Cómo hacer tu política de seguridad de la información

Una guía + una plantilla gratuita para completar la tuya cuanto antes

Índice

Desde aquí te dejamos el índice para que veas en qué artículo estás y cuáles son los siguientes de la saga ISO 27001.

Ya leíste 10 blogs diferentes en Google y sigues sin entender qué es una política de seguridad de la información. Tranquilo, a todos nos pasa cuando comenzamos a relacionarnos con la terminología.

Posiblemente ya sepas que la política de seguridad de la información es uno de los documentos obligatorios para cumplir con la normativa ISO 27001. Sin embargo, si es tu primera vez atravesando un proceso de cumplimiento de este tipo, puede ser sencillo confundirse en el océano de documentos que te pide la normativa.

La política de seguridad de la información no es como cualquier otra (como la Matriz de accesos donde solo defines los permisos de los empleados para acceder a la información): es casi un documento madre que establecerá la base para crear los demás (procedimientos, planes y otras políticas), por ello, debes asegurarte de elaborarlo adecuadamente.

Para tu buena suerte, ya te adelantamos la parte tediosa con esta plantilla gratuita que preparamos para ti.

¿Qué es la política de seguridad de la información?

La política de seguridad de información es el documento en el que una empresa define los lineamientos generales para proteger la información y minimizar los riesgos que pudieran afectarla. 

Es el documento madre del que se desprenden los demás (por ejemplo de aquí se desprenden la política de desarrollo seguro, procedimiento para la gestión de incidentes, plan de continuidad del negocio, plan de recuperación ante desastres, entre otros). Es por ello que es uno de los más importantes para cumplir con ISO 27001 y con normativas y regulaciones de seguridad, porque es donde declaras, a modo general, todas las medidas que pretendes tomar para resguardar tu información. 

Si es tu primera vez desarrollando esta política, lo que es muy probable, ten en cuenta que aquí no es necesario profundizar en el detalle de cada medida, ya que para eso existen los documentos que hablan de los detalles específicos y del paso a paso para cada medida.

¿Cómo hacer la política de seguridad de la información?

1. Definir el objetivo, alcance y vigencia

 Comenzando por el objetivo de esta política, un ejemplo puede ser:

En el alcance es recomendable incluir todas las áreas de la empresa, sean externas e internas (tal como detallamos en la plantilla). 

Por último, es muy importante precisar la fecha desde que esta política estará vigente en la empresa y aplicarán todas las medidas dispuestas.

2. Definir los responsables

Generalmente, hay tres responsables sobre este documento:

1. Responsable de la estrategia de seguridad: alguien de la alta gerencia (CEO, CTO, COO, etc.) o un CISO en caso de tener.
2. Responsable de la operatoria diaria: esto es para hacer que esta política se implemente. Pueden ser el CTO y otra persona que vele por la seguridad en ambientes no TI.
3. Oficial de Seguridad de la Información: si bien en ISO 27001 no es obligatorio asignar este rol, algunas regulaciones como, la Ley Fintech de México y la RAN 20-10 de Chile sí lo exigen. Este Oficial asesorará al responsable de la estrategia sobre cómo implementar la seguridad. Combina conocimiento normativo, de negocio y experiencia técnica para comprender las soluciones que se implementen a nivel seguridad.

3. Especificar la autoridad de emisión, revisión y publicación

Ya que esta política interviene en todas las áreas de la compañía y evidencia las intenciones por asegurar la información, cualquier auditor necesitará saber qué autoridad emitió, revisó y publicó este documento. Generalmente lo realiza alguien de la alta gerencia o quien se haya designado como el responsable de la estrategia de seguridad.

Recuerda que esta es una política madre de la que se desprenden las demás y por ello es imprescindible detallar este tipo de datos. 

También, debes enviar un acta o minuta en la que se comunique a cada miembro del directorio o alta gerencia la emisión de esta política y solicitar su conformidad mediante un e-mail o su firma de puño y letra. Esto te servirá como evidencia para la auditoría, pero también, como una constancia de que todos conocen y aprueban este documento.

4. Definir las medidas de seguridad

Una vez que terminas de especificar la autoridad de emisión, revisión y publicación, es momento de determinar las medidas de seguridad que tu empresa tomará y colocar sus lineamientos generales (o en lo que en la política se llama “Reglas de aplicación”). 

Veamos un ejemplo: suponiendo que una de las medidas que quieres tomar sea gestionar los incidentes, entonces deberás colocar un apartado de Gestión de Incidentes con su objetivo y sus lineamientos a nivel general.

Recuerda que las actividades propias de esta gestión y el paso a paso quedarán detalladas en un documento aparte.

En la plantilla descargable te dejamos 14 medidas de seguridad que debes considerar para cumplir con ISO 27001.

5. Comunicar la política a los empleados

De nada sirve tener una política excelentemente desarrollada si nadie la conoce. 

Debes disponerla en un lugar conocido por todos, sea una intranet, Wiki o carpeta de Dropbox, e invitar a todos a leerla mediante un e-mail. En este caso es recomendable (aunque no obligatorio) hacer una pequeña evaluación de lectura con 5 o 7 preguntas para confirmar que la política se entendió y todos están enterados de sus disposiciones. 

También, ante cada ingreso de empleados debes asegurarte de enviarla o incluirla en una política de confidencialidad que indique que “el empleado ha leído y está enterado de las disposiciones escritas en la política de seguridad de la información. Cualquier acto que se haga de mala fe o en contra de la política es meritorio de una sanción o de una desvinculación”.

6. Actualizar y revisar continuamente

La política de seguridad de la información debe actualizarse cada año o cuando sucedan cambios, dentro la empresa, que ameriten revisarla. 

Algunos cambios importantes que pueden llevar a revisarla pueden ser migraciones de infraestructura, fusión o compra de la empresa, el suceso de un incidente de seguridad muy grave, desarrollo de un nuevo servicio o producto, incorporación de una regulación (por ejemplo, una Fintech que tuvo políticas previas al cumplimiento de la Ley Fintech debe revisar y actualizar la política para ver si coincide o adhiere a la nueva regulación).

Por último, también debe actualizarse si ocurrieran cambios importantes en las secciones detalladas en esta política. 

Conclusión

La política de seguridad de la información es el documento donde se definen las medidas que tu empresa tomará para proteger la información. Debes saber que aquí se describen los lineamientos generales de cada medida y, en esta instancia, no es necesario profundizar en el detalle de cada medida, ya que para eso crearemos otros documentos específicos con el paso a paso para llevar a cabo cada medida.

Para la normativa ISO 27001, la política de seguridad de la información es uno de los documentos más importantes porque evidencia tus intenciones para asegurar la información. Y es de la que se desprenden los demás documentos.

Ahora ya sabes y tienes claro cómo crear este documento, cada cuánto actualizarlo y cómo comunicarlo al resto de colaboradores para generar cultura y conciencia de riesgos y seguridad de la información. 

Recuerda que en el apartado de contacto puedes escribirnos para contarnos tu caso y tener una asesoría todavía más completa del tema.