¿Cómo elaborar la política SGSI?
Política SGSI
Es muy importante contar con una política SGSI para que se realice un correcto desarrollo de todos los procesos de negocio. Los sistemas de información deberán encontrase perfectamente protegidos.
Establecer una protección fiable permitirá que la empresa pueda percibir mucho mejor sus intereses y realizar de forma eficiente las obligaciones en cuanto a la seguridad de la información. Por el contrario, realizar una inadecuada protección puede afectar al rendimiento general de la organización, afectando de forma negativa sobre la imagen, la reputación y la confianza de los clientes, así como de los inversores que depositan su confianza para el crecimiento estratégico de la actividad que se realice en la organización a nivel internacional.
El objetivo que persigue la seguridad de la información es el de asegurar la continuidad del negocio en la empresa y minimizar el riesgo mediante la prevención.
Para conseguir este objetivo, la empresa ha llevado a cabo una metodología de gestión del riesgo en el que se permite realizar un análisis de forma regular en cuanto al grado de exposición de nuestros activos más importantes frente a las amenazas que puedan aprovechar algunas vulnerabilidades e introduzcan impactos adversos a las actividades de nuestro personal o a los procesos importantes de nuestra empresa.
El éxito durante el uso de esta metodología parte de experiencia y la aportación de todos los trabajadores en materia de seguridad, y mediante la comunicación de cualquier consideración que sea relevante a sus responsables de forma directa durante la realización de las reuniones que se realicen de forma semestral y que estén establecidas por la dirección. El objetivo que persigue es localizar posibles cambios en los niveles de protección y evaluar las opciones más eficientes en cuanto al coste/beneficio de gestión del riesgo en cada momento, y según sea el caso.
Los principios que se presentan en la política SGSI se deben desarrollar por el grupo de gestión de la información de seguridad con el fin de garantizar que las decisiones que se tomen en el futuro se encuentren basadas en la preservación de la confidencialidad, integridad y disponibilidad de la información importante para la organización. La empresa deberá contar con la colaboración de sus trabajadores durante para que se apliquen las políticas y directivas de seguridad que se han propuesto.
La utilizando de forma diaria de ordenadores por el personal establece el cumplimiento de las exigencias de estos principios y es un proceso de inspección con el que se puede confirmar que se respetan y se cumplen por parte de la empresa. Además, adicionalmente a la política SGSI, se disponen políticas específicas para las distintas actividades.
Todas las políticas SGSI que se encuentren vigentes se deben estas disponibles en la intranet de la empresa y se deberá actualizar cada cierto tiempo. El acceso debe ser directo desde todas las estaciones de trabajo que se encuentren conectadas a la red de la organización y mediante un clic desde la página web en el apartado de seguridad de la información. El objetivo de la política es proteger al activo de información de la empresa contra todas las amenazas que se pueda encontrar.
La dirección de la organización es la encargada de aprobar la política SGSI. Se debe asegurar de:
- La información estará protegida contra cualquier acceso no autorizado.
- La confidencialidad de la información, especialmente aquella relacionada con los datos de carácter personal de los empleados y clientes.
- La integridad de la información se mantendrá en relación a la clasificación de la información.
- La disponibilidad de la información cumple con los tiempos relevantes para el desarrollo de los procesos críticos de negocio.
- Se cumplen con los requisitos de las legislaciones y reglamentaciones vigentes, especialmente con la Ley de Protección de Datos y de Firma Electrónica.
- Los planes de continuidad de negocio serán mantenidos, probados y actualizados al menos con carácter anual.
- La capacitación en materia de seguridad se cumple y se actualiza suficientemente para todos los empleados.
- Todos los eventos que tengan relación con la seguridad de la información, reales como supuestos, se comunicarán al responsable de seguridad y serán investigados.
Además de todo esto, se debe disponer de procedimientos de apoyo en lo que se incluyan de forma específica como se deben llevar a cabo las directrices generales que se indican en las políticas.
El cumplimiento de la política SGSI es obligatorio y atañe a todo el personal de la empresa.
Las visitas y personal externo que accedan a las instalaciones no se encuentran exentos de cumplir con las obligaciones que se indican en los documentos del SGSI.
Software ISO 27001
Si quiere mantener de una manera muy sencilla, rápida y eficaz la seguridad en la nube y no perder datos sensibles o críticos de sus clientes o sistema, no dude en consultar las ventajas del software ISOTools, que gracias a la automatización y su estructura modular, le permite gestionar y solucionar rápidamente todas las incidencias que puedan tener lugar.