ISO 27001 ¿En qué se basa la política de seguridad de la información?
ISO 27001
En el artículo de hoy queremos explicar la política de seguridad de la información según la norma ISO 27001 y conoceremos lo que debe incluir. Sin embargo, conviene recordar la definición de seguridad de la información, que no es otra cosa que “el conjunto de medidas y procedimientos puesto en marcha por las empresas para proteger la confidencialidad de la información y la disponibilidad e integridad de los datos.
A la hora de realizar la implementación o certificación de la norma ISO 27001, es imprescindible demostrar que la compañía cuenta con la documentación adecuada para ello, por lo que se recomienda generar una política de seguridad de la información y un plan de evaluación y tratamiento de riesgos.
La política de seguridad consiste en desarrollar el marco de actuación apropiado para salvaguardar la información de la organización. El principal objetivo es indicar el propósito del Sistema de Gestión de Seguridad de la Información y del documento en sí mismo.
Además de indicar la finalidad de la política de seguridad, se deberá señalar cómo se quiere conseguir, cómo ha sido aprobada y cómo se realizará su seguimiento, ya que deberá revisarse de forma continua. Es muy importante destacar que la política tiene que estar adaptada a las características de la empresa, comunicándose a todos los interesados y es necesario contar con el compromiso de la alta dirección.
En la cláusula 6.2 de la norma ISO 27001 establece todos los puntos que las empresas tienen que cumplir a la hora de establecer los objetivos de seguridad de la información. Uno de los más importantes es que sean medibles, para lo cual ayudará a tener presente los tres principios claves de este estándar internacional:
- Confidencialidad: solo las personas autorizadas para ello deben conocer los datos.
- Integridad: la información tiene que ser completa, válida, veraz, exacta y no estar manipulada.
- Disponibilidad: la información ha de ser accesible de forma que los usuarios autorizados para ello puedan disponer de ella cuando la necesiten y garantizar su protección.
Documentos de la norma ISO 27001
La seguridad de la información debe ser flexible, eficaz y dar soporte al modelo de negocio de la compañía:
- Acceso a la información que debe ser controlado y estar basado en el rol de la persona en la empresa.
- El acceso a la información debe ser controlado y estar basado en el rol de la personal en la empresa.
- Los servicios proporcionados deben ser seguros desde cualquier punto de acceso cuando se conecte a la infraestructura de la compañía.
- Las medidas de seguridad deben garantizar todos los requisitos de confidencialidad, integridad y disponibilidad de información y servicios.
- Las medidas de seguridad deberán garantizar la privacidad de los datos personas según la legislación que se encuentre vigente.
- La seguridad de la información debe estar alienada con la empresa, los requisitos de seguridad de nuestros clientes y las buenas prácticas de la industria.
La empresa dispone de un Sistema de Gestión de Seguridad de la Información integrado en el Sistema de Gestión de Calidad y Medio ambiente que está aprobado y es impulsado por la dirección de la empresa.
La política de seguridad y la normativa de seguridad que la desarrolla es mantenida, actualizada y adecuada para la empresa y según la gestión de riesgos estratégicos de la compañía.
Aplicabilidad de la política
La política de seguridad es obligatoria dentro de su ámbito de aplicación. Los empleados, colaborados, subcontratistas y proveedores de la empresa deberán conocer y cumplir con la política según el rol que tengan cuando traten con información de la empresa o de sus clientes.
Cuando se detecta un área de incumplimiento de la política de seguridad esa área se encuentra sujeta a realizar un análisis de riesgos. El análisis de riesgos considera el posible impacto de una brecha de seguridad como resultado del incumplimiento y la disponibilidad de controles que mitiguen o compensen el riesgo. La aprobación es llevada a cabo por la Information Security Office de la compañía estando las desviaciones sujetas a su aprobación.
La política de seguridad se basa en los siguientes principios, reglas y estándares:
- Capgemini Group Information Security Policies.
- Estándar ISO/IEC 27001:2013.
- Legislación relacionada con la privacidad de datos personales (LOPD, GDPR).
- Legislación relacionada con la seguridad de la información referida en la normativa de seguridad.
Ámbito de utilización de la política
La política de seguridad establece todos los requisitos mínimos para asegurar la continuidad de las operaciones. Una seguridad de la información eficaz es un esfuerzo que requiere de la participación de todos los empleados y los colaboradores de la empresa que trabajan con activos de información.
Software ISO 27001
Si quiere mantener de una manera muy sencilla, rápida y eficaz la seguridad en la nube y no perder datos sensibles o críticos de sus clientes o sistema, no dude en consultar las ventajas del software ISOTools, que gracias a la automatización y su estructura modular, le permite gestionar y solucionar rápidamente todas las incidencias que puedan tener lugar.