Ir al contenido principal

4. Política de SGSI

👉 Esta actividad te ayuda a cumplir los siguientes requisitos:

  • ISO 27001 en su versión 2013: 4.1, 4.2, 4.3, 4.4, 5.1, 5.2, 5.3, 6.1.1, 6.1.2, 6.1.3, 6.2, 7.1, 7.2, 7.3, 7.4, 7.5.1, 7.5.2, 7.5.3, 8.1, 8.2, 8.3, 9.1, 9.2, 9.3, 10.1, 10.2

  • ISO 27001 en su versión 2022: 4.1, 4.2, 4.3, 4.4, 5.1, 5.2, 5.3, 6.1.1, 6.1.2, 6.1.3, 6.2, 6.3, 7.1, 7.2, 7.3, 7.4, 7.5.1, 7.5.2, 7.5.3, 8.1, 8.2, 8.3, 9.1, 9.2.1, 9.2.2, 9.3.1, 9.3.2, 9.3.3, 10.1, 10.2

Y el siguiente control:

  • ISO 27001 en su versión 2013: A.7.2.1

  • ISO 27001 en su versión 2022: A.5.4

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para establecer los lineamientos y requisitos que te permitirán implementar un sistema de gestión de seguridad de la información alineado a las necesidades y contexto de tu empresa.

💡 Es uno de los documentos más importantes de toda la implementación ya que podríamos considerarlo las bases o reglas del juego con las que estarás trabajando todo tu programa de seguridad.

¿Qué tengo que hacer? 🚀

Para crear tu política de SGSI te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad para conocer de qué va y comprender todo lo que abarca.

Dentro del template encontrarás una serie de temas asociados a las cláusulas y requisitos de ISO 27001, es decir que podrás saber qué es lo que estás cumpliendo con la información ahí documentada.

Vista previa de nuestro template:

💡 Nuestro template está estructurado con los lineamientos necesarios para dar cumplimiento a los requisitos normativos. Dentro de él encontrarás también ejemplos y recomendaciones que te servirán para terminar tu política fácilmente, pero recuerda que debes colocar la información solicitada dentro del template, e incluso añadir y/o ajustar todo lo que consideres pertinente para alinear el documento a tu empresa.

¡Sigue leyendo porque a continuación te explicaremos cada uno de los temas tocados dentro de la política, en qué consisten y qué debes hacer para terminar esta actividad!

Contexto de la organización

En esta sección debes lograr conocer y comprender el contexto de seguridad de la información en tu empresa, y para lograrlo debes realizar las siguientes actividades:

  • Analizar el entorno e identificar los aspectos externos e internos que pueden afectar las operaciones de la empresa.

    • Algunos aspectos externos son la política, la situación económica, social y cultural del país donde operas, los avances tecnológicos, las leyes y regulaciones aplicables, etcétera.

    • Algunos aspectos internos son las fortalezas y debilidades de la empresa, así como las amenazas y oportunidades (esto es básicamente un análisis FODA, y es lo que te sugerimos hacer dentro de nuestro template 🙌🏼).

  • Identificar las partes interesadas y sus requisitos, recordando que una parte interesada es cualquier persona, área, compañía o institución que tiene un interés en la implementación del SGSI dentro de tu empresa.

    • Algunos ejemplos de partes interesadas más comunes son los proveedores, inversionistas, gerentes e incluso el mismo personal.

    • Identificar los requisitos de las partes interesadas significa entender cuáles son sus expectativas respecto a la implementación de controles de seguridad dentro de la empresa, como por ejemplo protección de sus datos personales, recibir una capacitación adecuada, mejora de procesos, cumplimiento contractual, etcétera.

  • Definir el alcance del SGSI, lo que significa delimitar hasta dónde llegará tu programa de seguridad y para esto, debes identificar lo siguientes aspectos:

    • Cuáles son las características del negocio (productos y/o servicios ofrecidos por la empresa) que debes proteger.

