Antes de que renuncies a tu trabajo de Oficial de seguridad de la información o a tus responsabilidades dentro del sistema de gestión de seguridad de la información (SGSI) para tomar tus maletas e irte a vivir a una playa lejana donde no tengas que ver un computador nunca más, te traemos esta lista de 76 documentos imprescindibles en todo SGSI para apoyarte en tu trabajo. Preservar la confidencialidad, disponibilidad e integridad de los activos de la organización no es sencillo, seguro ya lo sabes. Pero disponer de documentación clara va a ser muy útil para organizarse, conocer las prioridades, entender a qué riesgos se enfrentan y cómo encararlos y, sobre todo, delegar responsabilidades.
Los documentos son una guía para los colaboradores, en tanto que establecen las políticas, procedimientos y responsabilidades de cada persona, lo que forma parte del marco de conducta esperado por los integrantes de un SGSI y ayuda a que todos sepan cómo proteger la información. Cuando haya una auditoría, los documentos servirán como evidencia de cumplimiento. Si hay incidentes recogerán la forma de actuar para manejar la crisis. También fungirán como base para la mejora continua, pues cada vez que se revise y actualice la documentación, se identificarán oportunidades para mejorar los procesos y fortalecer el SGSI.
Y si piensas que 76 son demasiados documentos para ti, recuerda que dispones de un equipo. ¿No es el caso? Siempre es posible contratar servicios externos para que se encarguen de la parte más pesada del trabajo y te expliquen lo que necesitas saber. ¡Empecemos con nuestra lista!
| Nombre del documento | Apartado de la norma | Control del Anexo A | |||
| 1. Política de seguridad de la información | 5.2 | 5.1 | |||
| 2. Marco del SGSI (legislación específica de cada país en materia de seguridad de la información) | 4.1, 4.2, 4.4, 5.2, 6.2, 7.5.1 | 5.1, 5.31 | |||
| 3. Partes interesadas | 4.2 | ||||
| 4. Alcance del SGSI | 4.3 | ||||
| 5. Lista de requisitos aplicables | 4.2, 4.3 | 5.31 | |||
| 6. Objetivos de la seguridad de la información | 6.2 | ||||
| 7. Matriz de asignación de responsabilidades | 5.1, 5.3 | 5.2, 5.3, 5.4 | |||
| 8. Plan de comunicación | 4.2, 7.4 | 5.5, 5.6 | |||
| 9. Creación del Comité de Seguridad de la Información | 5.1, 5.3 | 5.2, 5.4 | |||
| 10. Evidencias de competencia | 7.2 d) | ||||
| 11. Lista de activos de información | 5.9 | ||||
| 12. Procedimiento de gestión de riesgos de seguridad de la información | 6.1.2, 6.1.3, 8.2 | ||||
| 13. Metodología de evaluación de riesgos de seguridad de la información | 6.1.2, 8.2 | ||||
| 14. Informe de evaluación de riesgos de seguridad de la información | 6.1.2, 6.1.3, 8.2 | ||||
| 15. Declaración de Aplicabilidad (SoA) | 6.1.3 d) | ||||
| 16. Plan de tratamiento de riesgos (PTR) | 6.1.3, 8.3 | ||||
| 17. Procedimiento de control de documentos | 7.5 | 5.1, 5.33 | |||
| 18. Lista de información documentada del SGSI | 7.5.1 b), 7.5.3 | ||||
| 19. Procedimiento de evaluación y mejora del desempeño del SGSI | 9.1, 9.3, 10.1 | ||||
| 20. Informes de seguimiento, medición, análisis y evaluación del SGSI | 9.1 | ||||
| 21. Procedimiento de auditoría interna | 9.2 | ||||
| 22. Programa de auditoría interna | 9.2 | ||||
| 23. Informes de auditoría interna | 9.2 | ||||
| 24. Informes de revisión de la gestión del SGSI | 9.3, 8.1, 10.2 | ||||
| 25. Procedimiento de gestión de no conformidades | 10.2 | ||||
| 26. Lista de No conformidades (NC) | 10.2 | ||||
| 27. Plan de mejora continua del SGSI (y otros planes de implementación) | 8.1, 10.1 | ||||
| 28. Política de clasificación y manejo de la información | 5.1, 5.12, 5.13 | ||||
| 29. Política (y procedimiento) de transferencia de información | 5.1, 5.14 | ||||
| 30. Política de control de acceso | 5.1, 5.3, 5.15, 5.16, 5.17, 5.18, 8.2, 8.3, 8.5 | ||||
| 31. Política de gestión de contraseñas | 5.16, 5.17 | ||||
| 32. Procedimiento para asignar y modificar derechos de acceso | 5.18 | ||||
| 33. Política de uso aceptable | 5.10, 7.9, 7.10, 8.1, 8.18 | ||||
| 34. Política de gestión de incidentes de seguridad de la información | 5.1, 5.24, 5.25, 5.26, 5.27, 5.28, 5.29, 6.8 | ||||
