Cómo escribir una Política de Seguridad de la Información

Una Política de Seguridad de la Información es la piedra angular del Programa de Seguridad de la Información de todo CSO. Debe reflejar los objetivos de seguridad de la compañía y establecer la estrategia de gestión acordada para asegurar la información. En este artículo explicamos cómo dar el primer paso, qué debe cubrir y y cómo elaborar una política de seguridad de la información efectiva.

Para que la Política de Seguridad de la Información sea útil y permita ejecutar el resto del Programa de Seguridad de la Información debe ser aceptada formalmente por la dirección ejecutiva de la empresa. Esto significa que para elaborar un documento de política de seguridad la organización debe tener unos objetivos de seguridad bien definidos y una estrategia de gestión de seguridad de la información previamente aceptada. Si se abre un debate sobre los contenidos de la política, se extenderá a cada intento de ponerla en práctica, con la consecuencia de que el propio Programa de Seguridad de la Información quedará invalidado.

Políticas "empaquetadas"

Hay un montón de productos de “política de seguridad empaquetada” en el mercado, pero pocos de ellos obtendrán el placet de la dirección ejecutiva sin que tengan que ser detallados paso a paso por un profesional de la seguridad. No es probable que esto ocurra debido a la falta de tiempo inherente a la directiva empresarial. Aunque fuera posible que los directivos aceptasen unas políticas “adquiridas”, tampoco es la opción correcta para conseguir que los gestores de la empresa piensen en la seguridad. En vez de ello, el primer paso para elaborar una política de seguridad es averiguar cómo ve la seguridad la dirección de la empresa. Como la política de seguridad es, por definición, un conjunto de mandatos de gestión respecto a la seguridad de la información, estos mandatos proporcionan la guía de trabajo del profesional de seguridad. Si el profesional de seguridad solicita a la directiva que firme dichos mandatos, probablemente los pasarán por alto. 

Un profesional de seguridad cuyo trabajo es elaborar la política de seguridad debe asumir por tanto el rol de absorber y escribir lo que le transmite la dirección ejecutiva de la empresa. Debe saber escuchar y tener en cuenta los contenidos de sus conversaciones sin importar la disparidad de conocimientos de cada ejecutivo. También debe trasladarlo a documentos que contengan de forma fidedigna lo que le transmiten sin embellecerlo ni añadir anotaciones. Debe ser capaz de detectar los asuntos que preocupan a través de entrevistas a los directivos y preparar una declaración positiva sobre cómo quiere la empresa proteger su información de forma global. El tiempo y el esfuerzo dedicados a obtener el consenso de los ejecutivos sobre la política merecerá la pena porque beneficiará al proceso de implantación de dicha política. 

Algunas preguntas que debe hacer el CSO a los directivos

- ¿Cómo describiría los diferentes tipos de información con los que trabaja?

- ¿En qué tipo de informaciones suele apoyarse para tomar decisiones?

- ¿Hay algún tipo de información que requiera mayor privacidad que otros?


A partir de estas preguntas se puede desarrollar un sistema de clasificación de la información (por ejemplo información de clientes, financiera, de marketing, etc.) y se pueden describir procedimientos apropiados de gestión para cada uno a nivel de proceso de negocio. Por cierto, si se incluyen textos del tipo “se pueden admitir excepciones a esta política contactando al ejecutivo a cargo de…” en la política o en el programa donde está incluida, el documento pierde totalmente su sentido. En lugar de representar el compromiso de la directiva con el Programa de Seguridad de la Información transmite la sensación de que la política no es factible. El CSO debe preguntarse si se permitirían excepciones parecidas, por ejemplo, en la política de Recursos Humanos o Contabilidad.

Por ejemplo, supongamos que hay un debate sobre si los usuarios deberían tener acceso a medios extraíbles como dispositivos USB. El CSO puede creer que tal acceso no es necesario, mientras que un directivo de tecnología puede considerar que los departamentos responsables de manipulación de datos deberían tener la posibilidad de transportar datos en cualquier tipo de soporte. A nivel de política, la opción de consenso podría dar lugar a una frase del tipo: “el acceso a dispositivos extraíbles deberá ser aprobado por el responsable correspondiente&rdq

TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper