Citando la norma ISO 27001:

Objetivo 1:
Proporcionar orientación y apoyo de la dirección para la seguridad de la información, de acuerdo con los requisitos del negocio y con las regulaciones y leyes pertinentes

Controles:

  • 5.1.1 Políticas para la seguridad de la información
  • 5.1.2 Revisión de las políticas de seguridad de la información

 5.1.1 Políticas para la seguridad de la información

Este control requiere que se definan políticas de la seguridad de la información:

  • Sean aprobadas por la dirección
  • Deben publicarse y comunicarse a los empleados y partes externas pertinentes

Una buena recomendación

La comunicación de las políticas debe realizarse a todos los niveles, no solo al nivel de los directivos y responsables

El objetivo de la Seguridad de la información pasa por involucrar a toda la organización en esta tarea

En el apartado Comunicación y sensibilización en el SGSI encontrara información valiosa para abordar este punto tan importante

Algunos ejemplos de políticas de Seguridad pueden ser:

  • Política de control de acceso
  • Política de clasificación y manejo de la información
  • Política de seguridad física y ambiental (ver 11)
  • Política de temas finales orientados al usuario, tales como:
    • Política de uso aceptable de activos
    • Política de escritorio y pantalla limpios
    • Política de transferencia de información
    • Política de dispositivos móviles y teletrabajo
    • Política de restricciones a las instalaciones y uso del software
    • Política de copia de seguridad
    • Política de transferencia de información
    • Política de protección contra software malicioso
    • Política de gestión de vulnerabilidades
    • Política de controles criptográficos
    • Política de seguridad de las comunicaciones
    • Política de privacidad y protección de la información personal identificable
    • Política de relación con los proveedores

5.1.2 Revisión de las políticas de seguridad de la información

Las políticas de la Seguridad de la información deben adaptarse continuamente a las necesidades y cambios de la organización por lo que no pueden permanecer estáticas.

Se trata entonces de mantener actualizada la política de la seguridad de la información. Para ello es interesante tener en cuenta algunas recomendaciones

Algunos consejos prácticos

Desarrollar una política con distintos documentos con una estructura jerárquica:

  • Una política general de la alta dirección para expresar el compromiso de toda la organización con la seguridad de la información
  • Otras políticas definidas por departamentos o áreas de la organización
  • Instrucciones técnicas o documentos de aplicabilidad de las políticas definidas en las políticas especificas

Como desarrollar esta estrategia podemos verlo de forma detallada en: