¿Por qué es importante contar con una política de seguridad de la información?
Política de seguridad
Durante el artículo de hoy queremos explicar qué es la política de seguridad de la información según establece la norma ISO 27001 y qué debe incluir. Sin embargo, es necesario que se recuerde la definición de seguridad de la información, que no es otra cosa que el conjunto de medidas y procedimientos puesto en marcha por las empresas para proteger la confidencialidad de la información y la disponibilidad e integridad de los datos.
A la hora de implantar y certificar la norma ISO 27001, es necesario demostrar que la compañía cuente con la documentación necesaria para ello, por lo que se recomienda generar una política de seguridad de la información y un plan de evaluación y tratamiento de riesgos.
La política de seguridad consiste en desarrollar el marco de actuación apropiado para salvaguardar la información de la organización. El principal objetivo es indicar el propósito que persigue el sistema de Gestión de Seguridad de la Información y el documento en sí.
Además, es necesario que se indique la finalidad que persigue la política de seguridad, se deberá señalar cómo se prevé conseguirlo, como se ha aprobado y cómo se llevará a cabo su seguimiento, ya que tiene que revisarse de manera continua. Es muy importante destacar que la política tiene que estar adaptada a las características de la empresa, comunicarse a todos los interesados y contar con el compromiso de la alta dirección.
En la cláusula 6.2 de la norma ISO 27001 establece todos los objetivos de seguridad de la información. Uno de los más relevantes es que sean medibles, para lo cual ayudará tener presente los tres principios claves de este estándar internacional:
- Confidencialidad: solo las personas autorizadas para ello deben conocer los datos.
- Integridad: la información tiene que ser completa, válida, veraz, exacta y no estar manipulada.
- Disponibilidad: la información ha de ser accesible de forma que los usuarios autorizados para ello puedan disponer de ella cuando la necesiten y garantizar su protección.
El propósito de la política de seguridad de la información
En muchos casos, los ejecutivos no saben bien cómo la seguridad de la información le puede ayudar en su organización. Por este motivo el principal objetivo que persigue la política es que la dirección defina lo que quiere conseguir a la hora de implantar la norma ISO 27001 en cuanto a seguridad de la información de su empresa.
El siguiente propósito que persigue es la creación de un documento en el que los ejecutivos comprenderán los objetivos, y con él serán capaces de controlar todo lo que suceda dentro del Sistema de Gestión de Seguridad de la Información, por lo que no necesitan conocer todos los detalles.
¿Qué tiene que contener la política de seguridad de la información?
La norma ISO 27001 no dice mucho sobre la política de seguridad, pero sí de lo siguiente:
- La política tiene que adaptarse a la organización, esto supone que no puede simplemente copiar la política de una gran organización y utilizarlo en una pequeña organización de TI.
- Es necesario definir un marco para establecer todos los objetivos de seguridad de la información, la política debe definir cómo se proponen los objetivos, la forma en la que se encuentran aprobados y la manera en la que se revisan.
- La política tiene que mostrar el compromiso de la alta dirección para cumplir con los requisitos de todas las partes interesadas y mejorar de forma continua el Sistema de Gestión de Seguridad de la Información, eso se suele hacer mediante un tipo de declaración dentro de la política.
- La política se debe comunicar dentro de la empresa y a todas las partes interesadas, la mejor práctica es definir quién es el responsable de tal comunicación, y entonces esa persona es responsable de hacerlo de forma continua.
- La política debe ser revisada de forma continua por parte del responsable, por este motivo la política debe estar bien definida. Dicha persona será la responsable de mantener la política hasta la fecha.
Por este motivo, la política de seguridad no tiene por qué ser un documento demasiado largo. Y no tiene por qué incluir todas las reglas de seguridad de la información, sino que debe incluir los básico.
Software ISO 27001
El Software ISOTools Excellence para el Sistema de Gestión de Seguridad de la Información ISO 27001 se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.