La cláusula 5.2 de la norma ISO 27001 requiere que la alta dirección redacte una política de seguridad de la información. Cumplir con este requisito no es tan difícil cuando se dispone del conocimiento apropiado, pero es preciso asegurarse de que se consideran algunos puntos para poder proporcionar a las partes interesadas la confianza que necesitan. Estas tienen que contar con la certeza de que sus intereses en la seguridad de la información están a salvo.
Además, la política de seguridad de la información constituye la columna vertebral de la seguridad de la información y debe trabajarse en conjunto con los programas de formación y capacitación, según el Anexo A7.2.2. ¿En qué consiste este documento y qué más se debe tener en cuenta para elaborarlo de manera correcta?
¿Qué es la política de seguridad de la información?
Una política de seguridad de la información es un documento que establece los propósitos y objetivos de una organización en relación con esta materia. Por ejemplo, una política puede definir la necesidad de crear contraseñas seguras que cumplan con determinados requisitos para todo tipo de dispositivos, y especialmente para los móviles que se utilizan fuera de las instalaciones. Pero, a diferencia de los procesos y procedimientos, las políticas no incluyen instrucciones específicas y puntuales sobre cómo llevar a cabo esta tarea.
Las políticas son, en esencia, un conjunto de directrices estratégicas promulgadas por una organización para garantizar que todos los empleados, usuarios o interesados las adopten y diseñen procesos y procedimientos que sigan estos principios de modo alineado.
¿Qué debería contener una política de seguridad de la información de acuerdo con ISO 27001?
ISO 27001 no enumera los problemas específicos que deben abordarse en la política entendiendo que cada organización tiene sus propios desafíos y requisitos. Pero sí proporciona un marco alrededor del que se debe trabajar.
Así, una política de seguridad de la información coherente y adecuada debería:
- Proporcionar una directriz clara sobre el tratamiento de la seguridad de la información en la organización.
- Indicar los objetivos de este sistema.
- Incluir información sobre cómo se cumplirá con los objetivos comerciales y con los requisitos contractuales, legales o reglamentarios.
- Asumir un compromiso de mejorar continuamente el SGSI.
- Determinar el alcance del sistema.
- Asignar responsables de las operaciones, de la coordinación en el día a día, de la ejecución general, de la evaluación de riesgos y de la práctica de auditorías, inspecciones e investigación de incidentes.
- Determinar mecanismos y procedimientos para la medición de los objetivos de seguridad y la periodicidad con la que se informará acerca de los indicadores, el rendimiento y los resultados.
Teniendo como base lo que debe aparecer en la política, lo que sigue es considerar algunas buenas prácticas para la redacción y comunicación de esta, que es en definitiva, el eje central de la gestión de seguridad de la información. Entre ellas figura emplear un lenguaje y un medio que resulte lo más eficaz posible a la hora de hacer llegar el contenido de este documento a empleados y otras partes interesadas: lenguaje comprensible, ligero; formato fácilmente accesible…
La #PolíticaSeguridadInformación, de acuerdo con #ISO27001, debe tratar algunos temas específicos. ¿Cuáles son? Hoy hablamos de ellos. Clic para tuitearMás puntos a tener en cuenta en la política de seguridad de la información
La extensión del documento dependerá de las necesidades de la organización. Algunos riesgos no serán de obligatoria consideración para algunas organizaciones. Otros, son tan comunes, que son de reconocimiento universal. La gran mayoría de las organizaciones seguramente deberá abordar cuestiones como el acceso remoto, la gestión de contraseñas o el uso aceptable de los recursos.
Algunas otras cosas que la alta dirección debe tener en cuenta en el momento de crear el documento son:
- Asegurarse de que los objetivos propuestos y los riesgos considerados sean de verdadera relevancia para la organización.
- No olvidar los objetivos de seguridad de la información sobre los que habla la cláusula 6.2, que básicamente hacen referencia a la protección de la confidencialidad e integridad de la información y a la disponibilidad de los activos de información identificados en la cláusula 4.1.
- Asegurarse de que los objetivos sean relevantes, alcanzables, verificables y medibles para poder evaluar.
Diplomado de Seguridad de la Información ISO/IEC 27001
La creación de la política y el cumplimiento de los requisitos de seguridad de la información, así como la práctica de auditorías, son responsabilidades que requieren un conocimiento profundo de la norma ISO 27001.
El Diplomado de Seguridad de la Información ISO/IEC 27001 es un programa que entrega a los profesionales del área, o a quienes tengan responsabilidades misionales o transversales en la seguridad de la información, las herramientas necesarias para afrontar los retos que este campo encuentra en el siglo XXI.
Este es un programa que incorpora un interesante valor agregado. Los alumnos de este programa, no solo se capacitan para implementar y mantener un SGSI basado en la norma ISO 27001, sino que también podrán realizar auditorías internas a estos sistemas.
Es el momento de empezar a invertir en tu futuro y la Escuela Europea de Excelencia te ofrece también la oportunidad de unirte al Club Alumni, donde encontrarás múltiples ventajas para mantenerte siempre actualizado en la gestión de sistemas.
