👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO 27001 en su versión 2013: 6.1.2, 6.1.3, 6.2
ISO 27001 en su versión 2022: 6.1.2, 6.1.3, 6.2
Y los siguientes controles:
ISO 27001 en su versión 2013: A.5.1.1, A.5.1.2, A.6.1.3, A.6.1.4, A.6.2.1, A.6.2.2, A.7.1.1, A.7.2.3, A.8.1.3, A.8.1.4, A.8.2.1, A.8.2.3, A.9.1.1, A.9.1.2, A.9.2.4, A.9.3.1, A.9.4.1, A.9.4.3, A.10.1.1, A.11.1.1, A.11.1.2, A.11.1.3, A.11.1.4, A.11.1.5, A.11.1.6, A.11.2.1, A.11.2.2, A.11.2.3, A.11.2.4, A.11.2.5, A.11.2.6, A.11.2.7, A.12.1.4, A.12.2.1, A.12.4.2, A.12.6.1, A.13.2.3, A.14.1.3 , A.14.2.5, A.15.1.1, A.15.1.2, A.15.2.2 , A.16.1.1, A.17.1.1, A.18.1.1 y A.18.1.4.
ISO 27001 en su versión 2022: A.5.1, A.5.5, A.5.6, A.5.7, A.5.10, A.5.11, A.5.12, A.5.13, A.5.14, A.5.15, A.5.17, A.5.19, A.5.20, A.5.22, A.5.23, A.5.24, A.5.29, A.5.31, A.5.34, A.5.37, A.6.1, A.6.4, A.6.7, A.7.1, A.7.2, A.7.3, A.7.4, A.7.5, A.7.6, A.7.8, A.7.9, A.7.10, A.7.11, A.7.12, A.7.13, A.7.14, A.8.1, A.8.3, A.8.5, A.8.6, A.8.7, A.8.8, A.8.9, A.8.10, A.8.11, A.8.12, A.8.13, A.8.15, A.8.17, A.8.19, A.8.23, A.8.24, A.8.26, A.8.31, A.8.31, A.8.34
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve para establecer las directrices con las que la organización se basará para proteger su información, sus activos y cualquier elemento alcanzado por su SGSI, así como también para minimizar los riesgos y darte una visión general de cómo cumplirás con tus objetivos de seguridad.
¿Qué tengo que hacer? 🚀
Para crear tu política de seguridad de la información te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad para conocer de qué va y comprender todo lo que abarca.
Dentro del template encontrarás una serie de temas asociados a los controles de ISO 27002, es decir que podrás saber qué es lo que estás cumpliendo con la información ahí documentada.
Vista previa de nuestro template:
Una vez leído todo el template, debes asegurar que se encuentre alineado a tus operaciones, o de ser el caso, validar si es posible implementar todos los lineamientos ahí descritos.
Si hay algo que no puedas implementar, los responsables principales de este proyecto deben poder justificar los motivos de esto durante una auditoría, y en la medida de lo posible, considerarlo como una iniciativa de mejora para una futura implementación.
De igual forma no dudes en acercarte a nosotros para validar la situación en conjunto y darte la mejor solución 🚀.
💡 La política que te proponemos en nuestro template cuenta con muchos temas de seguridad que son requeridos por la normativa. Lo hacemos de esta forma para tener toda la información consolidada en un solo documento y así no tendrás que revisar, actualizar y mantener muchos documentos separados.
Nuestro template ya se encuentra actualizado a la versión 2022 de la ISO 27001, y está estructurado con los lineamientos necesarios para dar cumplimiento a los requisitos normativos. Dentro de él encontrarás también ejemplos y recomendaciones que te servirán para terminar tu política fácilmente, pero recuerda que debes colocar la información solicitada dentro del template, e incluso añadir y/o ajustar todo lo que consideres pertinente para alinear el documento a tu empresa.
A continuación te enlistamos todos los temas de seguridad que encontrarás en el template y que deberás trabajar y adaptar al contexto de tu empresa.
Gestión con instituciones de seguridad de la informaciónLas instituciones que debes identificar son las autoridades a las que puedas notificar y/o pedir apoyo ante la ocurrencia de un incidente, como por ejemplo entidades gubernamentales u organismos especializados.
Los grupos de interés son aquellos que te informan sobre nuevas vulnerabilidades o amenazas, y las noticias más actuales en cuanto a ciberseguridad. Nuestras Hacknews y Hackmeets pueden ayudarte a cumplir con esto 😉.
Gestión de protección de datos personalesLa ISO 27001 solicita un cumplimiento a alto nivel para la protección de datos personales, pero si deseas alinearte con regulaciones o leyes de tu país o en general, buscas un mayor cumplimiento en protección de datos, te recomendamos implementar, además de la ISO 27001, la ISO 27701.
Gestión de los dispositivos móviles y el teletrabajoLos dispositivos móviles que debes considerar son todos aquellos que utilizas para llevar a cabo tus funciones laborales, como por ejemplo equipos de cómputo, celulares, tablets, etcétera, los cuales pueden ser propiedad de la empresa o de los colaboradores.
Gestión de los recursos humanosEstos lineamientos impactan en tus procesos de reclutamiento, contratación y desvinculación de personal.
Gestión y clasificación de los activos de informaciónEsta sección considera la identificación, clasificación (es decir, el nivel de confidencialidad que requiere la información) y el etiquetado de activos. Así como también los métodos de saneamiento, eliminación y/o destrucción de los activos para mitigar posibles fugas o pérdidas de información.
Gestión de los riesgos de seguridadLa evaluación de riesgos es esencial para el cumplimiento normativo y ésta debe ser realizada con base a lo solicitado por la norma.
Gestión de los accesosLo más importante es que estos lineamientos te permitan evitar accesos no autorizados y mantener una adecuada segregación de funciones respecto a los roles y permisos que existen dentro de tus sistemas.
Gestión de contraseñas e información de autenticaciónLos criterios para generar contraseñas robustas y autenticar la identidad de un usuario son súper importantes para proteger tu información. ¡La concientización y la cultura de seguridad es muy importante para garantizar el cumplimiento de estos criterios!
Gestión de la criptografíaLos métodos criptográficos y protocolos de cifrado te ayudarán a preservar la confidencialidad de tu información durante su envío y/o almacenamiento haciendo que sea ilegible para personas no autorizadas.
Gestión de la seguridad físicaLos controles de seguridad física aplicarán a tu empresa si cuentas con instalaciones como oficinas propias o compartidas, un centro de procesamiento de datos o algo similar. Pero además pueden aplicarte si cuentas con servidores físicos que sean propiedad de la empresa y que se encuentren bajo su resguardo, si permites la impresión de documentos o si realizas alguna operación en sitio.
💡 Es muy importante recordar que, aunque la empresa no sea la propietaria de los centros de datos, los servidores o el hardware en general donde se almacena y procesa su información, es decir básicamente cuando tienen toda su infraestructura tecnológica montada en la nube, no significa que no tengan responsabilidades de seguridad sobre ella.
Además de monitorear el servicio del proveedor, de solicitarle o investigar sobre los controles de seguridad que utiliza, etcétera, la organización debe encargarse de aplicar las configuraciones adecuadas, la segregación de accesos correcta, los procesos alineados a las mejores prácticas, la construcción de la infraestructura, entre otras cosas para garantizar la protección de su información.
Dependiendo del proveedor de nube que manejes, puede variar un poquito, pero te recomendamos ampliamente consultar los modelos de responsabilidad compartida que proponen para sus servicios ☁️.
Gestión de la tecnología y las operacionesDentro del template sólo encontrarás el objetivo de la gestión y la referencia al documento donde se encuentran todos los lineamientos asociados. Recuerda que esto es para consolidar todos los temas en un solo documento para minimizar el esfuerzo de mantenimiento y actualización.
Gestión de la seguridad en los sistemas y aplicacionesLas soluciones que te solicitamos dentro del template son las mínimas indispensables para asegurar un nivel de protección adecuado, por lo que te recomendamos que si no cuentas con alguna, selecciones la que consideres más conveniente, y realices su instalación y configuración dentro de tus equipos.
Gestión de los registros de eventos (logs)Dentro del template sólo encontrarás el objetivo de la gestión y la referencia a los documentos donde se encuentran todos los lineamientos asociados. Recuerda que esto es para consolidar todos los temas en un solo documento para minimizar el esfuerzo de mantenimiento y actualización.
Gestión de las vulnerabilidades técnicasEl Ethical Hacking (que corresponde a la actividad 41 de nuestro plan de acción) toma mucha relevancia para el cumplimiento de los requisitos normativos en cuánto a la identificación de vulnerabilidades.
Además, la actividad 53 también será muy importante ya que es donde te solicitaremos el estado de remediación de las vulnerabilidades identificadas.
Gestión de la seguridad en las redesUna de las capas más importantes es la red, por lo que proteger el tráfico de información en las redes, ya sean internas o externas de la organización, es muy importante para la seguridad y el cumplimiento normativo.
Gestión del ciclo de vida del desarrolloYa sea que tu empresa desarrolle internamente o que tengan el desarrollo tercerizado, es súper importante verificar que se estén aplicando las mejores prácticas que propone la industria, ya que un código débil o desprotegido tendrá muchas más probabilidades de presentar brechas de seguridad y poner en riesgo tu información.
Gestión de las relaciones con los proveedoresEs esencial que conozcas las medidas de seguridad que tus proveedores implementan y las características del servicio que contrataste para evaluar si realmente cubren tus necesidades, porque aunque no sea tu responsabilidad garantizar que sus sistemas o servicios sean seguros, sí puedes tomar las decisiones adecuadas y cambiar de proveedor, si es necesario, para proteger tu información.
Aquí es importante considerar desde un proveedor “pequeño” hasta el más grande, como lo es un proveedor de nube.
Gestión de incidentes de seguridadSentar las bases para una adecuada gestión de incidentes de seguridad, considerando desde los criterios para su notificación, cómo debe ser analizado y atendido, las acciones de remediación y su comunicación, te permitirá mitigar los riesgos de seguridad y prevenir incidentes futuros.
💡 El reporte de posibles incidentes de seguridad por parte de colaboradores, clientes y proveedores te ayuda a generar evidencia de que estás obteniendo retroalimentación de tus partes interesadas, aportando al cumplimiento del requisito “9.3.2 Insumos para la revisión por la dirección” de ISO 27001.
Gestión de la continuidad del negocioAsegurar la continuidad de tus operaciones involucra muchos aspectos; requiere una comunicación efectiva, una asignación de responsables adecuados, una planificación pertinente y garantizar que los recursos que sean necesarios (humanos, físicos, tecnológicos), siempre estén disponibles.
Gestión del cumplimientoRecordemos que la normativa es una guía de mejores prácticas que te permite robustecer tu seguridad de la información, pero los requisitos legales y contractuales tienen un peso mayor, por lo que debes asegurarte que tu SGSI esté alineado con dichos requisitos.
Gestión de la inteligencia de amenazas de seguridadEste tema es particular de la versión 2022 de la norma, el cuál brinda mayor énfasis al análisis de las amenazas y vulnerabilidades que ponen en riesgo tu información.
Los avances tecnológicos van cada vez más rápido, y por ende se van descubriendo nuevas amenazas, vulnerabilidades, ataques y formas de operar de los ciberdelincuentes que nos fuerzan a crear e implementar mejores herramientas de seguridad.
¡Sabemos que parece mucha información, pero no te preocupes! Cómo bien te comentamos al inicio de este artículo, nuestro template está estructurado con los lineamientos necesarios para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Recuerda que debes adaptar la política a tus operaciones, no al revés ya que podría ser más compleja su implementación. El documento debe considerar las necesidades de seguridad específicas de la empresa y sus limitaciones.
La alta dirección debe expresar en todo momento su compromiso con el programa de seguridad, por lo que es importante su participación en la elaboración, revisión y mantenimiento de esta política.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.