Política de SEGINFO bajo el contexto de la norma ISO / IEC 27001

En el  desarrollo de la organización de gestión de seguridad de la información, lo que puedo se puede llegar a decir de la política de seguridad de la información es que ademas de ser un documento exigido por la norma es uno de los documento mas útil e importante en la gestión de la seguridad de la información.

Pero redactar una política de seginfo no es tan facil como parece. Este documento es uno de los primeros requisitos exigidos por la norma ISO 27001, en el marco del desarrollo del SGSI (Sistema de Gestión de la Seguridad de la Información), pero el trabajo técnico y redacción de este no puede ser completamente implementado en los primeros pasos de la construcción del SGSI.

Esta debe ser redactada gradualmente en cada etapa del desarrollo, implementación, monitoreo, evaluación y mejora del SGSI.

NTC-ISO / IEC 27001

De acuerdo con los requisitos de la norma ISO / IEC 27001. La organización debería hacer lo siguiente:
Definir una política SGSI basada en las características de la organización de la empresa, su ubicación, sus activos y tecnología que:
  • Incluye el concepto, los objetivos, directrices y principios para la acción en el campo de la seguridad de la información.
  • Tiene en cuenta las necesidades de la empresa, los requisitos legales y reglamentarios, y las obligaciones de seguridad contractuales.
  • Es coherente con el contenido estratégico de la organización, la gestión de riesgos en el marco de los cuales se ha desarrollado y mantenido el SGSI.
  • Establece los criterios para la evaluación y tratamiento de riesgos.
  • Es aprobado por la alta gerencia.

NTC-ISO / IEC 27002

Desde el punto de vista de la norma, el propósito de la política de seguridad de la información es:
Asegurar la gestión, apoyo de la gerencia hacia la seguridad de la información de acuerdo con los requerimientos del negocio, las leyes y reglamentos pertinentes.

La alta gerencia debe establecer una dirección clara en línea con los objetivos del negocio y demostrar su apoyo y compromiso con respecto a la seguridad de la información a través del desarrollo y el apoyo de la política de seginfo dentro de la organización.

Se deben establecer contactos con especialistas externos o grupos expertos en seguridad, tambien deben ser incluidas las autoridades competentes, para mantenerse al tanto de las tendencias de la industria, estándares y métodos de evaluación,  para proporcionar los puntos adecuados de contacto al manejar eventos e incidentes de seguridad de la información. Ademas se debe fomentar un enfoque multidisciplinario para la seguridad de la información.

La Política de Seguridad debe ser aprobada por la alta gerencia, debe ser publicada y comunicada a todos los empleados de la organización y los terceros pertinentes a través de la alta gerencia.

Se debe de establecer la responsabilidad de gestión, así como para presentar el enfoque de la organización para la gestión de seguridad de la información. El documento, que establece una política debe incluir disposiciones relativas a:
  • Definición de seguridad de la información, sus objetivos generales y ámbito de aplicación, así como los valores de referencia de seguridad como una herramienta que ofrece la posibilidad de compartir la información.
  • El apoyo a los objetivos y principios de la seguridad de la información en línea con la estrategia y los objetivos de negocio.
  • Un Enfoque para el establecimiento de medidas y herramientas para el monitoreo y control de los efectos, y su aplicación, incluyendo la estructura de la evaluación de riesgos y gestión de riesgos.
  • Una breve explicación de los más esencial para la organización en cuanto a las políticas de seguridad, los principios, las normas y los requisitos de cumplimiento, tales como:
  • Cumplimiento de los requisitos legales y las obligaciones contractuales
  • Concienciar, la educación y la formación en materia de seguridad.
  • Gestión de la continuidad del negocio.
  • Responsable de las violaciones de la política de SegInfo
  • La determinación de las obligaciones generales y específicas de los empleados bajo la gestión de seguridad de la información, incluyendo los incidentes de seguridad de la información.
  • Enlaces a documentos que complementan la política de seguridad de la información, como las políticas más detalladas y procedimientos de seguridad para los sistemas de información específicos, así como las normas de seguridad que deben seguir los usuarios.

Esta política de la seguridad de la información debe darse a conocerse a todo personal de la organización de forma relevante, accesible y compresible . de aquí la construcción de ideas y mecanismos para llegar a concienciar a empleados en sus diferentes areas.

Si esta es distribuida a terceros debe existir un apartado a la no divulgación del contenido y protegida toda información bajo acuerdos de confidencialidad.

NTC-ISO / IEC 27003

Este estándar recomienda lo siguiente:
Los datos iniciales a tomar:
  • Prioridades para el desarrollo de SGSI de la organización - Objetivos generalizados y Listado de Requisitos.
  • Elaboración de descripciones de casos de SGSI para el negocio y el plan del proyecto para su aprobación por la alta gerencia y la aprobación original del proyecto SGSI.
  • Alcance y limite del SGSI
  • Definición de requisitos de seguridad de la información para el proceso del SGSI.
  • Determinación de los activos dentro del alcance del SGSI
  • Evaluación de la seguridad de la información.
  • Los resultados de la evaluación de riesgos y la selección de objetivos y controles.
  • Desarrollar una estructura final de la organización para la seguridad de la información
  • Desarrollar un marco para la documentación del SGSI.

Es necesario documentar la posición estratégica de la gestión y administración en relación con los objetivos de seguridad de la información en relación con su uso del SGSI. 

Los ejemplos de la política de seguridad de la información pueden extraerse de libros de referencia, Internet, comunidades de interés y asociaciones sectoriales de la industria. Las declaraciones y consejos se pueden encontrar en los informes anuales, otros documentos de política o documentos  de orientación.

En cuanto a la cantidad real de la documentación en la política puede haber diferentes interpretaciones y requisitos. Esta documentación debe ser resumida para que los empleados comprendan la importancia de la política de la organización. Además, debe mostrar claramente cuáles son los objetivos a alcanzar.

El tamaño y la estructura de la política de seguridad de la información deben fortalecer algunos documentos utilizados en la siguiente etapa del proceso, para la introducción del SGSI.

Para las grandes organizaciones con estructura compleja (por ejemplo, con una amplia gama de diferentes áreas de actividad) puede ser necesaria la creación de una política común y una variedad de políticas de niveles inferiores que se adaptan a las áreas específicas de la actividad.

La política propuesta (Con control de versiones) debe ser sometida a verificación cruzada ,establecida y aprobada por la gerencia. Después del establecimiento de grupos o líder de la operación o entidades similares que aprueba la política de seguridad de la información. Para que luego pueda ser comunicada a cada empleado de la organización de una manera adecuada.

La salida debe ser un documento que describe politicas y objetivos y los documentos aprobados por la dirección de la política del SGSI. Este documento debe ser aprobado nuevamente en la próxima fase del proyecto, ya que depende de los resultados de la evaluación de riesgos.

Politica de ejemplo

El siguiente es un ejemplo de una política de seguridad de la información, mostrando su estructura y un ejemplo del contenido.

Política de seguridad de la información

Resumen de la política

La información siempre debe protegerse con independencia de su forma y el método de su distribución, transmisión y almacenamiento.

Introducción
La información puede existir en muchas formas diferentes. Puede ser impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por el uso de dispositivos electrónicos, o transmitida de forma oral en el curso del diálogo.

La redacción de este documento es para concienciar  la protección de la información de una variedad de amenazas, diseñado para asegurar la continuidad del negocio, reducir al mínimo el riesgo del negocio y maximizar el retorno de las inversiones y ofrecer oportunidades de negocio.

Alcance
Esta política se aplica a todos los empleados de la organización.

Objetivos
  1. Proteger,   preservar   y   administrar   objetivamente   la   información   de   la  organización.
  2. Protección de la información confidencial de los clientes, desarrollo de productos y planes de marketing.
  3. Preservar la integridad de los registros contable, Backup, etc...
  4. El cumplimiento de los controles de acceso a los recursos de red internos de la organización.

Responsabilidades
  • Cada ejecutivo es responsable de asegurar que el personal que trabaja bajo su dirección, la protección de la información  de acuerdo con las normas de la organización.
  • Los propietarios de activos de información, son responsables de su clasificación, mantenimiento y actualización.
  • Es responsabilidad de la alta gerencia la aprobación de este documento.
Políticas relacionadas

Las siguientes políticas detalladas contienen principios y recomendaciones sobre aspectos específicos de seguridad de la información:

  1. Sistema de Gestión de Políticas de Seguridad de la Información (SGSI)
  2. Política de control de acceso
  3. Politica de escritorios y pantallas limpias
  4. Politica de software no autorizados.
  5. Politica de copias de seguridad o backup.
  6. Politicas de seguridad de teletrabajo.
  7. Politicas de intercambio de informacion.
  8. Gestion y clasificacion de documentacion.
  9. Protecion de la privacidad y la privacidad de los datos.
Todas estas políticas son compatibles con:

  • Identificación del riesgo, proporcionando los fundamentos de las herramientas de gestión que pueden utilizarse para detectar defectos en el diseño e implementación del sistema.
  • Tratamiento de riesgos, ayudando en la definición de los métodos de procesamiento para las vulnerabilidades y amenazas específicas.