Las políticas de seguridad pueden parecer un gran aburrimiento. Un montón de documentos formales para archivar y que nadie usará, excepto tal vez tu auditor de seguridad de la información o alguien de recursos humanos una vez al año. Existen solo para marcar una casilla en una lista interminable de tareas de cumplimiento y requisitos de seguridad.

Pero eso no podría estar más lejos de la verdad.

Las políticas son cómo explicas exactamente lo que haces para mantener los datos seguros, a tus empleados, proveedores, socios, clientes y auditores. Son una parte crítica de tu programa de seguridad y la columna vertebral de tu sistema de gestión de seguridad de la información (SGSI).

Las buenas políticas proporcionan claridad y consistencia para tus operaciones comerciales. Ayudan a tu equipo a comprender su papel en la gestión de riesgos de seguridad de la información y en el mantenimiento del cumplimiento. Y ayudan a garantizar que tus medidas de seguridad para proteger los activos de información confidencial de las vulnerabilidades sean efectivas y eficientes.

Aunque ISO 27001 requiere que las organizaciones definan toda una serie de políticas (más de dos docenas, de hecho), una de las políticas clave para ISO 27001 es la política de seguridad de la información.

Sigue leyendo para obtener más información y mejores prácticas para redactar tu política de seguridad de la información ISO 27001, además de conseguir una plantilla de política de seguridad de la información ISO 27001 con todo el trabajo preliminar hecho para ti.

¿Qué es una política de seguridad de la información del SGSI?

Piensa en tu política de seguridad de la información como un resumen de cómo tu empresa aborda la seguridad de los datos.

Una política de seguridad de la información ISO 27001 establece estándares para el uso aceptable de los sistemas y tecnología de la información de una organización, desde redes y bases de datos hasta aplicaciones de software. Y define reglas y procesos para proteger la confidencialidad, integridad y disponibilidad de los datos (a menudo abreviado como CIA).

Confidencialidad: Proteger la información confidencial limitando su acceso, almacenamiento y uso

Tu política de seguridad de la información debe explicar cómo controlas el acceso a la información y cómo previenes violaciones y fugas de datos.

Integridad: Verificar que los sistemas de la empresa operen según lo previsto

Al redactar tu política de seguridad de la información, debes pensar en cómo estableces procesos de control de cambios, evitas que usuarios no autorizados cambien información, previenes errores humanos y aseguras que la tecnología esté configurada correctamente para evitar errores.

Disponibilidad: Asegurar que los empleados y clientes puedan confiar en tus sistemas para realizar su trabajo

Tu política de seguridad de la información necesita discutir cómo aseguras la disponibilidad de los datos, incluyendo cómo consideras desastres naturales y la erosión del almacenamiento, cómo proteges la integridad del dominio, etc.

Requisitos de ISO 27001: Cláusula A.5.1

El Anexo A La cláusula 5 establece que una organización debe tener un conjunto de políticas de seguridad de la información que sean aprobadas por la gerencia y comunicadas a los empleados y usuarios de terceros.

Las políticas deben estar guiadas por las necesidades empresariales y cualquier normativa o requisito legal aplicable que afecte a la organización, como HIPAA y GDPR. Las políticas también forman una parte importante de la educación de los empleados y la formación sobre concienciación en seguridad descritas en el Anexo A.7.2.2 de la norma de seguridad de la información.

Todas estas políticas se resumen en una política maestra de seguridad de la información de alto nivel, que describe el enfoque general de la organización para la seguridad de la información y la gestión de activos. Según la norma ISO 27001, esta política debe:

• Estar adaptada a la organización
• Demostrar el compromiso de la gerencia con el SGSI ISO 27001
• Definir cómo se proponen, revisan y aprueban los objetivos de seguridad de la información
• Ser comunicada a empleados, partes interesadas y otros interesados, como proveedores y socios comerciales
• Tener un propietario definido que sea responsable de mantener la política actualizada
• Ser revisada regularmente (al menos anualmente), o cuando ocurran cambios significativos, como cambios en los controles de seguridad de la información, tecnologías, legislación o procesos empresariales/administrativos

¿Qué debe incluir una política de seguridad de la información ISO 27001?

A menudo, las personas piensan que su política de seguridad de la información debe incluir todos los aspectos de las prácticas de ciberseguridad y protección de datos de su organización. Pero ese no es el caso. La política de seguridad de la información tiene el propósito de lograr tres cosas:

1. Forzar a la gerencia a considerar cuidadosamente sus objetivos para la seguridad de la información y TI
2. Formalizar el compromiso de la gerencia con la mejora continua del SGSI
3. Proporcionar una visión general del SGSI para que la gerencia entienda cómo funciona sin tener que seguir los detalles minuciosos de cada evaluación de riesgos de seguridad de la información, control de acceso o auditoría interna. De esta forma, saben qué está diseñado para hacer el SGSI, cómo funciona y quién es responsable de ello.

Esto es lo que cubre una política de seguridad de la información ISO 27001:

• Propósito: Definir los objetivos de seguridad de la información de la organización y el propósito del SGSI
• Requisitos: Enumerar cualquier requisito legal, contractual o normativo aplicable
• Roles y Responsabilidades: Especificar quién es responsable de implementar, mantener y monitorear el desempeño del SGSI
• Comunicación: Aclarar con quién debe compartirse la política, internamente o con contratistas y proveedores externos (si corresponde)
• Apoyo: Definir los recursos y políticas complementarias que apoyarán la seguridad de la información

Consejos para redactar una Política de Seguridad de la Información de auditores de ISO 27001

Nuestro equipo de auditores experimentados y especialistas en cumplimiento compartieron sus consejos esenciales y mejores prácticas para redactar una política de seguridad de la información que cumpla con los requisitos de ISO 27001.

• Asignar un responsable que se encargue de mantener la política de seguridad de la información actualizada y asegurarse de que se revise al menos anualmente.
• Los cambios y actualizaciones correctivos deben registrarse y aprobarse tras la revisión de la alta dirección. 

Descargar: plantilla de Política de Seguridad de la Información de ISO 27001

¿Aún no estás seguro de qué incluir en tu política de seguridad de la información? Usa nuestra plantilla como base para crear rápidamente la tuya propia. 

Crea rápidamente políticas ISO 27001 con Secureframe

La política de seguridad de la información es solo la punta del iceberg para el estándar ISO 27001, que tiene 25 políticas base. Con Secureframe, puedes ahorrarte mucho tiempo y esfuerzo con nuestra biblioteca de políticas. Obtén más de 40 plantillas de políticas redactadas por expertos en cumplimiento y revisadas por docenas de auditores, listas para que las personalices para tu negocio. 

Solicita una demostración para obtener más información sobre cómo nuestra plataforma de automatización de cumplimiento puede simplificar la certificación ISO 27001.