| 25 años generando CONFIANZA
Políticas del SGSI
Las políticas de seguridad de la información son reglas que tenemos que cumplir todo el personal relacionado con una empresa. Así se garantiza la rectitud, la privacidad y la disponibilidad de las infraestructuras informáticas y de los datos que contienen. En este artículo se explica qué son las políticas de seguridad informática y sus aplicaciones prácticas en la empresa en distintos ámbitos.
Una política de seguridad de la información es un documento que instituye los designios y objetivos de una empresa en relación con este componente. Un ejemplo claro es que una política puede precisar las necesidades de establecer contraseñas seguras que cumplan con explícitos requisitos para toda clase de dispositivos, y especialmente para los móviles que se utilizan externamente de las instalaciones. A diferencia de los procesos y procedimientos, las políticas no contienen instrucciones específicas y puntuales sobre cómo llevar a cabo estas actividades.
Las políticas son un conjunto de normas importantes decretadas por una organización con el objetivo de garantizar que todos los empleados, usuarios o partes interesadas las acojan y delineen procesos y procedimientos que alcancen estos principios de modo ordenado.
La ISO 27001 no cuenta las dificultades específicas que deben abordarse en la política comprendiendo que cada organización tiene sus propias metas y exigencias. Pero sí debe proporcionar un marco cerca del que se debe trabajar.
¿Cómo debería ser una Política SGSI?
Una política de seguridad de la información apropiada debería:
- Suministrar una directriz clara sobre el tratamiento de la seguridad de la información en la organización.
- Enseñar los objetivos del sistema.
- Agregar información sobre cómo se efectuará junto con los objetivos comerciales y con los requisitos establecidos, legales.
- Adjudicarse a los compromisos de optimar de forma continua el SGSI.
- Determinar el alcance del sistema.
- Establecer los responsables de las operaciones, las coordinaciones en el día laboral de la realización general, las evaluación de riesgos y de las prácticas de auditorías, intervenciones e indagación de incidentes.
- Establecer componentes y ordenamientos para la cálculo de los objetivos de seguridad y el orden con la que se informará acerca de los indicadores, el rendimiento y los resultados.
Obteniendo las bases lo que debe tener en la política, el paso a seguir es considerar algunas buenas prácticas para la composición y aviso de esta, que es en definitiva, el eje céntrico de la gestión de seguridad de la información. Entre estas efigie emplear un lenguaje y una forma de que resulte lo más eficaz posible a la hora de hacer llegar el adjunto de este documento a empleados y a las partes interesadas, los documentos deben tener estos requisitos:
- Lenguaje comprensible.
- Formato fácilmente accesible.
Otro detalle para tener en cuenta la extensión del documento dependerá de las necesidades de la organización. Algunos riesgos no tendrán obligatoriedad para algunas organizaciones. Por otro lado, otros no son tan frecuentes, que son de reconocimiento universal. La mayoría de las compañías deberán abordar asuntos como el acceso remoto, la gestión de contraseñas y el uso aceptable de los recursos.
¿Qué tener en cuenta para crear las políticas SGSI?
Algunos otros detalles que la dirección debe tener en cuenta en el momento de crear el documento y son los siguientes:
- Afirmar de que los objetivos propuestos y los riesgos estimados sean de efectiva relevancia para la compañía.
- No dejar de lado los objetivos de seguridad de la información sobre los que comenta la cláusula 6.2, que básicamente hacen referencia a la protección de la confidencialidad, protección de la integridad de la información y a la disponibilidad de los activos de la información identificadas en la cláusula 4.1.
- Asegurar que los objetivos sean notables, asequibles, demostrables y medibles para poder ejecutar las diferentes evaluaciones.
Para enfatizar, las políticas de seguridad informática son una herramienta esencial para las organizaciones de cualquier tipo ya sea grande, pequeña o mediana, al momento de concientizar a su personal sobre los riesgos de seguridad y suministrar modelos de acción concretos. Para que estas sean seguras estas deberán:
- Escribir en documentaciones que estarán puestos a disposición de todo el empleado
- Flexibilidad y revisión de forma periódica, para que se acomoden a los diferentes cambios tecnológicos o de los objetivos de la organización.
- Proteger totalmente la orientación de la organización, traería como consecuencia su adaptabilidad puede verse comprometida.
Software para Sistema de Gestión de Seguridad de la Información ISOTools
La ISO 27001 para los Sistemas de Gestión de Seguridad de la Información es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica ISOTools.
Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.
Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...