ILISO27001_T015 5.2 Política

Plataformas de Aprendizaje Autodirigido

5.2 Política.

Requisito.

La alta dirección establece una política de seguridad de la información.

Explicación.

La política de seguridad de la información:

  • describe la importancia estratégica del SGSI para la organización y está disponible como información documentada.
  • dirige las actividades de seguridad de la información en la organización.
  • establece cuáles son las necesidades de seguridad de la información en el contexto real de la organización.

El propósito más importante de la política de seguridad de la información es proporcionar a la organización dirección y apoyo a la gestión en materia de seguridad de la información.

 

Guía.

La política de seguridad de la información debe:

contener declaraciones de intención y dirección breves y de alto nivel y referentes a la seguridad de la información. Puede ser específico del alcance de un SGSI o puede tener una cobertura más amplia. Todas las demás políticas, procedimientos, actividades y objetivos relacionados con la seguridad de la información deben ser alineados a la política de seguridad de la información.

reflejar la situación empresarial, la cultura, los problemas y las preocupaciones relacionadas con la seguridad de la información.

el alcance debe estar de acuerdo con el propósito y la cultura de la organización y debe buscar un equilibrio entre facilidad de lectura y exhaustividad. Es importante que los usuarios de la póliza puedan identificarse con la dirección estratégica de la política.

incluir objetivos de seguridad de la información para la organización o describir el marco sobre cómo se establecen los objetivos de seguridad de la información (es decir, quién los establece para el SGSI y cómo deben implementarse dentro del alcance del SGSI). Por ejemplo, en muy grandes organizaciones, los objetivos de alto nivel deben ser establecidos por la alta dirección de toda la organización, luego, de acuerdo a un marco establecido en la política de seguridad de la información, los objetivos deben ser detallado de manera que dé un sentido de dirección a todas las partes interesadas.

debe contener una declaración clara de la alta dirección sobre su compromiso de satisfacer los requisitos relacionados con la seguridad de la información.

debe contener una declaración clara de que la alta dirección apoya la mejora continua en todas las actividades. Es importante establecer este principio en la política, de modo que las personas dentro del alcance del SGSI sean conscientes de ello.

comunicarse a todas las personas dentro del alcance del SGSI. Por lo tanto, su formato y lenguaje deben ser adecuados para que sea fácilmente comprensible para todos. La alta dirección debe decidir a qué partes interesadas se debe comunicar la política. La política de seguridad de la información se puede redactar de tal manera que sea posible comunicar a las autoridades pertinentes y partes interesadas externas ajenas a la organización. Si la política se pone a disposición de partes interesadas externas, no debe incluir información confidencial.

puede ser una política independiente o estar incluida en una política integral, que cubre múltiples temas del sistema de gestión dentro de la organización.

estar disponible como información documentada. Los requisitos en la ISO IEC 27001:2022 no implica ningún formato específico como información documentada, y por lo tanto depende de la organización decidir qué formato es el más apropiado. Si la organización tiene una plantilla estándar para las políticas, puede utilizar esta plantilla.

es una declaración de intenciones y dirección de una organización tal como se expresa formalmente por su alta dirección.

El contenido de una política orienta las acciones y decisiones relativas al tema de la política.

Una organización puede tener varias políticas; uno para cada una de las áreas de actividad que es importante para la organización.

Algunas políticas son independientes entre sí, mientras que otras tienen una relación jerárquica.

 

Jerarquía de Políticas.

Políticas generales de alto nivel: código de conducta, etc. La política general se apoya en otras políticas que abordan diferentes temas y puede ser aplicable a áreas o funciones específicas de la organización.
Política de seguridad de la información. La política de seguridad de la información es una de estas políticas, la política de seguridad de la información está respaldada por una variedad de políticas temáticas específicas relacionadas con aspectos de seguridad de información. Varios de ellos se analizan en ISO IEC 27002:2022, Tenga en cuenta que algunas organizaciones utilizan otros términos para documentos de políticas sobre temas específicos, como “estándares”, “directivas” o “reglas”.
Políticas sobre temas específicos, por ejemplo, política de control de acceso, política de escritorio limpio y de pantalla limpia, política de copias de respaldo, política de control criptográfico.

 

ISO IEC 27001:2022 requiere que las organizaciones tengan una política y especificar cualquier relación particular entre esta política y otras políticas de la organización.

