ALISO27001_T011 Diseño – Elaboración de Políticas y Objetivos

Plataformas de Aprendizaje Autodirigido

Diseño – Elaboración de Políticas y Objetivos.

Política de seguridad.

La política de Seguridad como requisito de la norma ISO/IEC 27001:2022 debe considerar en líneas generales los objetivos de la seguridad de la información de la empresa u organización. Así que la primera pregunta a hacernos es:

¿Qué queremos conseguir con la Seguridad de la información?

Este documento, es responsabilidad de la dirección, tiene como misión además de establecer los objetivos obtener una visión sintetizada de la funcionalidad y estado del sistema de gestión de la seguridad de la información.

En otras palabras, la política de la seguridad de la información debe ser fácil de entender y explicar de forma resumida para qué sirve la aplicación de esta política de seguridad en la empresa, su utilidad y los responsables.

¿Cómo redactar la política sobre la Seguridad de la Información?

Atendiendo al estándar ISO 27001 tenemos que:

  1. Redactar una política de acuerdo a las necesidades de cada organización: En este sentido debemos tener en cuenta el tamaño, la estructura y actividad de cada organización.
  2. La política de la seguridad de la información debe tener en cuenta los objetivos de cada organización: Se trata de plasmar en el documento como la seguridad de la información respalda al negocio en el logro de sus objetivos.
  3. La política del SGSI debe demostrar que se tienen en cuenta los requisitos de las partes interesadas: Este punto nos lleva a expresar lo que hemos analizado en el punto sobre el contexto de la organización donde hemos identificado las expectativas de las partes interesadas.
  4. La comunicación de la política a las partes interesadas: Este requisito puede ser mencionado incluso dentro del documento de la política para una vez más, dar visibilidad a la preocupación de la dirección por cumplir con el requisito de comunicar la política dentro de la compañía y cuando corresponda, a las partes interesadas.
  5. Propietario de la política: Definir un propietario de la política y un proceso de revisión es otro de los puntos a considerar para cumplir con los requisitos de la norma ISO/IEC 27001:2022, que podemos incluir en este punto con el objeto de que la política de la seguridad se mantenga actualizada.

Objetivos de la seguridad del SGSI.

El objetivo general es implementar una serie de iniciativas que en conjunto logren todos los objetivos de seguridad del SGSI.

La política de seguridad define lo que se quiere proteger así como las reglas y conductas para los usuarios del sistema para preservar la seguridad de los mismos. Cada servicio ya sea interno o externo plantea riesgos para su sistema y la red a la que está conectado.

Una política de seguridad es un conjunto de pautas que se aplican a actividades y los recursos de una organización incluyendo áreas tales como seguridad física, seguridad del personal, seguridad administrativa y seguridad de la red.

La política de la Seguridad de la Información proporciona una base para la planificación de seguridad incluso cuando se amplían los sistemas o se crean nuevas aplicaciones:

  • Describiendo las responsabilidades del usuario, como proteger la información confidencial y crear contraseñas no triviales.
  • Explicando cómo controlará la efectividad de sus medidas de seguridad.
  • El control y la monitorización nos ayuda a determinar si alguien intenta eludir las salvaguardas para proteger la información.

Para desarrollar su política de seguridad, debe definir claramente sus objetivos de seguridad.

  1. Protección de activos de información: Un esquema de protección de activos o recursos de información debe garantizar que solo los usuarios autorizados puedan acceder a objetos de información en el sistema.
  2. Autenticación: Deberemos verificar que los accesos de cualquier tipo en el otro extremo de la sesión realmente es lo que dice ser. La autenticación sólida protege a un sistema contra el riesgo de suplantación de identidad por el que un usuario ya sea humano o una interfaz entre aplicaciones, usa una identidad falsa para acceder a un sistema.
  3. Autorización: El nivel de autorización se define en la política de seguridad al discriminar los usuarios que tienen autorización para el acceso a determinados recursos junto con un proceso de segmentación de las aplicaciones y el acceso a los diferentes recursos.
  4. Integridad de la información: El concepto de integridad se refiere a que la información se mantenga integra dentro las operaciones que se realizan y sobre todo en los procesos de comunicación. Aquí debemos considerar la integridad de los datos, integridad del sistema, irrenunciabilidad de transacciones (no repudio) y confidencialidad.
  5. Auditoría de actividades de seguridad: Se puede establecer como objetivo la constante vigilancia y registro de los posibles incidentes y de actividades sospechosas de forma que podamos prevenir los eventos no deseados.