    • Cuáles son los procesos operativos que deseas certificar, y a la par identificar cuáles son los procesos con los que interactúan. Para definir cuáles son los procesos que debes incluir en el alcance puedes analizarlo de varias formas:

      • Identificando los procesos críticos y/o esenciales para las operaciones de tu empresa.

      • Identificando los procesos que permiten la continuidad y buen funcionamiento de las operaciones.

      • Verificando los procesos que realiza cada una de las áreas de tu empresa y analizando su criticidad e impacto para la seguridad.

      • Si buscas certificarte para cerrar algún contrato o cumplir un requerimiento en particular, analiza cuáles son los procesos que impactan o que están involucrados en tu relación con dicha parte interesada.

    • Cuál es la o las ubicaciones donde se realizan los procesos a certificar.

    • Cuál es la estructura organizacional de la empresa respecto a la seguridad de la información (organigrama). Para esto recomendamos la creación de un comité de seguridad y la asignación de un Oficial de Seguridad de la Información.

💡 Recuerda que el enunciado que trabajaste en la actividad 1 para la definición del alcance del SGSI, y el organigrama que generaste en la actividad 2 para crear tu estructura de seguridad deben estar documentados en esta sección de la política, de forma que puedas formalizar la información y comunicarla dentro de la empresa.

Liderazgo

En esta sección se establecen los lineamientos que la alta dirección y los involucrados deben cumplir para demostrar su liderazgo y compromiso hacia la correcta implementación y mantenimiento del SGSI.

  • Las acciones o iniciativas para demostrar liderazgo y compromiso deben quedar por escrito, ya que es de suma importancia que la alta dirección las conozca y las cumpla.

    • Es esencial que la alta dirección sea partícipe y facilitadora de las decisiones asociadas al SGSI.

  • La empresa declara y reconoce, por medio de una Política general de seguridad de la información, la importancia de la implementación de un SGSI, y recalca su compromiso para la implementación de las mejores prácticas basadas en ISO 27001.

  • La empresa debe abordar la necesidad de identificar los roles, responsabilidades y autoridades que serán necesarios para el cumplimiento y mantenimiento del SGSI.

    • Es muy importante documentar toda esta información dentro de un descriptivo de roles y responsabilidades para que puedas comunicar a todos los involucrados cuáles son sus responsabilidades de seguridad de la información y qué se espera de ellos.

Planificación

En esta sección se establecen los lineamientos que te permitirán implementar una adecuada gestión de los riesgos de seguridad.

  • Al comenzar esta sección encontrarás dentro del template, de manera general, los objetivos principales que debe cumplir la planificación de una gestión de riesgos.

  • Posteriormente encontrarás las acciones que debes realizar para llevar a cabo una correcta evaluación y tratamiento de los riesgos de seguridad de la información, así como los recursos documentales utilizados.

    • Recuerda que el detalle de cómo debes implementar la evaluación y tratamiento de los riesgos, lo encontrarás en la Metodología de Gestión de Riesgos. En esta política sólo se definen los criterios a alto nivel que se deben cumplir.

  • Una de las tareas más importantes de esta política es la definición de los objetivos de seguridad de la información y la planificación para alcanzarlos. Para esto debes analizar qué es lo que deseas cumplir con la implementación de un SGSI.

    • Un ejemplo de objetivo de seguridad puede ser: Asegurar y mantener la confidencialidad, integridad y disponibilidad de la información de la empresa.

    • Recuerda que estos objetivos deben tener un enfoque de seguridad, ya que por ejemplo un objetivo de la empresa para implementar un SGSI puede ser mayor cierre de contratos con clientes, cumplimiento contractual o regulatorio, etcétera pero esto tiene un enfoque más bien comercial o legal, y por ende, no deja muy claro cuál es la finalidad de este proyecto en términos de seguridad.

    • Éstos objetivos además, deben cumplir con una serie de criterios normativos, los cuales puedes encontrar enlistados dentro de nuestro template.

  • Para finalizar esta sección, la empresa se compromete a realizar una planificación de cambios adecuada para cualquier aspecto que pueda impactar en el SGSI.

Soporte

En esta sección se establecen los elementos de soporte que requiere tu SGSI para una implementación y mantenimiento adecuados, considerando los siguientes aspectos:

  • La asignación de recursos, incluyendo tecnológicos, humanos, financieros u otros, debe estar asegurada, por lo que se deja por escrito que la empresa destina un presupuesto suficiente para el SGSI.

  • La validación pertinente de que los colaboradores cuentan con la competencia adecuada, es decir el conocimiento y la experiencia necesarios para desempeñar sus funciones, debe realizarse oportunamente.

  • La empresa debe mantener la concientización de todo su personal realizando talleres o capacitaciones periódicas sobre temas de seguridad de la información, los riesgos que existen y cómo evitarlos.

  • La comunicación de los requisitos y recursos asociados al SGSI debe ser planificada y ejecutada adecuadamente a todas las partes interesadas, según corresponda.

  • Toda información documentada resultante del SGSI debe cumplir con una serie de criterios normativos, los cuales puedes encontrar enlistados dentro de nuestro template.

Operación

En esta sección se establecen los lineamientos y compromisos de la empresa para ejecutar correctamente las actividades de evaluación y tratamiento de riesgos previamente definidas en la sección de Planificación de esta misma política, así como los recursos documentales utilizados.

Evaluación del desempeño

En esta sección se establecen los criterios necesarios para llevar un seguimiento adecuado del funcionamiento de tu SGSI, considerando los siguientes aspectos:

  • El seguimiento, medición, análisis y evaluación de tu SGSI debe proveer la información necesaria que te permita identificar oportunidades de mejora y establecer las acciones correctivas y/o de robustecimiento pertinentes.

    • Estas evaluaciones deben ser periódicas y cumplir con una serie de criterios normativos, los cuales puedes encontrar enlistados dentro de nuestro template.

  • La aplicación de auditorías internas es esencial para evaluar el desempeño de tu SGSI y mantener el cumplimiento normativo.

  • La revisión por la alta dirección también es esencial para evaluar el desempeño de tu SGSI y mantener el cumplimiento normativo. Estas revisiones deben ser periódicas y tener la importancia pertinente dentro de la empresa para que sean realmente eficientes.

    • Las revisiones deben considerar y cumplir con una serie de criterios normativos, los cuales puedes encontrar enlistados dentro de nuestro template.

    • Generalmente estas revisiones del SGSI se realizan a través de sesiones organizadas por el comité y/o el Oficial de Seguridad de la Información, las cuales deben contar siempre con una minuta donde se documenten los temas hablados, los compromisos acordados y las decisiones tomadas.

Mejora

En esta sección se establecen los lineamientos que se deben seguir para ejercer una mejora continua del SGSI y cómo abordar las no conformidades (o cualquier hallazgo identificado en auditorías internas o externas), definiendo acciones correctivas y de seguimiento, así como los recursos documentales utilizados.

¡Sabemos que parece mucha información, pero no te preocupes! Cómo bien te comentamos al inicio de este artículo, nuestro template está estructurado con los lineamientos necesarios para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Antes de comenzar el documento, lee este artículo y el template que te proporcionamos en su totalidad.

  • La implementación de un programa de seguridad es de suma importancia así que, en la medida de lo posible, no escatimes en los recursos que le vas a destinar. Al final esto será una inversión para tu empresa ⭐.

  • Define objetivos de seguridad que sean alcanzables por tu empresa y que te permitan cumplir con los requerimientos normativos.

  • La mejora continua es una parte esencial del cumplimiento, por lo que no dejes de buscar áreas y oportunidades de mejora que te ayuden a fortalecer tu programa de seguridad, aún después de la certificación.

FAQs ❔

Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
5. Política de Seguridad de la Información
44. Matriz de Evaluación de Requisitos Legales y Contractuales
47. Plan de Comunicación del SGSI
Guía para hacer tu política de SGSI
Política de Seguridad de la Información en la Nube
¿Ha quedado contestada tu pregunta?