ISO 27001: Cómo hacer tu política del SGSI

ISO 27001: Cómo hacer tu política del SGSI

Una guía paso a paso + una plantilla gratuita para facilitarte la vida

Crear la política del SGSI es una tarea (casi) inevitable si quieres cumplir con ISO 27001, y aunque parezca compleja, realmente lo complicado es recordar qué significan las siglas.

La política del SGSI define “las reglas de juego” en tu programa de seguridad, en otras palabras, es donde tu empresa establece los objetivos del SGSI, los recursos a destinar, las áreas impactadas, la forma de medir y mejorar el SGSI, el contexto en el que se aplicará, entre otras cosas.

La política del SGSI es esencialmente un documento para formalizar estas reglas o lineamientos que, además, te serán útiles para alinear las expectativas de todos antes de comenzar con el gran proyecto.

Para saber cómo crear y completar el documento de tu SGSI hoy mismo, es importante partir desde el comienzo. No olvides descargar la plantilla gratuita que creamos para facilitarte la vida todavía más y lo puedas ir completando conforme avances en este artículo.

¿Qué es un SGSI?

Antes de avanzar en profundidad recordemos qué es un SGSI. Un SGSI (o Sistema de Gestión de Seguridad de la Información) es un sistema de seguridad que protege tu información. Redundante, ¿no? 

La norma ISO 27001 propone adoptar este sistema para que las empresas puedan gestionar cualquier riesgo que pudiera afectar su información crítica. 

Esto es porque el SGSI funciona como una estrategia o programa de seguridad que contempla medidas de seguridad para proteger nuestra información digital, física y conversacional.

Hackmetrix Insight: La mayoría de las empresas desconocen que sus datos críticos pueden ser tecnológicos, de recursos humanos, comerciales o financieros, por mencionar algunos. Y este sistema les permite crear procesos para mantener toda esa información a salvo.

Crear un SGSI implica implementar políticas, procedimientos y acciones (controles). Para entenderlo mejor, puedes pensarlo como un equipo deportivo: con reglas de juego (políticas), planificación de tácticas a seguir (procedimientos), y jugadas en el campo (acciones que ponen en marcha los procedimientos).

¿Qué es la política del SGSI?

La política de SGSI es un documento que concentra las bases sobre las que se establecerá el SGSI. Es el punto de partida del proyecto que alinea las expectativas de todos en la empresa y declara formalmente que se implementará un programa de seguridad. 

Por ejemplo, algunos de los temas que aquí se tratan son:

  • Formalizar los objetivos del SGSI (qué quiere conseguir nuestra empresa al implementar el SGSI).
  • Comprender el contexto de la empresa (cuál es el contexto interno y externo de la empresa para saber si algo podría intervenir en el logro de nuestros objetivos). 
  • Definir el alcance (qué áreas, procesos y servicios serán impactados)
  • Definir los recursos (cuáles serán las tecnologías, personas, dinero, procesos que vamos a destinar para cumplir los objetivos del SGSI).
  • Definir métodos de mejora y medición (cómo mantendremos este sistema y cuáles serán las evaluaciones o métricas que usaremos para medir su desempeño).

Hackmetrix Insight: Si bien la norma no pide expresamente crear esta política de forma obligatoria, sí solicita que la misión y las bases del SGSI estén documentadas, por lo tanto, si tu objetivo es certificarte puedes dar por hecho que te pedirán este documento.

Diferencia con la política de seguridad de la información

A primera vista puede parecer que estos documentos tienen nombres confusos o muy parecidos (tranquilo, a todos nos ha pasado). 

Sin embargo, es importante entender la diferencia entre la política del SGSI y la política de seguridad de la información

política del SGSI vs politica de seguridad de la información
  • En la política del SGSI tu empresa dice “voy a crear un programa de seguridad” y define los objetivos, recursos necesarios y contexto sobre el que se creará.
  • En la política de seguridad de la información dices “estas son las medidas de seguridad y procesos que me ayudarán a cumplir con los objetivos planteados en la política de SGSI”. 

Pasos para crear tu política del SGSI

Paso 1: Define los objetivos, alcance y vigencia de la política

objetivo de la política del SGSI

Comienza dejando claro cuál es el objetivo de este documento. Pero cuidado, en este punto, todavía no estamos definiendo los objetivos que tendrá el SGSI o programa de seguridad (lo cual veremos en el paso 4). Aquí simplemente definimos el objetivo de este documento en específico. Te recomendamos tomar de referencia el ejemplo de nuestra plantilla.

alcance y vigencia de la política del SGSI

En el alcance es recomendable incluir los procesos y áreas de la empresa, sean externas e internas, que manejan o procesan datos críticos de la empresa. 

Por último, es muy importante precisar la fecha desde que esta política estará vigente en la empresa y aplicarán todas las medidas dispuestas.

