles y responsabilidades están relacionados específicamente con la gestión de riesgos de seguridad de la información, sin embargo, vale la pena aclarar, que en la Política de Seguridad de la Información cada empresa puede incluir los diferentes roles y funciones que considere pertinentes para garantizar en todo momento el adecuado uso y protección de sus activos de información.
Las normas o reglas de aplicación de la política tienen que ver con los aspectos que serán de obligatorio cumplimiento por parte de los miembros de la organización y pueden ser de diferentes ámbitos. Entre otras, por ejemplo, se pueden especificar las siguientes:
Adicional a las anteriores, cada organización puede incluir las normas o reglas que considere necesarias para garantizar y preservar su seguridad de la información.
Por ejemplo, otras normas a tener en cuenta son las relacionadas con la gestión de claves y con la gestión para el respaldo y recuperación de información para asegurar la continuidad del negocio en el menor tiempo posible, en caso de ser víctima de la materialización de una amenaza cibernética.
La Política de Seguridad de la Información también debe incluir excepciones, es decir, especificar en qué casos una norma, lineamiento o medida descrita no es aplicable por alguna razón.
Igualmente, debe incluir las sanciones que la organización aplicará en caso de incumplimiento de alguna de las normas establecidas y de lo descrito en la política.
Algunas sanciones que se pueden considerar según el impacto del incumplimiento son: llamado de atención por escrito, anulación de accesos, suspensión temporal de permisos, desvinculación laboral, denuncia legal.
Sin embargo, la organización también puede especificar que cada caso de incumplimiento particular de la política se revisará con el área jurídica para tomar decisiones y determinar la sanción o amonestación a la que haya lugar.
Teniendo en cuenta que la Política de Seguridad de la Información debe ser comunicada a todo el personal de la empresa, es importante incluir un glosario de términos para que todos tengan claridad sobre lo que se habla y se espera con la aplicación de esta política.
Algunos términos que se pueden definir e incluir en este glosario son:
Sumado a los anteriores pasos, para realizar una Política de Seguridad de la Información es importante tener en cuenta las siguientes recomendaciones para que esta sea lo más efectiva posible:
Ahora que ya conoces los principales aspectos y pasos a tener en cuenta para realizar una Política de Seguridad de la Información, esperamos que puedas aplicarlo en tu organización para de esta forma poder aportar al cumplimiento del SGSI.
Por último, te invitamos a conocer más sobre Pirani y nuestro módulo de Seguridad de Información, que permite a las empresas gestionar e identificar fácilmente procesos, activos de información, riesgos, controles, incidentes, planes de acción y reportes. Conoce más creando tu cuenta gratis.
Solicita ayuda aquí si eres cliente →
Somos Pirani → 
