¿Cómo se elabora la política general de seguridad?

Una política de seguridad es un documento indispensable para las organizaciones que deseen cumplir con la norma ISO 27001, la cual ayuda a incrementar la reputación de una empresa, proyecta una imagen de seguridad y confianza, mejora las relaciones con grupos de interés y disminuye los riesgos tecnológicos.

Ya que este certificado está relacionado con la seguridad digital, es un documento en el que hay que invertir tiempo para garantizar que se aprovechen todos sus beneficios.

Es por eso que, así como se debe tener un plan de producción y compras, es necesario que una empresa responsable cuente con políticas de seguridad bien establecidas. ¡Aprende aquí cómo se hace!

¿Qué es una política general de seguridad?

La política general de seguridad es un documento que se emite desde la alta dirección de una empresa, en el cual se definen los parámetros de los directivos para proteger la información.

Su función principal es garantizar que los datos que se recolecten sean tratados de forma confidencial e íntegra y se mantengan disponibles. Además, establece el compromiso de mitigar los riesgos que pudieran afectar a la información.

Por lo anterior, en dicha política se detallan las medidas que la organización llevará a cabo para todos los activos de información, los cuales hacen referencia a todo lo que es valioso para la empresa, por ejemplo:

infraestructura de información;
red de comunicación;
instalaciones;
equipos auxiliares;
personas.

No es tan sencillo como elaborar el plan de compras, pero siguiendo algunos lineamientos, una empresa tendrá un documento sólido y útil.

¿Qué importancia tiene la política de seguridad?

La política de seguridad sirve para implementar un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo a los lineamientos establecidos por la norma ISO 27001.

Como ya comentamos, dicha certificación fortalece la reputación y confianza de la empresa.

De acuerdo a la norma, la política debe cumplir con los siguientes requisitos:

Enriquecerse con otras políticas y ser compatible con ellas.
Tener un propietario, es decir, una persona responsable de su mantenimiento.
Que todos los empleados puedan acceder a ella para conocerla de forma fácil.

Firmas electrónicas y seguridad de datos

Conoce las ventajas de las firmas electrónicas para la seguridad de datos.

¿Cómo elaborar una política general de seguridad?

Si bien la política de seguridad es requisito para conseguir la certificación ISO 27001, también es una forma de darle certeza a los asuntos relacionados con tu marca y el tratamiento de sus datos.

Es mucho más complejo que hacer por ejemplo un plan de compras, pues en la política se detallan los protocolos de seguridad en torno a la información. Por eso, te recomendamos seguir estos pasos:

1. Define el objetivo, alcance y vigencia

El primer paso es definir para qué se va a desarrollar dicha política, es decir, su objetivo. Veamos un ejemplo:

"Determinar los lineamientos y políticas que garanticen una correcta protección de los activos de información de la empresa, así como prevenir los riesgos que podrían afectar la confidencialidad, integridad y disponibilidad".

El alcance, por su parte, define los departamentos, procesos, activos y personal que alcanza la política.

Y en la vigencia se precisa la fecha a partir de la cual entra en vigor el documento.

2. Define a los responsables

La norma ISO 27001 establece que las políticas de seguridad debe determinar tanto los roles como a los responsables que garanticen su cumplimiento.

Por ejemplo, debería haber personas encargadas de:

seguridad a la información;
seguridad informática;
seguridad en Tecnologías de la Información (TI);
activos de información.

De la misma forma en que el plan de compras de una empresa establece roles, las políticas deberán también dejarlos asentados.

3. Especifica la autoridad de la emisión, revisión y publicación

La política general de información es un documento matriz, ya que de él se desprenderán otras políticas en la materia e interviene en todos los departamentos de la compañía en un tema tan sensible como el de asegurar la información.

Por ese motivo, cualquier auditor que la fiscalice deberá saber qué autoridad emitió, reviso y publicó dicho documento. Lo más común es que el responsable sea alguien de la alta gerencia.

También es recomendable enviar una minuta informando la emisión de esta política a todos los miembros de la junta directiva. Ellos deberán firmar de conformidad, ya sea mediante un software certificado o mediante puño y letra.

Dicha medida no solo es útil en una auditoría, también es una constancia de que todos están de acuerdo con el documento.

4. Define las medidas de seguridad

Es necesario determinar las medidas de seguridad que la empresa aplicará para proteger los datos. Por ejemplo, puedes agregar un apartado sobre gestión de incidentes.

Sin embargo, lo anterior se hace de forma general. Las actividades concretas de dicha gestión y el paso a paso deben quedar detallados en otro documento.

5. Comunica la política a los empleados

Tal como lo marca la norma, todos los empleados deben conocer la política. De hecho, es tu responsabilidad que lo hagan.

Puedes subirla a un sistema intranet, wiki o carpeta en tu nube de datos, por ejemplo, Dropbox, Google Drive, entre otros.

Un segundo paso a realizar, si todavía no lo has hecho, es invitar al personal vía mail a que la lean. Debes hacerlos conscientes de la importancia de sus datos y por qué es necesario que sepan cómo son tratados por la empresa.

Para asegurarte de que la leyeron, puedes hacer un pequeño examen. Además, cada empleado nuevo que contrates deberá ser invitado a leer la política.

6. Actualiza y revisa continuamente

La política general de seguridad no es un documento estático. Cada cambio que se produzca deberá ser asentado en ella. Por ejemplo, si migras tu sistema informático o si se realiza una fusión, entre otros panoramas.

Al manejar datos hay una responsabilidad implícita de su buen manejo. Una política de seguridad práctica, eficiente y actualizada no solo te ayudará a obtener una certificación ISO, sino que también te permitirá ser una empresa responsable y a la vanguardia.

¡Estás listo para realizar una política de seguridad! Si esta información te fue de utilidad, te invitamos a compartirla en tus redes profesionales para que más personas conozcan cómo elaborar una política de seguridad con éxito.

Obtén más información o accede a una prueba gratuita hoy.

Autor

Colaborador de DocuSign

Publicado en

7 Febrero 2023