Paso 2: Define a los responsables

responsabilidades en una política del SGSI

Ahora debes definir quiénes estarán a cargo de este programa de seguridad. Estos tendrán tareas relacionadas a, por ejemplo, comunicar adecuadamente esta política, aprobar los recursos para ejecutarla, capacitar a los empleados para que conozcan sus lineamientos, etc.

En la plantilla hemos distribuido las responsabilidades en tres roles principales, pero esto puede variar dependiendo de la elección de tu empresa, por ejemplo, puedes optar por definir como responsable a tu comité de seguridad de la información o Alta Gerencia en caso de que no cuentes con comité. 

Hackmetrix Insight: recuerda que siempre es recomendable asignar responsabilidades por roles o puestos laborales, y no por personas físicas específicas.

Paso 3: Especifica quién es la autoridad de emisión, revisión y publicación

La política de SGSI tendrá impacto en todas las áreas de tu empresa. Por este motivo, cualquier auditor necesitará saber qué autoridad emitió, revisó y publicó este documento.

La autoridad encargada suele ser (aquí también) la alta gerencia o el comité de seguridad de la información justamente porque se trata de una iniciativa con gran impacto.

Paso 4: Define las bases o reglas del SGSI

En la plantilla encontrarás esta parte como las “Reglas de aplicación”.

Como te comentamos previamente, para implementar el SGSI o programa de seguridad es necesario definir y comprender el contexto de nuestra empresa, los recursos que utilizaremos para lograr los objetivos, los responsables, la planificación, etc. 

Este cuarto paso será bastante largo ya que consta de 7 apartados y hemos notado que en esta parte es dónde más se atoran las empresas, por lo tanto, toma nota porque aquí viene la información valiosa. 

1. Comprender la organización y su contexto

Antes de pasar al contexto de nuestra empresa, es necesario definir los objetivos estratégicos del SGSI. Para ello debes preguntarte: ¿Por qué estoy haciendo seguridad de la información? ¿Por qué decido implementar un SGSI?

Los objetivos pueden ir desde “asegurar la confidencialidad, disponibilidad e integridad de la información de mi empresa”, “crear soluciones seguras” hasta “aumentar la confiabilidad con mis clientes”, entre otros. Recuerda que deben estar alineados con los de tu negocio y al mismo tiempo con los de la política de seguridad de la información

Ahora sí, la ISO 27001 nos pide analizar el contexto interno y externo de nuestra empresa. Esto nos servirá para identificar variables o cosas que puedan afectar o beneficiar a nuestro SGSI.

Desde nuestra experiencia, creemos que la forma más fácil de abordar estos análisis es usando métodos conocidos por todos, por ejemplo, con el PESTL y el FODA. Aun así, debes saber que puedes escoger el método que te sea más cómodo, la normativa solo pide que puedas analizar el contexto, no interesa tanto el “cómo” lo logres.

  • Análisis externo

Es identificar todo lo que sucede afuera de la empresa que pudiera afectar nuestro SGSI. Aquí se considera todo lo que no podemos controlar: factores políticos, sociales y culturales, legales, económicos, etc. En el siguiente gráfico dejamos algunos ejemplos:

Ejemplo análisis externo con PESTL

Veamos el ejemplo de la variable “Legal”. Cuando un gobierno crea nuevas leyes (como la Ley Fintech de México) eso afecta al SGSI. Recordemos que las leyes están por encima de las normativas, por lo tanto, cualquier nueva medida que exija la ley debemos adoptarla sí o sí y trasladarla a nuestro SGSI. 

Otro ejemplo podría ser la variable “Económica”, en el caso de la financiación: por ejemplo, puede suceder que, dependiendo de la ubicación de tu empresa, esta se vuelva más o menos atractiva para los inversores. Esto no solo podría afectar las oportunidades de conseguir financiación sino también las de tener dinero para los  recursos que necesita el SGSI.

Como notarás, ambos ejemplos se tratan de situaciones que no podemos controlar. Y la idea de este análisis es conocer cuáles son estas variables que podrían influir en el funcionamiento de nuestro programa de seguridad.

  • Análisis interno

Se trata de identificar cualquier cosa de nuestra empresa que pueda influir en la forma en que administramos nuestros riesgos. Aquí entran las variables que sí podemos controlar.

Ejemplo análisis interno con FODA

En el cuadro de arriba dejamos algunos ejemplos del FODA. 

Hackmetrix Insight: más tarde notarás que todo lo que coloques en Debilidades y Amenazas serán parte de tus riesgos, mientras que las Oportunidades y Fortalezas te ayudarán a crear las soluciones para mitigar esos riesgos.

2. Análisis de partes interesadas en el SGSI

Las partes interesadas pueden ser grupos de personas o entidades que podrían requerir algo de nuestro SGSI o programa de seguridad

Por ejemplo, los clientes o reguladores podrían requerir nuevas medidas de seguridad y eso conlleva modificar el SGSI, pero por otra parte, también nuestro SGSI podría requerir a otros (como a los proveedores) que se adapten a nuestras medidas. 

En resumen, en este apartado se definen quiénes podrían intervenir en las medidas del programa de seguridad  SGSI o quiénes podrían necesitar adaptarse a él.

Partes interesadas que intervienen en nuestro SGSI

En la plantilla dejamos una tabla con las posibles partes interesadas. Insistimos en que tu vida sería más fácil si la usas.

Una vez que tengas claro esto, puedes comenzar a definir los requisitos que podrían exigir estas partes a tu SGSI, tal como lo mostramos a continuación.

Por último, aquí debes incluir el alcance que tendrá el SGSI: se detallan los procesos y áreas de la empresa, sean externas e internas, que manejan o procesan datos críticos de la empresa.

3. Liderazgo y responsabilidades 

En este apartado tu empresa debe declarar quiénes serán los responsables y líderes de este programa de seguridad o SGSI. 

Por lo general, este rol lo toma la Alta Gerencia o el comité de seguridad de la información, en caso de que exista. Ellos serán los encargados de facilitar los recursos para que funcione la estrategia, orientar en la toma de decisiones y comunicar el estado del programa al CEO, entre otras. 

Si ya tuvieras tu política de seguridad de la información y/o el documento de descriptivo de roles puedes enlazarlos con los apartados 7.3.2 y 7.3.3 en la plantilla. De esta manera, declaras que la información detallada se encuentra en otros documentos.

4. Planificación

Este apartado debemos realizar la planificación de dos temas diferentes:

  • Planificación de la gestión de riesgos (7.4.1): tiene que ver con la metodología que usaremos para identificar, evaluar y mitigar tus riesgos.
  • Planificación de los presupuestos (7.4.2): es el plan estratégico de presupuestos que asegurará los recursos para cumplir con nuestros objetivos.

Debes saber que la normativa ISO 27001 no pide expresamente entregar dos planes documentados, sin embargo, desde nuestra experiencia sabemos que es más sencillo crearlos desde ya para seguir una guía y alinear las expectativas de todos. Esto es útil sobre todo cuando no tenemos un área dedicada al riesgo que pudiera encargarse de este tipo de asuntos. 

Podemos decir, entonces, que en este punto tenemos dos entregables

  • Metodología de gestión de riesgos
  • Plan y presupuesto para recursos 

5. Apoyo y soporte al SGSI

En este apartado simplemente declaramos que dispondremos de personas, recursos, tecnologías y procesos para sostener y dar apoyo al programa de seguridad. 

En esta plantilla incluimos diferentes sub apartados como el de Recursos, Competencia, Concientización al personal, Comunicación (por ejemplo, que se hará un plan de comunicación para que todos estén enterados de que existe el SGSI), etc. 

6. Operación

Aquí registramos los resultados de los riesgos identificados en el apartado de Planificación. 

Recuerda que uno de los entregables en Planificación era crear la metodología de gestión de riesgos (Apartado 7.4.1 de la plantilla). 

En este apartado de Operaciones podemos enlazar a un documento específico donde hayamos definido un procedimiento de gestión de riesgos.

7. Evaluación de desempeño

Aquí debemos definir los métodos para medir el desempeño del programa de seguridad. Esto implica conocer las métricas a utilizar y definir uno o varios procesos para revisar estas métricas. Esto podrá ser, por ejemplo, a través de auditorías internas y de la revisión de resultados e informes, etc.

8. Mejora

En el apartado anterior declaramos cómo velaremos por un buen desempeño del programa de seguridad, por lo tanto aquí debemos decir cómo corregiremos los resultados en caso de que existan oportunidades de mejora y cómo nos encargaremos de hacerlo continuamente.

Paso 5: Actualiza continuamente este documento 

Por último, es recomendable actualizar esta documento anualmente o cuando sucedan cambios dentro la empresa que ameriten revisarla (por ejemplo, migraciones de infraestructura, fusión o compra de la empresa (aquí una veladora para tu exit 🕯), cambios en la política de seguridad de la información, el suceso de un incidente de seguridad muy grave, desarrollo de un nuevo servicio o producto, etc.). Por eso, ¡no olvides agendar esta revisión!

Conclusión

El SGSI es un sistema integral de procesos y documentos que permite proteger la información de tu empresa.

La normativa ISO 27001 propone crear una política específica para formalizar los objetivos del SGSI y sentar las bases sobre las que se implantará, esa es la función de la política del SGSI.

Es decir, en este documento tu empresa declara “voy a crear un programa de seguridad o SGSI” y allí define los objetivos, recursos necesarios y contexto sobre el que se creará.

En este artículo vimos los cinco pasos que debes seguir para poder completar tu política del SGSI. Si sigues estos pasos y descargas tu plantilla, podrás cumplir con lo que exige la ISO 27001 y superar los requerimientos de ciberseguridad que se te pongan enfrente.

¿Qué otros documentos necesitas entender y crear? Contáctanos para obtener más plantillas de políticas de seguridad y robustece tu programa. 

Backed by

Hackmetrix startup chile