En este artículo te explicaremos cómo usar nuestro template para que puedas terminar la actividad fácilmente 🚀.
💡Pro Tip: El área o persona responsable de realizar este documento es quién está a cargo del SGSI o programa de seguridad de tu empresa.
Explicación general del documento 💻
Este documento cuenta con las siguientes 5 secciones:
Portada
Página donde se encuentra el título y código del documento y generalmente el logo de la empresa.
👉Instrucciones
En esta sección encontrarás todas las instrucciones e información relevante sobre el llenado correcto de este documento.
Es de suma importancia que leas todo el contenido de esta sección detenidamente antes de comenzar.
1. Objetivo
En esta sección se indica qué es lo que el documento va a lograr dentro de la empresa.
2. Alcance
En esta sección se indican los procesos internos, las áreas funcionales y cualquier otro elemento de la empresa que será alcanzado o afectado por este documento.
3. Lineamientos
Esta sección contiene la información más importante del documento ya que corresponde a los lineamientos, criterios, requisitos, etcétera que deben ser aplicados dentro de la empresa.
4. Versionado
En esta sección se indica la información pertinente de elaboración y aprobación del documento para llevar un correcto control de versiones.
Ejemplos prácticos📝
A continuación te explicaremos el paso a paso de cómo usar nuestro template.
Para la sección de Portada
Debes colocar el logo de tu empresa para personalizar el documento.
Debes indicar el código del documento.
💡Pro Tip: Recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del documento.
Para la sección 1. Objetivo
Dentro del template encontrarás el siguiente texto:
Debes colocar el nombre de tu empresa y validar el ejemplo propuesto. De ser necesario, puedes ajustarlo a las necesidades y contexto de tu empresa.
Para la sección 2. Alcance
Dentro del template encontrarás el siguiente texto:
Debes validar el ejemplo propuesto y de ser necesario, ajustarlo a las necesidades y contexto de tu empresa.
Para la sección 3. Lineamientos
La estructura de esta sección se verá como la siguiente imagen:
Encontrarás títulos sin numeral, los cuales corresponden a las cláusulas de la ISO 27001.
Como puedes ver en la imagen anterior, este es el caso de “Contexto de la organización”, el cual equivale a la cláusula 4 de la ISO 27001.
Encontrarás también subtítulos, siguiendo la secuencia del número de la sección (es decir, la sección 3. Lineamientos), los cuales corresponden a los requisitos de la ISO 27001.
Este es el caso de “3.1 Comprender a la organización y su contexto”, el cual equivale al requisito 4.1 de la ISO 27001.
Es de suma importancia comprender el contenido de este documento.
Ahora sí, ¡vayamos paso a paso llenando el documento!
3.1 Comprender a la organización y su contexto
Debes colocar el nombre de tu empresa y comprender la información mostrada.
Continuando en el punto 3.1, dentro del template encontrarás la siguiente tabla que corresponde al análisis del entorno:
Debes revisar las recomendaciones propuestas y validar que sean aplicables al contexto de tu organización.
💡Pro Tip: Te sugerimos no borrar ningún elemento de la tabla a menos que sea muy necesario ya que éstas son las típicamente aplicables a cualquier organización. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa. Además, recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del documento.
Seguido de este análisis, dentro del template encontrarás la siguiente tabla que corresponde a un análisis FODA, es decir un análisis interno de la organización:
Debes revisar los ejemplos propuestos y ajustarlos al contexto de tu organización. Es decir que identifiques las fortalezas, debilidades, oportunidades y amenazas de tu empresa, enfocados principalmente en temas de seguridad de la información.
💡Pro Tip: Recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del documento. Para establecer más fácilmente tu análisis FODA te recomendamos hacerte las siguientes preguntas:
Fortalezas: ¿Qué está haciendo bien la empresa?
Debilidades: ¿Qué está haciendo mal la empresa?
Oportunidades: ¿Qué situaciones del entorno actual puede la empresa usar a su favor?
Amenazas: ¿Qué situaciones del entorno actual pueden afectar negativamente a la empresa?
3.2 Comprender a las partes interesadas
Lo primero que haremos en este apartado es identificar quiénes son las partes interesadas de tu SGSI dentro de la tabla que se muestra a continuación:
Debes agregar todas las partes interesadas que te parezcan pertinentes y que no se encuentren dentro del listado proporcionado.
Para el caso de los inversionistas (marcado en negro), debes validar si es aplicable a tu organización. En caso de no serlo, puedes eliminarlos de la tabla.
💡Pro Tip: Te sugerimos no borrar ninguna de las partes interesadas ya definidas en la tabla a menos que sea muy necesario ya que son las típicamente aplicables a cualquier organización. Además, recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del documento.
Una vez establecidas las partes interesadas, debemos identificar sus requerimientos dentro de los listados que se muestran a continuación (los cuales están divididos por parte interesada):
Debes agregar todos los requerimientos que te parezcan pertinentes y que no se encuentren dentro del listado proporcionado.
💡Pro Tip: Te sugerimos no borrar ninguno de los requisitos ya definidos en el template a menos que sea muy necesario ya que son los mínimos que puede tener cada parte interesada en cuanto a seguridad de la información.
Recuerda que, al igual que en la tabla anterior, si tu empresa no cuenta con inversionistas, puedes eliminar el apartado correspondiente a sus requerimientos:
3.3 Determinar el alcance del SGSI
Lo primero que encontrarás aquí son las características del negocio como lo puedes ver en la imagen siguiente:
Debes indicar los productos y/o servicios de tu empresa que son alcanzados por el SGSI.
💡Pro Tip: Te sugerimos considerar los servicios o productos relacionados al giro de tu empresa, por ejemplo:
Servicios legales.
Servicios financieros.
Servicios digitales.
Tarjetas de pago.
Plataforma de pagos.
Después, encontrarás la siguiente tabla:
Debes enlistar los procesos operativos de tu empresa que son alcanzados por el SGSI e indicar el área a la pertenecen.
💡Pro Tip: Te sugerimos considerar todas las áreas de la empresa involucradas en el SGSI, como lo son por ejemplo el área de Tecnología, Desarrollo, Recursos Humanos, etcétera. Con esto, puedes identificar más fácilmente los procesos asociados y enlistarlos.
Luego, encontrarás el apartado mostrado a continuación:
Debes indicar el país donde se encuentra la infraestructura, ya sea física o lógica, donde se llevan a cabo los procesos operativos alcanzados por el SGSI definidos anteriormente.
Debes colocar el enunciado que diseñaste en la actividad 1. Alcance del SGSI del plan de acción de Hackmetrix para que quede documentado correctamente.
Verifica muy bien esta información ya que si cuentas con una infraestructura lógica o física en más de un país, o tu SGSI alcanza productos y/o servicios con diferentes ubicaciones, deberás acotar tu programa de seguridad o bien, considerar una certificación para ambas locaciones.
💡Pro Tip: Es por lo anterior que te recomendamos que para una primera certificación tu alcance sea lo más acotado posible. Con próximas certificaciones, y cuando tu SGSI ya se encuentre más maduro, podrás seguir ampliando, ajustando e incluso acotando más este alcance.
Para terminar el punto 3.3, encontrarás el apartado que vemos a continuación:
Debes colocar una imagen del organigrama que realizaste o adaptaste en la actividad 2. Estructura de SI del plan de acción de Hackmetrix, donde incluiste los roles de seguridad de la información pertinentes para tu SGSI.
3.4 Sistema de gestión de la seguridad de la información
Este apartado es muy breve y se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y comprender la información mostrada.
💡Pro Tip: Recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del documento.
3.5 Liderazgo y compromiso
En este apartado se establecen las acciones que tomará la alta dirección en conjunto con los c-levels y personas con participación activa en el SGSI para demostrar liderazgo y compromiso. Éste se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar que todos los puntos mencionados son aplicados correctamente.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa.
3.6 Política general de seguridad de la información
Como bien lo dice su nombre, este párrafo corresponde a una política de seguridad de la información general (la cual es solicitada en las auditorías) y es importante mencionar que tiene un propósito diferente a la actividad 5. Política de Seguridad de la Información que tiene el plan de acción de Hackmetrix.
Dentro del template se ve de la siguiente manera:
Debes colocar el nombre de tu empresa.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa.
3.7 Roles, responsabilidades y autoridades
En este apartado se definen los lineamientos generales para la asignación de roles, responsabilidades y autoridades relacionadas al SGSI y se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar que todos los puntos mencionados son aplicados correctamente.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa.
3.8 Acciones para tratar los riesgos y oportunidades
Este apartado llega hasta el punto 3.8.3 y es aquí donde se establecen los lineamientos generales para implementar una planificación de gestión de riesgos. La primera parte se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar que todos los puntos mencionados son aplicados correctamente.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa. Además, recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del documento.
3.9 Objetivos de seguridad de la información y planificación para alcanzarlos
En este apartado se establecen los lineamientos para la definición de los objetivos de seguridad y la creación de los mismos. El apartado se ve de la siguiente manera:
Debes colocar el nombre de tu empresa.
Debes leer y comprender los requisitos a cumplir.
Debes establecer los objetivos de seguridad para tu SGSI.
💡Pro Tip: No debes borrar la información mostrada en el template ya que esos son los puntos requeridos por la norma. Además, recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del template.
Como puedes ver en la imagen anterior, dentro del template encontrarás un ejemplo de objetivo: Asegurar y mantener la confidencialidad, integridad y disponibilidad de la información de la empresa.
💡Pro Tip: Te sugerimos definir por lo menos tres objetivos de seguridad. Puedes mantener el ejemplo propuesto, ajustarlo o incluso eliminarlo si no es aplicable a tu empresa pero recuerda que es muy importante que cumplan con los objetivos descritos.
