Cualquier empresa que quiera proteger de manera adecuada no solo su información, sino toda su infraestructura informática, necesita elaborar una política de seguridad de la información, que, además, es un requisito imprescindible para la implantación de un Sistema De gestión de Seguridad de la Información (SGSI) de acuerdo a la norma ISO 27001. En este artículo explicamos qué es y cómo hacer una política de seguridad de la información.
En este artículo hablamos de:
- ¿Qué es la política de seguridad de la información?
- ¿Qué objetivo tiene una política de seguridad de la información?
- ¿Cómo hacer una política de seguridad de la información?
- Ejemplos de política de seguridad de la información
- Política de seguridad de la información y políticas de seguridad de la información ¿son lo mismo?
¿Qué es la política de seguridad de la información?
La política de seguridad de la información es un documento aprobado por la alta dirección de la empresa, en la que se recoge el compromiso de esta con garantizar la seguridad de la información y se establecen las medidas y controles que adoptará la empresa para asegurar la confidencialidad, integridad y disponibilidad de la información, así como para prevenir y mitigar los riesgos a los que los activos de información de la empresa están expuestos.
Por lo tanto, hablamos de un documento que debe ser conocido y cumplido por todos los miembros de la organización y en el que se recoge la estrategia adoptada por la empresa para prevenir filtraciones, pérdidas, modificación o destrucción de la información de la empresa, así como las consecuencias de su incumplimiento. Asimismo, la política de seguridad de la información también establece los roles y responsabilidades de los miembros de la organización.
Por información o activos de información de la empresa se entienden desde la infraestructura informática, equipos y dispositivos de la empresa, pasando por su sistema de información interna, la propiedad intelectual e industrial, la información confidencial propia y de terceros o el know-how, hasta los diferentes tipos de datos personales que almacena y trata la empresa.
Cabe señalar, cómo decíamos en la introducción, que la política seguridad de la información es uno de los requisitos imprescindibles para implantar un SGSI de acuerdo a la ISO 27001, por lo que si una empresa busca certificarse en esta norma, debe, obligatoriamente, elaborar su política de seguridad de la información.
¿Qué objetivo tiene una política de seguridad de la información?
El principal objetivo de la, también llamada, política de seguridad de la información y ciberseguridad, es garantizar la confidencialidad, integridad y disponibilidad de la información, estableciendo las medidas y controles necesarios para ello.
Estas medidas y controles se determinarán tras el correspondiente proceso de análisis y evaluación de riesgos y de identificar y determinar cuáles son los activos de información más relevantes y críticos para la empresa, tanto desde un punto de vista funcional, es decir, que son necesarios para la continuidad del negocio, como desde un punto de vista legal, puesto que existen leyes y normas que obligan a las empresas a proteger determinada información (por ejemplo, la ley de protección de datos).
Aparte de indicar cómo proteger la información de tu empresa, la política de seguridad de la información también tiene como objetivo mostrar el compromiso de la alta dirección con la seguridad de la información y que los diferentes miembros de la organización conozcan las medidas y controles de seguridad implementados que deben cumplir.
¿Cómo hacer una política de seguridad de la información?
Una vez se han identificado los activos de información relevantes para la empresa, hecho los análisis y evaluaciones de riesgos pertinentes y seleccionadas las medidas y controles que se van a implantar en la empresa para prevenir y mitigar los riesgos detectados, se procederá a redactar la política de seguridad de la información, siguiendo estos pasos:
- Introducción: En esta sección se debe establecer la definición de lo que es la política de seguridad de la empresa e incluye:
- Objetivo: Se especifica cuál es el objetivo de la política de seguridad de la información, que debe siempre estar alineado con los objetivos estratégicos de la empresa.
- Alcance: Se especifican las áreas, procesos, actividades, activos y personas a las que se les aplica la política de seguridad de la información y, en el caso de las personas, que están obligadas a cumplirla.
- Principios de la política: Se establecen los principios generales de seguridad de la información para la empresa, como pueden ser, por ejemplo, la seguridad integral, la seguridad por defecto o la gestión de riesgos, entre otros.
- Compromiso de la Dirección: Recoge los objetivos en materia de seguridad de la información a los que se compromete la alta dirección.
- Establecer los roles y responsabilidades: Se trata de asignar los diferentes roles y responsabilidades que tendrán los diferentes miembros de la empresa para garantizar que se cumple la política y las medidas y controles establecidos en el SGSI. Se pueden establecer tantos roles como la empresa estime necesario en función de sus activos de información e infraestructura informática, número de empleados, riesgos detectados y actividad. Cada responsable tendrá asignadas una serie de responsabilidades y funciones.
- Especificar las normas y/o políticas de seguridad de la información a aplicar y cumplir: En este apartado se deben especificar y describir todas las normas y/o políticas de seguridad de la información implantadas en la empresa a través del SGSI y que todos los miembros deben observar y cumplir, en función del puesto que desempeñan y su nivel de acceso a la información. Cómo en el punto anterior, las empresas tienen libertad para elegir qué normas y políticas implantar en base a los riesgos detectados y el nivel de confidencialidad e importancia de los activos de información. Algunos ejemplos son:
- Protocolo de dispositivos BYOD.
- Normas para la gestión y clasificación de activos de información.
- Normas para la gestión y control de accesos.
- Normas para la gestión de riesgos.
- Protocolo para la gestión de incidentes de seguridad.
- Normas para la gestión del ciclo de vida de la información.
- Protocolo de copias de seguridad.
- Normas sobre gestión de la privacidad de la información.
- Normas para la prevención de fuga de información.
- Normas para el teletrabajo.
- Realización de auditorías y mejora continua del SGSI.
- Definición de excepciones: También se incluirá en la política de seguridad de la información los supuestos en los que una medida, control o norma no es aplicable. Y qué hacer en estos casos.
- Sanciones: Se incluirá un sistema de sanciones por incumplimiento de la política de seguridad de la información. Las sanciones deberán estar dentro de los límites que marca la ley.
- Glosario y anexos: Se recomienda incorporar un glosario de términos técnicos, para que cualquier miembro de la empresa pueda entender el documento. Asimismo, también se incluirán los anexos que puedan resultar necesarios.
Una vez elaborado el documento de la política de seguridad de la información, este será aprobado por la dirección y comunicado a todos los miembros de la empresa.
Cada vez que se revise y actualice el SGSI, también deberá revisarse y actualizar la política de seguridad de la información.
Ejemplos de política de seguridad de la información
Para ilustrar este artículo, os dejamos como ejemplo de política de seguridad de la información las políticas de cuatro empresas:
- Política de FECYT Innovacion.
- Política de ACS.
- Política de Redes System.
- Política de Telefónica.
En cada política de seguridad de la información de ejemplo podéis ver que estas han sido sometidas a revisiones y actualizaciones y que esta información se incluye también en el documento
Política de seguridad de la información y políticas de seguridad de la información ¿son lo mismo?
Ya hemos mencionado en el texto más arriba las políticas de seguridad de la información, y aunque comparten nombre, en realidad no son lo mismo que la política de seguridad de la información, no, al menos, en el ámbito organizacional de la empresa.
Las políticas de seguridad de la información forman parte de la política de seguridad de la información, puesto que son, por así decirlo, las medidas y normas que adopta e implanta la empresa para garantizar la confidencialidad, integridad y disponibilidad de la información. Es decir, que en el documento que es la política de seguridad de la información se recogen, precisamente, las políticas de seguridad de la información adoptadas por la empresa.