ISO 27001: La política de seguridad en la organización
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 proporciona las herramientas para poder implementar un Sistema de Gestión de Seguridad de la Información en una organización.
Llevar a cabo una buena planificación de la Seguridad de la Información en tu empresa genera una buena gestión estratégica. La gestión estratégica se puede definir como la combinación de políticas, operaciones y estructuras organizativas que quieren asegurar que todas las propuestas en Seguridad de la Información se encuentran en línea con los objetivos de negocio y los relativos a la legislación vigente y las regulaciones que les sean aplicables.
Las organizaciones deben dar respuesta a los problemas de naturaleza técnica, ya que se pueden producir incidentes de una gran relevancia que se generan por debilidades o puntos mejorables de la empresa.
La política de seguridad es un conjunto de documentos, que se encuentran sistematizados e indican las normas, los procedimientos y las actuaciones que se deben cumplir por parte de la organización.
Si ahondamos en el concepto y ubicamos la definición dentro del plano de la estrategia, la política de seguridad es un instrumento que desarrolla todos los objetivos de seguridad de la empresa a largo plazo, analizando el ciclo de vida y debiendo ser la base en la que se centre el diseño del sistema de seguridad. La alta dirección debe elaborar su propia política de seguridad, que se debe encontrar firmada por el gerente y se establece la obligatoriedad de su cumplimiento. Esto garantiza el compromiso por parte de la empresa, que es el factor clave para conseguir el éxito.
Los atributos más importantes que facilitarán el contexto de la política de seguridad son:
- La política de seguridad y el cuerpo normativo adjunto.
- Si se encuentra perfectamente organizada y engloba todos los objetivos de la organización.
- Se demuestra compromiso por parte de la alta dirección de la organización respecto a la seguridad.
- Su presencia y aprobación es uno de los elementos más importantes.
- Para enfrentar las auditorías de cumplimiento, la política de seguridad y las normativas que se encuentran relacionas son un elemento muy importante.
No existe una definición clara y concisa de los diferentes componentes del cuerpo normativo de seguridad. Los desarrollos documentales más coherentes se describen a continuación:
- Política: objetivos de un alto nivel dentro de la empresa, el compromiso por parte de la organización y la obligatoriedad.
- Normativas: se desarrolla la política en sectores concretos de la organización.
- Procedimientos: expresa como se debe aplicar la norma en la organización.
Es vital entender que la política de seguridad y las normativas que se encuentran asociadas no son elementos inmóviles, sino que se trata de directivas que se encuentran en continua evolución al igual que la organización.
Es necesario definir un ciclo de vida, que aunque la plasmemos en una lita ordenada no se trata de un proceso secuencial:
- Definición del equipo encargado de redactar y aprobar.
- Desarrollar la política general.
- Definir la estructura.
- Analizar la integración con otras normas.
- Definir los temas de seguridad que se deben incluir en la norma.
- Desarrollar las normas.
- Llevar a cabo los procedimientos.
- Seguir las instrucciones de trabajo.
- Aprobar el contenido.
- Definir el modelo de difusión y mantenimiento permanente.
- Conocer cómo se lleva a cabo el método de premios y castigos.
- Implementar la normativa.
- Llevar a cabo los mecanismos de actuación.
Llevar a cabo la aprobación de la política de seguridad y del cuerpo normativo es uno de las situaciones más complejas del ciclo de vida, ya que se necesita conseguir un conceso de todos los implicados en la redacción de la política de seguridad. Durante la aprobación suelen aflorar derivas no contempladas, que si no han sido trasmitidas correctamente se pueden inhabilitar en los procesos productivos o de negocio.
Toda la estructura de las áreas encargadas de la Seguridad de la Información basada en ISO27001 se encuentra en un proceso de evolución en paralelo con el proceso de madurez.
Aunque la seguridad ha sido adscrita históricamente a las áreas de informática o TI, se está cambiando la tendencia a situarla en el área staff, que se encuentra intimidante relacionada con la gerencia de la organización.
Este nuevo papel adquirido por el área staff no significa que él personal que se encargue de gestionar la seguridad deba tener las habilidades necesarias, pero sí que requiere de un gran esfuerzo por parte de la dirección de seguridad tradicional. El nuevo responsable debe tener todas las habilidades necesarias, que se encuentren acorde con las nuevas responsabilidades adquiridas, necesarias para poder mantener una relación de armonía con otras áreas de la organización con las que debe tener relación y deben ser partícipes de su estrategia.
Si se quiere conseguir la máxima integración de los objetivos de negocio con los de seguridad se debe establecer un Comité de Seguridad que lleve a cabo la función de toma de decisiones y gestión continuada en todo lo relacionado con la Seguridad de la Información, que debe constituirse como el órgano que gestione dicha materia. Las funciones y la relevancia se tienen en cuenta de diferente forma por las diferentes normas ISO.
Durante la transición organizativa el papel que desempeña el responsable de seguridad se encuentra condicionado por sí mismo, es decir, la capacidad que tenga como director para que todos los empleados confíen en él, se debe implicar en todas las decisiones de negocio e incluso en un gestor técnico cuya labor será la de mantener todo en funcionamiento y ahorrando lo máximo posible.
Software ISO 27001
El Software ISO para los Sistemas de Gestión de Seguridad de la Información es una herramienta que cuenta con una serie de aplicaciones específicas para esta temática tales como evaluación de riesgos de seguridad de la información o aplicaciones de autodiagnóstico que dan la posibilidad de automatizar la implantación y mantenimiento de la norma ISO-27001 de forma eficaz en cualquier tipo de organización, independientemente de su sector o tamaño.