3.10 Recursos
Este apartado es muy breve, es aquí donde se establecen los lineamientos generales para la asignación de recursos y se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar la información.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa. Además, recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del template.
3.11 Competencia
Este apartado es muy breve, es aquí donde se establecen los lineamientos generales para la definición de las competencias necesarias que deben tener los colaboradores y se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar que todos los puntos mencionados son aplicados correctamente.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa. Además, recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del template.
3.12 Concientización
Este apartado es muy breve, es aquí donde se establecen los lineamientos generales de cómo se llevará a cabo la concientización sobre seguridad de la información dentro de la empresa y se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar que todos los puntos mencionados son aplicados correctamente.
Debes colocar el medio de comunicación por el cual se enviará la política de seguridad de la información a todos los colaboradores.
Si cuentan con un medio de comunicación formal dentro de la empresa, el cual puede ser por ejemplo correo electrónico, Slack, Teams o alguna otra herramienta, puedes indicarlo aquí.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa.
3.13 Comunicación
Este apartado es muy breve, es aquí donde se establecen los lineamientos generales de cómo deben llevarse a cabo las comunicaciones importantes dentro de la empresa y se ve de la siguiente manera:
Debes leer y comprender la información.
💡Pro Tip: No debes borrar la información mostrada en el template ya que esos son los puntos requeridos por la norma.
3.14 Información documentada
Este apartado llega hasta el punto 3.14.3 y es aquí donde se establecen los lineamientos generales para gestionar la documentación de la empresa que es generada por el SGSI. La primera parte se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar que todos los puntos mencionados son aplicados correctamente.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa. Además, recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del template.
3.15 Control y planificación operacional
Este apartado es muy breve y se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar la información.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa. Además, recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del template.
3.16 Evaluación de los riesgos de seguridad de la información
Este apartado es muy breve, es aquí donde se establecen los lineamientos generales para la evaluación de riesgos y se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar la información.
Debes indicar la frecuencia con la que se realizarán las evaluaciones de riesgos. Recuerda que deben ser por lo menos una vez al año.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa. Además, recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del template.
3.17 Tratamiento de los riesgos de seguridad de la información
Este apartado es muy breve, es aquí donde se establecen los lineamientos generales para el tratamiento de riesgos y se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar la información.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa.
3.18 Seguimiento, medición, análisis y evaluación
En este apartado se establecen los lineamientos generales para llevar un correcto seguimiento y mantenimiento de la implementación del SGSI dentro de la empresa y se ve de la siguiente manera:
Debes leer y comprender la información.
💡Pro Tip: No debes borrar la información mostrada en el template ya que esos son los puntos requeridos por la norma.
3.19 Auditorías internas
En este apartado se establecen los lineamientos generales para aplicar auditorías internas dentro de la empresa y se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar que todos los puntos mencionados son aplicados correctamente.
Debes indicar la frecuencia con la que se realizarán las auditorías internas. Recuerda que deben ser por lo menos una vez al año.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa. Además, recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del template.
3.20 Revisión por la alta dirección
En este apartado se establecen los lineamientos generales para asegurar una correcta revisión del SGSI por parte de la alta dirección y se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar que todos los puntos mencionados son aplicados correctamente.
Debes indicar la frecuencia con la que la alta dirección realizará las revisiones.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa. Además, recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del template.
3.21 No conformidad y acción correctiva
En este apartado se establecen las acciones que debe tomar la empresa ante no conformidades identificadas en auditorías y se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar que todos los puntos mencionados son aplicados correctamente.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa.
3.22 Mejora continua
Este apartado es muy breve y se ve de la siguiente manera:
Debes colocar el nombre de tu empresa y validar la información.
💡Pro Tip: Te sugerimos no borrar la información mostrada en el template a menos que sea muy necesario. Si lo consideras pertinente, puedes ajustarla e incluso añadir información con base al contexto y necesidades de tu empresa.
Para la sección 4. Versionado
Una vez terminado el documento:
Debes colocar el nombre y puesto de la(s) persona(s) que elaboraron y aprobaron el documento.
Debes colocar la fecha en la que se aprobó el documento.
Debes definir la clasificación de la información contenida en el documento.
💡Pro Tip: Recuerda leer los comentarios que te deja el equipo Hackmetrix dentro del template.
Recomendaciones ✅
Al terminar el documento, te sugerimos colocar su versión en el título.
Recuerda que este documento es uno de los más importantes ya que es la base con la que trabajarás la implementación del SGSI dentro de la empresa.
Para atender las auditorías más eficientemente te sugerimos seguir la numeración entre paréntesis que está dentro del template para cada apartado ya que recuerda que es tal cual el cruce con la norma.
Pon especial atención en estos puntos y tu documento estará listo. Cuándo hayas terminado, solicita la revisión desde la app de Hackmetrix y nuestro equipo te ayudará a validarlo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro soporte para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.