La Política de Seguridad en la norma ISO 27001

La Política de Seguridad de la Información debe establecer las directrices fundamentales que regirán todas las acciones relacionadas con la Seguridad de la Información dentro de la empresa. Desde la definición de los Procesos del Sistema de Gestión de la Seguridad de la Información, como en la determinación de los Objetivos de Seguridad que se establezcan.

La norma ISO 27001 establece explícitamente como requisito, la necesidad de definir una Política de Seguridad de la Información adecuada a las necesidades de la organización. Esto hace que en muchas ocasiones, se defina una Política de Seguridad únicamente para cumplir dicho requisito. Lo cual es un error, ya que puede ser utilizado como una herramienta de Liderazgo de la Dirección y de Concienciación para los empleados.

IMPORTANTE: La Política de Seguridad de la Información no tiene por que ser un documento en papel, ya que pese a formar parte de la Información Documentada del Sistema de Gestión de la Seguridad de la Información, se pueden utilizar otros soportes que faciliten su posterior difusión y distribución. Una presentación grabada en video o una página del sitio web de la empresa, son soportes válidos.

Requisitos de la Política de Seguridad

La Política de Seguridad de la Información deberá cumplir unos requisitos básicos para ser conforme a la norma ISO 27001. Éstos fijan unos contenidos mínimos que la Política debe incluir, y que siempre tienen que aparecer. Pero más que ser un problema, sirven de ayuda para tener una base sobre la cual definir el marco de referencia sobre el que trabajará el Sistema de Gestión de la Seguridad de la Información.

Los requisitos mínimos que debe cumplir nuestra Política de Seguridad de la Información, son:

1. Ser apropiada a la organización: La Política de Seguridad de la Información debe de ser coherente con los Activos de Información de la empresa, así como con los Riesgos y Amenazas de su entorno. Definir una Política de Seguridad muy genérica o sin contenido, hace que sea un documento inservible para la organización, y esta misma idea se asocie a todo el Sistema de Gestión.
2. Servir de referencia a los Objetivos: Los Objetivos del Sistema de Gestión, deben estar alineados con la Política de Seguridad de la Información. De tal forma, que si se indica la prioridad de garantizar la seguridad de los datos de los clientes, un objetivo coherente será reducir el número de incidencias de éste tipo.
3. Cumplir los compromisos aplicables: En la Política de Seguridad de la Información se deberá indicar el compromiso de la Dirección en cumplir los requisitos que le apliquen en esta materia. Tanto los requisitos legales que nos afecten o los compromisos adquiridos con sus clientes u otras partes interesadas.
4. Garantizar la mejora continua: Todo Sistema de Gestión de Seguridad de la Información está obligado a aplicar el ciclo de mejora continua en todos sus procesos. La Dirección tiene que comprometerse a aplicar acciones de mejora continua en la Política de Seguridad de la Información.

IMPORTANTE: La Política de Seguridad de la Información es un documento vivo, por lo que se debe revisar de manera periódica para que sea adecuada a las necesidades de la organización en cada momento. Los cambios internos o del entorno, la aparición de nuevas amenazas, el desarrollo de nuevas líneas de negocio en otros mercados, o trabajar para nuevos clientes... pueden ser motivos para requerir una actualización.

Comunicación de la Política de Seguridad

Otro requisito de la norma ISO 27001, es el deber de comunicar correctamente la Política de Seguridad de la Información dentro de organización, y de ponerla a disposición del resto de las Partes Interesadas cuando se considere necesario. Para realizar esta comunicación, podemos utilizar los siguientes canales:

1. Sitio web corporativo: Utilizar la intranet de la empresa para realizar la comunicación interna, y publicarla en el sitio web de la organización para su puesta a disposición de las Partes Interesadas, suele ser la solución más sencilla y eficiente.
2. Tablón de anuncios: Si no disponemos de intranet, es la solución más clásica para la consulta de los empleados. Lo malo es que la falta de espacio en el tablón de anuncios, puede hacer que esta quede tapada o sea eliminada por error. O que si se publica en varios tablones, quede alguna versión obsoleta publicada.
3. Formaciones internas: Las nuevas incorporaciones de la empresa, suelen recibir una formación básica sobre la Seguridad de la Información, y es donde se explica la Política de Seguridad. Para el resto de empleados: las formaciones de reciclaje, charlas de concienciación o reuniones departamentales, son buenas ocasiones para recordar su contenido e importancia.
4. Comunicados de la Dirección: Los canales habituales utilizados por la Dirección para la comunicación con los empleados (circulares, cartas, comunicados...), son perfectos para la notificación de una versión de la Política de Seguridad de la Información. Además reforzará el Liderazgo de la Dirección en la Gestión de la Seguridad.
5. Newsletters, revistas, catálogo de productos: Cuando la comunicación va dirigida a clientes, proveedores, colaboradores, accionistas... se pueden utilizar estos otros canales para difundir la Política de Seguridad de la Información entre estas otras Partes Interesadas.

IMPORTANTE: La Política de Seguridad de la Información debe ser conocida por todos los empleados de la empresa. Y no sólo deben saber cómo localizarla, sino que deben entenderla y ser capaces de explicar cómo influye en su trabajo. Por eso es fundamental que la Política utilice un vocabulario adecuado a cualquier nivel cultural, y que esté traducida a los idiomas que se considere necesario para cumplir su misión.

RECOMENDACIÓN: Si es la primera vez que vas a definir una Política de Seguridad de la Información, y no sabes por dónde empezar, tienes dos opciones para "inspirarte". La primera es adaptar o ampliar la Política de Gestión de otra norma en la que la empresa esté certificada (ISO 9001, ISO 14001...), muy apropiado en Sistemas de Gestión Integrados. La otra es buscar en internet las políticas de otras empresas certificadas en la ISO 27001, y si son del mismo sector y actividad mucho mejor. Pero recuerda: NO LAS COPIES. Ya que cada Política está personalizada a cada organización, y cada una funciona de manera muy distinta.