¿Cómo definir políticas y alcance de un Sistema de Gestión de la Seguridad de la Información?
Sistema de Gestión de la Seguridad de la Información
La implementación de un Sistema de Gestión de Seguridad de la Información comienza un diseño correcto. Por esto debemos definir cuatro aspectos fundamentales. Lo primero, será el alcance del sistema. Segundo, la política de seguridad. Tercero, la organización de la seguridad. Y cuatro, los programas de concienciación y formación del personal.
En primer lugar, se defina el alcance del sistema. Esto debe establecer las partes o los procesos de la empresa que se van a incluir dentro de los mismos. En este momento, la organización tiene que establecer cuáles son los procesos críticos para su empresa decidiendo qué es lo que quiere proteger y por dónde tiene que empezar.
Dentro del alcance tiene que quedar definidas las actividades de la empresa, las ubicaciones físicas que van a verse involucradas, la tecnología de la empresa y las áreas que quedarán excluidas en la implementación del sistema.
Es muy importante que, durante esta fase, se estimen los recursos económicos y de personas que se van a dedicar a implementar y mantener el sistema. De nada sirve que la empresa realice un esfuerzo importante durante la implementación si después no es capaz de mantenerlo.
Después de definir el alcance, el siguiente paso es establecer las políticas de seguridad. Su principal objetivo es recoger las directrices que tienen que seguir la seguridad de la información según las necesidades de la empresa y la legislación vigente. Además, tiene que establecer las pautas de actuación en el caso de los incidentes y definir todas las responsabilidades.
El documento tiene que delimitar qué se tiene que proteger, de quién y por qué. Tiene que explicar lo que se encuentra permitido y qué no, establecer los límites del comportamiento aceptable y cuál es la respuesta si estos se sobrepasan, e identificar los riegos a los que se encuentra sometida la empresa.
Para que la política de seguridad sea un documento de utilidad de la empresa y cumpla con lo establecido en la norma ISO 27001 tiene que cumplir con los siguientes requisitos.
- Redactarla de una manera accesible para todo el personal de la organización. Debe ser corta, precisa y de fácil comprensión.
- Estar aprobada por la dirección y publicitada por la misma.
- Ser de dominio público dentro de la organización, por lo que debe estar disponible para su consulta siempre que sea necesario.
- Referencia para la resolución de conflictos y otras cuestiones relativas a la seguridad de la organización.
- Definir responsabilidades teniendo en cuenta que éstas van asociadas a la autoridad dentro de la compañía.
- Indicar que lo que se protege en la organización incluye tanto al personal como a la información, así como su reputación y continuidad.
- Debe ser personalizada totalmente para cada organización.
- Por último, debe señalar las normas y reglas que va a adoptar la organización y las medidas de seguridad que serán necesarias.
En lo que se refiere al contenido, la política de seguridad tiene que incluir, al menos, los siguientes cincos apartados.
- Definir la seguridad de la información y sus objetivos generales.
- Declaración por parte de la dirección apoyando los objetivos y principios de la seguridad de la información.
- Breve explicación de las políticas.
- Definir las responsabilidades generales y específicas, en las que se incluyen los roles, pero nunca a personas concretas de la empresa.
- Referencias a documentación que pueden sustentar la política.
La política de seguridad tiene que ser un documento que se encuentre actualizado, por lo que tiene que ser revisado y modificado de forma anual. Además, existen otros tres casos en los que es imprescindible su revisión y actualización:
- Después de grandes incidentes de seguridad
- Después de una auditoría de sistema sin éxito
- Frente a cambios que afectan a la estructura de la empresa
La organización de la seguridad es el aspecto que se debe desarrollar durante el diseño del sistema de gestión de seguridad de la información. Se lleva a cabo la revisión de los aspectos organizativos de la entidad y la asignación de nuevas responsabilidades.
El comité de dirección que debe estar formado por los directivos de la organización y que tendrá las máximas responsabilidades y aprobará las decisiones de alto nivel relativas al sistema.
Y, por último, el comité de gestión, controlará y gestionará las acciones de la implementación del sistema colaborando de forma estrecha con el responsable de seguridad de la entidad. El comité tendrá potestad para asumir las decisiones de seguridad y se encuentra formado por personal de los diferentes departamentos involucrados de la implementación del sistema.
Formación para el tratamiento de los riesgos
La Escuela Europea de Excelencia ha diseñado un Diplomado de Seguridad y Salud en el Trabajo ISO 45001 para que los profesionales puedan hacer frente a los retos que se plantean frente a riesgos en la norma ISO 45001. Este diplomado ofrece un programa completo para que el alumno pueda dar respuesta a todas las necesidades del proyecto ISO 45001 que esté liderando.
El Diplomado de Seguridad y Salud en el Trabajo ISO 45001, como el resto de cursos de la Escuela Europea de Excelencia, está diseñado por y para profesionales. Ha sido desarrollado por expertos en activo de los Sistemas de Seguridad y Salud en el Trabajo a nivel internacional. Además de la enriquecedora interacción con estos docentes, esta formación le pondrá en contacto con profesionales de otras nacionalidades, lo que se traducirá en una experiencia enriquecedora para todos los alumnos.