👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.5.1.1, A.8.3.1, A.8.3.2, A.8.3.3, A.13.2.1, A.13.2.2
ISO 27001 en su versión 2022: A.5.1, A.5.14, A.7.10, A.8.10
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a establecer y documentar los lineamientos de seguridad necesarios para que el tratamiento de la información sea el más adecuado, garantizando su confidencialidad, integridad y disponibilidad en todo momento.
¿Qué tengo que hacer? 🚀
Para realizar esta actividad, primero debes identificar cuáles son las acciones de tratamiento que realizas con la información contenida en los documentos, archivos, sistemas, aplicaciones, TICs, etcétera usadas por la empresa.
Las acciones de tratamiento que te recomendamos incluir dentro de esta política son las siguientes:
Intercambio o transferencia. Esto puede ocurrir cuando la empresa cuenta con información, de la cual es propietaria, que requiere ser compartida con terceros. Los lineamientos de seguridad para este punto deben garantizar que la transferencia de información se realice por medios de comunicación seguros, que se utilicen métodos de autenticación, protocolos de cifrado, encriptación, entre otras cosas, para prevenir accesos, lecturas o modificaciones no autorizadas.
Si permites el uso de medios extraíbles como USB, discos duros, etcétera, debes documentar también el Procedimiento de Transferencia de Información por Medios Extraíbles.
Carga (o importación). Esto ocurre cuando se requiere cargar información dentro de algún sistema, servidor o base de datos, por lo que los lineamientos de seguridad para esta acción deben implementar métodos de cifrado adecuados que protejan la información durante todo el proceso de carga, e incluso durante todo el periodo de almacenamiento.
Almacenamiento. Como mencionamos en el punto anterior, es importante definir medidas de seguridad para proteger la información almacenada. Entre ellas, se debe implementar un adecuado control de accesos, generación de copias de seguridad, definir el periodo de almacenamiento permitido, el cual recomendamos que sea acordado con el dueño del activo y/o de la información, entre otros.
La generación de copias de seguridad debe estar alineada con el Procedimiento de Gestión de Backups definido por la empresa.
Eliminación. Esto puede ocurrir cuando la información pierde vigencia, o ya no es necesaria para la empresa. Y para ello se deben implementar métodos de borrado o eliminación segura, como por ejemplo el formateo del dispositivo, o en dado caso hasta su destrucción, la trituración de documentos, etcétera. Estos métodos tienen como objetivo prevenir el robo o recuperación de la información, sobre todo aquella que es confidencial o sensible para la empresa.
Los métodos de saneamiento y destrucción deben estar alineados a lo establecido en la Política de Seguridad de la Información.
💡 La eliminación de la información puede ser parcial o total, dependiendo del contexto y la necesidad correspondiente.
Además de todo lo mencionado anteriormente, considera que debes contar con mecanismos de recolección de información adecuados, alineados a las regulaciones y leyes locales, la protección de datos personales y los requisitos normativos.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Comienza identificando los formatos de información que tienen dentro de la empresa (físicos y digitales). Esto te puede ayudar mucho para definir los lineamientos más adecuados para su protección.
Complementa esta política con lo establecido en la Política de Seguridad de la Información, la Política de Tecnología y Operaciones de TI, y todos los procedimientos operativos pertinentes.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.