¿Qué debe incluir en su Política de Seguridad de la Información basado en la norma ISO 27001?
ISO 27001
El contenido de una política de seguridad de la información es uno de los mayores mitos que se relacionan con la norma ISO 27001, muy a menudo se entiende mal el propósito que persigue este documento y en muchos casos las personas piensan que necesitan escribir todo sobre su seguridad en este documento. Esto no es lo que exige la norma ISO 27001, por lo que durante este artículo queremos hablar sobre lo que debe contener una política de seguridad de la información.
El propósito de la política de seguridad de la información
En numerosos casos, los ejecutivos no tienen idea sobre cómo la seguridad de la información le puede ayudar en su empresa, por lo que el principal objetivo que persigue la política es que la dirección defina lo que quiere conseguir al implementar la norma ISO 27001 en cuanto a la seguridad de la información de su organización.
El segundo propósito que persigue es la creación de un documento en el que los ejecutivos encontrarán de forma fácil comprender los objetivos, y con él serán capaces de controlar todo lo que suceda dentro del Sistema de Gestión de Seguridad de la Información, por lo que no necesitan conocer detalles.
¿Qué debe contener la Política de Seguridad de la Información?
La norma ISO 27001 no dice mucho sobre la política de seguridad, pero sí dice lo siguiente:
- La política tiene que adaptarse a la empresa, esto significa que no puede simplemente copiar la política de una gran organización y utilizarlo en una pequeña organización de TI.
- Es necesario definir un marco para establecer todos los objetivos de seguridad de la información, la política debe definir cómo se proponen los objetivos, la forma en la que se encuentran aprobados y la manera en la que se revisan.
- La política tiene que mostrar el compromiso de la alta dirección para cumplir con los requisitos de todas las partes interesadas y mejorar de forma continua el Sistema de Gestión de Seguridad de la Información, eso se hace normalmente mediante un tipo de declaración dentro de la política.
- La política se debe comunicar dentro de la organización y a todas las partes interesadas, la mejor práctica es definir quién es el responsable de tal comunicación, y entonces esa persona es responsable de hacerlo de forma continua.
- La política debe ser revisada de forma continua por parte del propietario de una política que debe ser definida. Dicha persona será la responsable de mantener la política hasta la fecha.
Por lo tanto, como se puede ver, la política no tiene por qué ser un documento muy largo. Y no tiene por qué incluir todas las reglas de seguridad de la información dentro de este documento a tal fin de escribir las políticas detalladas como políticas de control de acceso, política de clasificación, política de utilización aceptable, etc.
Lo que también se pueden incluir
Aunque no es obligatorio, si usted es una organización más pequeña puede incluir lo siguiente:
- El alcance del Sistema de Gestión de Seguridad de la Información: de esta forma el ámbito de aplicación no tiene que existir como un documento separado.
- Responsabilidades de las partes fundamentales del Sistema de Gestión de Seguridad de la Información: por ejemplo, quién es el responsable de las operaciones y la coordinación del día a día, quién es responsable en el nivel ejecutivo, quién es responsable de la evaluación de riesgos, para los incidentes, las auditorías internas, etc.
- Medición: medirá si se han alcanzado los objetivos de seguridad de la información, los resultados deben ser reportados, etc.
En algunas organizaciones grandes la política de seguridad de la información se funde con la política de gestión de riesgos. Aunque no está mal, es mejor mantener estas políticas como documentos separados.
Hay que tener un par de cosas en cuenta a la hora de escribir la política de seguridad de la información:
- Las intenciones de la alta dirección en cuanto a la seguridad de la información, lo mejor sería programar una entrevista con su CEO y pasar por todos los elementos de la política.
- La legislación y todos los requisitos
- El sistema existente para establecer los objetivos
La política de seguridad de la información en realidad debería servir como enlace principal a todas las actividades de seguridad de la información y sobre todo, porque la norma ISO 27001 requiere de la administración para asegurar que el Sistema de Gestión de Seguridad de la Información y sus objetivos son compatibles con la dirección estratégica de la organización. La política es probablemente la mejor manera de hacer esto.
Por lo tanto, hay que mantener esta política a corto plazo y comprensible para la alta dirección. Y por favor no se deben escribir lagos documentos, ya que de esta forma se crearán documentos que nadie leerá.
Software ISO 27001
El Software ISOTools Excellence para el Sistema de Gestión de Seguridad de la Información ISO 27001 se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.