Agustinas 1022 OF 1004, Santiago

+569 3179 0476

contacto@gaconsultingsolutions.com

5 características clave de una política general de seguridad de la información según ISO/IEC 27001:2022

Por Mariángela Gatta

22 de abril de 2024

Si tomaste la decisión estratégica de implementar un sistema de gestión de seguridad de la información basado en ISO/IEC 27001: 2022 AMD 1: 2024 y no sabes por dónde empezar ni qué actividades son más importantes, te recomendamos abordar tanto lo urgente como lo importante, como analizar el contexto, conocer los requisitos de las partes interesadas y determinar el alcance del SGSI. Tras hacerlo, el paso que sigue es muy relevante: se trata de documentar la política general de seguridad de la información, que es una declaración de las intenciones de la alta dirección con respecto a la confidencialidad, integridad y disponibilidad de la información y otros activos de información con los que opera una organización.

Las partes interesadas internas (colaboradores de la organización y órgano de gobierno) y externas (clientes, usuarios, proveedores, contratistas y entes reguladores) tendrán acceso a esa política y la verán a través de los ojos de quien la concibió, entonces comprenderán que la seguridad de la información no solo es un tema que la empresa se toma en serio, sino que es prioridad relacionada con el propósito de la organización. Por ejemplo: cuando un médico registra los resultados de los exámenes de sus pacientes, esos datos no serán conocidos por personas no autorizadas; que solo los bancos conocerán cuántas cuentas, tarjetas de crédito y deudas tienen sus clientes, que los secretos seguirán siendo secretos.

Para que una política sea capaz de trasmitir y revelar toda la protección que la compañía quiere brindar, es crucial que cuente con estas 5 características:

1. Enfoque en la confidencialidad, integridad y disponibilidad (CID) de la información: Si estas tres propiedades son nuestra bandera, hay que incluirlas.

La política tiene que demostrar que la protección de los activos de información relacionados con el propósito de la organización son la máxima prioridad, esto significa que la información confidencial se mantenga protegida, que sea precisa y completa y que esté disponible cuando sea necesario para las entidades y personas autorizadas.

2. Alcance y aplicabilidad: Lo ideal es que la política considere el alcance del sistema. Y el sistema debe abarcar lo que sea esencial para la organización, en función a los recursos disponibles y a los compromisos contraídos. Para esto determinaremos qué activos de información, procesos, ubicaciones y demás elementos serán incluidos en el SGSI y, por ende, se deben comprometer con la puesta en práctica de la política.

3. Compromiso de la alta dirección: Cada una de las iniciativas del sistema de gestión puede ser brillante, pero sin el respaldo y compromiso explícito de la alta dirección, cualquier esfuerzo será baldío. Cuando los líderes demuestren que el SGSI es realmente importante para la organización y garantice que los recursos necesarios para la implementación y mantenimiento están disponibles, todo comenzará a marchar con buen pie. Por tanto, la política general se debe mostrar como un compromiso que la alta dirección establece en la organización, para el alcance previamente indicado.

4. Gestión de riesgos: ¿A qué se expone la información de la empresa? La política debe tomar de la identificación, evaluación y tratamiento de los riesgos de seguridad de la información, para asegurar que se de relevancia a los controles de seguridad de la información, más aún aquellos que son relevantes para la

organización por los riesgos que tratan.

5. Cumplimiento normativo: Es importante establecer en la política el compromiso de cumplir con los requisitos legales, reglamentarios y contractuales aplicables a la organización en materia de seguridad de la información, así como con los estándares y mejores prácticas de la industria.

Aunque son varios puntos que tomar en cuenta, la política no tiene que ser todo un tratado extenso, es preferible optar por un documento honesto, claro y fácil de comprender para todos. Piensa en los votos matrimoniales: son significativos y van al grano. Así que te aconsejamos que todas las intenciones de la organización se plasmen en una sola página. De esta forma será viable entender de qué trata la política, conversar sobre ella, revisarla a ciertas frecuencias y modificarla cuando haya necesidad de adaptarse a cambios, mejoras y ajustar detalles. Porque la política recoge un fragmento de la realidad actual y la realidad en un entorno BANI siempre cambia.

Contenido relacionado

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Abrir chat
GACS
Hola.
Te queremos asesorar, escríbenos para más.
Expertos en Sistemas de Gestión
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.