El contenido de las políticas se basa en el contexto en el que opera una organización. Se debe considerar lo siguiente al desarrollar cualquier política dentro del marco de políticas:

  1. Las metas y objetivos de la organización;
  2. Estrategias adoptadas para lograr los objetivos de la organización;
  3. La estructura y los procesos adoptados por la organización;
  4. Fines y objetivos asociados al tema de la política;
  5. Los requisitos de las políticas relacionadas de nivel superior; y
  6. El grupo objetivo al que se dirigirá la política.

Estructura de una política.

Administrativas: Nombre de la política, versión, fechas de publicación/validez, historia de cambios, dueño(s) y persona(s) que autoriza(n), clasificación, audiencia prevista, etc
Resumen de la política: Información general escrita en una o dos oraciones. (Algunas veces puede estar fusionada con la introducción).
Introducción: Una breve explicación del tema de la política.
Alcance: Describe aquellas partes o actividades de una organización que son afectadas por la política. Si es pertinente, el alcance enumera las otras políticas que se sustentan en la política.
Objetivos: Describe la intención de la política.
Principios: Describe las reglas concernientes a las acciones y decisiones para lograr los objetivos. En algunos casos, puede ser útil identificar los procesos.
Responsabilidades: Describe quién es responsable de las acciones para cumplir los requisitos de la política. En algunos casos, puede incluir una descripción de las disposiciones organizacionales.
Resultados clave: Describe los resultados del negocio si se cumplen los objetivos. En algunos casos, se pueden fusionar con los objetivos.
Políticas relacionadas: Describe otras políticas pertinentes al logro de los objetivos, usualmente suministrando detalles adicionales acerca de temas específicos.
Requisitos de la política: Describe los requisitos detallados de la política.

 

Políticas Específicas.

POLÍTICAS CONTROL
Uso aceptable de la información y otros activos asociados 5.10
Clasificación de la Información 5.12
Transferencia de información 5.14
Control de acceso 5.15
Derechos de acceso 5.18
Seguridad de la información en las relaciones con proveedores 5.19
Seguridad de la información para el uso de servicios en la nube 5.23
Derechos de propiedad intelectual 5.32
Protección de registros 5.33
Privacidad y protección de la PII 5.34
Trabajo Remoto 6.7
Escritorio y Pantalla limpias 7.7
Medios de almacenamiento 7.10
Dispositivos de usuario final 8.1
Derechos de acceso privilegiado 8.2
Restricción de acceso a la información 8.3
Autentificación Segura 8.5
Gestión de vulnerabilidades técnicas 8.8
Eliminación de información 8.10
Enmascaramiento de datos 8.11
Respaldo de información 8.13
Inicio de sesión 8.15
Segregación de redes 8.22
Uso de Criptografía 8.24

 

Metodología.

1.- Necesidades Internas: Identifique las necesidades internas.

 

2.- Necesidades Externas: Identifique las necesidades externas.

3.- Relación Necesidades: Establezca el grado de relación que tienen cada una de ellas valorándola en una escala de 1 a 5 (siendo 5 el mayor valor), luego haga sumatorias y los valores más representativos corresponden a directrices o frases que deberían componer la Política.

4.- Revisión Estrategia: Luego revise visión, misión y otras directrices y determine si hay alguna directriz referente a Seguridad de la información que no ha sido tomada en cuenta, con el fin de incluirla en la política.

5.- Relación Política: Recomendaciones para la redacción de una política de seguridad de la información.

    • La política debe tener como parte de su texto la declaración en la cual se indica ¿Qué es lo que se desea hacer?, ¿Qué regula la política?, ¿Cuál es la directriz que deben seguir los funcionarios, contratistas y/o terceros?, todo esto alineado con la estrategia de la organización
    • Alinearse con el alcance del SGSI
    • Debe especificarse a quién (es) va dirigida la política, se debe identificar fácilmente quién (es) deben cumplir la política
    • En caso de que aplique, la política debe indicar las excepciones a la misma y a quiénes les aplica la excepción
    • En los casos que aplique se hace referencia de la regulación mediante la cual se soporta la política
    • Datos de las personas o roles de la entidad que pueden brindar información sobre la política
    • Nombre, rol o responsable de quien autoriza la política
    • Describir los pasos y procedimientos para realizar ajustes a la política
    • Explicación de las consecuencias que se pueden tener en caso de que un funcionario, contratista o tercero incumpla la política
    • Fecha que inicia la vigencia de la política

Es importante aclarar que una política:

  • NO es un estándar
  • NO debe indicar cómo se ejecutará ninguna labor o control de manera específica
  • NO indica tecnologías específicas de uso

Son declaraciones muy generales y de alto nivel que plasman un objetivo a cumplir por parte de la organización.