| 35. Procedimiento de gestión de incidentes de seguridad de la información | 5.24, 5.25, 5.26, 5.27, 5.28, 5.29, | ||||
| 36. Registro de incidentes de seguridad de la información | 5.24 | ||||
| 37. Política de seguridad de la información en las relaciones con proveedores | 5.19, 5.20, 5.21, 5.22 | ||||
| 38. Procedimiento de seguimiento, revisión y gestión de cambios de los servicios de los proveedores | 5.22 | ||||
| 39. Política de seguridad de la información para el uso de servicios en la nube | 5.23 | ||||
| 40. Política de resiliencia y continuidad del negocio | 5.29, 8.14 | ||||
| 41. Plan de seguridad de la información durante la interrupción | 5.29, 8.14 | ||||
| 42. Plan de preparación de las TIC para la continuidad del negocio | 5.30 | ||||
| 43. Informe sobre la prueba del plan de preparación de las TIC para la continuidad del negocio | 5.30 | ||||
| 44. Política de inteligencia sobre amenazas | 5.7 | ||||
| 45. Política de seguridad de la información en la gestión de proyectos | 5.8 | ||||
| 46. Política de privacidad / Política de protección de datos | 5.34 | ||||
| 47. Política de sensibilización, educación y formación en materia de seguridad de la información | 7.2, 7.3 | 6.3 | |||
| 48. Programa de concienciación sobre seguridad de la información | 7.3 | 6.3 | |||
| 49. Acuerdos de confidencialidad | 6.6 | ||||
| 50. Política de trabajo a distancia (teletrabajo) | 5.1, 6.7, 7.9 | ||||
| 51. Conjunto de documentos de RRHH (políticas, procedimientos y guías) | 6.1, 6.2, 6.3, 6.4, 6.5 | ||||
| 52. Política de seguridad física y ambiental | 5.1, 7.1, 7.2, 7.3, 7.4, 7.5, 7.8, 7.11, 7.12, 7.13 | ||||
| 53. Política de destrucción segura | 5.1, 7.10, 7.14, 8.10 | ||||
| 54. Política de trabajo en zonas seguras | 5.1, 7.6 | ||||
| 55. Política de escritorio y pantalla limpios | 5.1, 7.7 | ||||
| 56. Política de mantenimiento de equipos | 5.1, 7.13 | ||||
| 57. Política de configuración y manejo seguro de dispositivos terminales de usuario | 5.1, 8.1 | ||||
| 58. Política de seguridad de redes | 5.1, 8.20, 8.21, 8.22 | ||||
| 59. Política de copias de seguridad | 5.1, 8.13 | ||||
| 60. Procedimiento de copias de seguridad y recuperación | A. | 5.37, 8.13 | |||
| 61. Informes de pruebas de respaldo | 8.13 | ||||
| 62. Política de gestión de vulnerabilidades técnicas | 5.1, 8.8 | ||||
| 63. Política de acceso al código fuente | 8.4 | ||||
| 64. Política de gestión de la capacidad | 8.6 | ||||
| 65. Política de protección contra malware | 8.7 | ||||
| 66. Política de gestión de la configuración | 8.9 | ||||
| 67. Política de enmascaramiento de datos | 8.11 | ||||
| 68. Política de prevención de fuga de datos | 5.1, 8.12 | ||||
| 69. Política de registro y seguimiento de eventos | 5.1, 8.15, 8.16 | ||||
| 70. Procedimiento de instalación del software | 8.19 | ||||
| 71. Lista de software aplicable | 5.9, 8.19 | ||||
| 72. Política de filtrado web | 5.1, 8.23 | ||||
| 73. Política de criptografía y gestión de claves | 5.1, 8.24 | ||||
| 74. Política de desarrollo seguro | 5.1, 8.25, 8.26, 8.27, 8.28 | ||||
| 75. Procedimiento de prueba de seguridad de la información | 8.29, 8.30 | ||||
| 76. Política (y procedimiento) de gestión de cambios | 8.32 | ||||
Es importante que recuerdes que la información documentada interna debe contar con un flujo de elaboración, revisión y aprobación por las autoridades correspondientes, de manera que tengan la validez y formalidad pertinente.
Igualmente, es posible percibas que tantos documentos son un obstáculo para el trabajo, pero comenzarás a ver los beneficios al comprender que establecer procesos bien definidos reduce el riesgo de incidentes de seguridad. Además, optimiza los procesos y reduce la duplicación de esfuerzos, por lo que mejora la eficiencia. Toma en cuenta que demostrar compromiso con la seguridad de la información aumenta la confianza de los clientes y partes interesadas. Y cada documento sirve como base para analizar los resultados, detectar desviaciones y establecer acciones correctivas.
Piensa que acceder a información confiable, precisa y actual te ayudará a tomar las mejores decisiones. Y podrás estar en esa playa lejana no para huir sino para disfrutar después de un trabajo exitoso y bien hecho.
0 comentarios