ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 13 min de lectura · Intermedio

Cómo hacer una buena política de seguridad de la información y ciberseguridad

Guía para desarrollar políticas efectivas de seguridad de la información alineadas con ISO/IEC 27001:2022.

Descargar la plantilla

Introducción

En el entorno empresarial contemporáneo, la protección de los activos de información ha evolucionado de ser una preocupación técnica a un pilar estratégico esencial para cualquier organización. La reciente actualización de la norma ISO/IEC 27001:2022 resalta la necesidad de integrar la seguridad de la información en todos los niveles operativos y estratégicos. Crear una política general de seguridad de la información que cumpla con esta norma implica más que cumplir con un conjunto de requisitos; requiere una comprensión profunda de los riesgos específicos que enfrenta su organización y una alineación con sus objetivos comerciales. En este artículo, exploraremos detalladamente cómo desarrollar una política efectiva y personalizada, basada en los principios de ISO 27001:2022, que fortalezca la resiliencia de su organización frente a las amenazas actuales y futuras.

En el modelo de calidad ISO 9001, se emplea una variedad de documentos para garantizar la eficacia del Sistema de Gestión de la Calidad (SGC) y demostrar el cumplimiento de los requisitos de la norma. Los principales tipos de documentos utilizados son:

  1. Política de Calidad: Declara el compromiso de la organización con la calidad y establece las directrices y objetivos generales en este ámbito.

  2. Objetivos de Calidad: Metas específicas y medibles que la organización se propone alcanzar para mejorar continuamente su desempeño.

  3. Procedimientos Documentados: Descripciones detalladas de cómo se llevan a cabo los procesos clave dentro del SGC. Aunque la ISO 9001:2015 es menos prescriptiva en cuanto a la documentación, es esencial mantener procedimientos claros para asegurar la consistencia.

  4. Manual de Calidad: Un documento que solía ser obligatorio pero que ahora es opcional. Describe el alcance del SGC, los procesos involucrados y cómo interactúan entre sí.

  5. Instrucciones de Trabajo: Guías detalladas para realizar tareas específicas, asegurando que se sigan los pasos correctos para mantener la calidad.

  6. Registros de Calidad: Evidencia documental de las actividades realizadas y resultados obtenidos, como registros de inspecciones, auditorías internas, acciones correctivas y preventivas.

  7. Planes de Calidad: Documentos que especifican los recursos y actividades necesarios para lograr los objetivos de calidad en proyectos o procesos específicos.

  8. Mapas de Procesos y Diagramas de Flujo: Representaciones visuales que ayudan a entender y gestionar los procesos y sus interacciones dentro del SGC.

  9. Evaluación de Riesgos y Oportunidades: Documentación que identifica y analiza riesgos potenciales y oportunidades de mejora, alineada con el enfoque de pensamiento basado en riesgos de la norma.

  10. Registros de Formación y Competencia: Documentos que evidencian la capacitación y habilidades del personal, asegurando que sean competentes para sus roles.

  11. Informes de Auditoría Interna: Resultados y hallazgos de las auditorías realizadas para verificar la conformidad y eficacia del SGC.

  12. Actas de Revisión por la Dirección: Registros de reuniones donde la alta dirección evalúa el desempeño del SGC y toma decisiones estratégicas.

  13. Registros de Comunicación: Documentación de comunicaciones internas y externas relevantes para el SGC.

  14. Control de Documentos y Registros: Procedimientos para gestionar la creación, revisión, aprobación, distribución y almacenamiento de documentos y registros.

  15. Registros de Control de Proveedores: Información sobre la evaluación, selección y monitoreo de proveedores para asegurar que cumplan con los requisitos de calidad.

ISO 27.001

En la norma ISO 27.001, que se enfoca en los Sistemas de Gestión de Seguridad de la Información (SGSI), se utilizan diversos tipos de documentos para asegurar la confidencialidad, integridad y disponibilidad de la información. Estos documentos son esenciales para implementar, mantener y mejorar continuamente el SGSI. Los principales tipos de documentos son:

  1. Alcance del SGSI: Define los límites y la aplicabilidad del sistema de gestión de seguridad de la información dentro de la organización.

  2. Política de Seguridad de la Información: Un documento de alto nivel que establece el compromiso de la organización con la seguridad de la información y proporciona directrices para su gestión.

  3. Metodología de Evaluación de Riesgos: Describe el enfoque utilizado para identificar, analizar y evaluar los riesgos relacionados con la seguridad de la información.

  4. Informe de Evaluación de Riesgos: Resultados detallados de la identificación y análisis de riesgos, incluyendo vulnerabilidades, amenazas y el nivel de riesgo asociado.

  5. Plan de Tratamiento de Riesgos: Especifica las acciones planificadas para gestionar los riesgos identificados, incluyendo la selección de controles adecuados.

  6. Declaración de Aplicabilidad (SoA): Lista de todos los controles del Anexo A de ISO 27001, indicando cuáles son aplicables y proporcionando justificación para su inclusión o exclusión.

  7. Objetivos de Seguridad de la Información: Metas específicas y medibles que la organización se propone alcanzar para mejorar su postura de seguridad.

  8. Procedimientos y Políticas de Seguridad: Documentación detallada que describe cómo se implementan y gestionan los controles y procesos de seguridad.

  9. Inventario de Activos: Lista completa de los activos de información, incluyendo hardware, software, datos y otros recursos relevantes, junto con sus propietarios.

  10. Clasificación de la Información: Procedimientos para clasificar la información según su nivel de sensibilidad y establecer controles apropiados para su protección.

  11. Control de Acceso: Políticas y procedimientos que definen cómo se gestionan los derechos de acceso de los usuarios a los activos de información.

  12. Procedimientos de Gestión de Incidentes: Instrucciones para identificar, reportar, gestionar y resolver incidentes de seguridad de la información.

  13. Planes de Continuidad del Negocio y Recuperación ante Desastres: Estrategias y acciones planificadas para asegurar la continuidad de las operaciones críticas en caso de interrupciones.

  14. Registros de Formación y Competencia: Evidencia de la capacitación del personal y su competencia para desempeñar funciones relacionadas con la seguridad de la información.

  15. Informes de Auditoría Interna: Documentación de las auditorías realizadas al SGSI para evaluar su conformidad y eficacia.

  16. Actas de Revisión por la Dirección: Registros de las reuniones en las que la alta dirección revisa el desempeño del SGSI y toma decisiones estratégicas.

  17. Registros de Acciones Correctivas y Preventivas: Documentación de las no conformidades identificadas y las acciones tomadas para corregirlas y prevenir su recurrencia.

  18. Evaluación y Cumplimiento Legal y Regulatorio: Documentos que detallan cómo la organización cumple con las leyes, regulaciones y requisitos contractuales aplicables.

  19. Procedimientos de Gestión de Proveedores: Políticas para evaluar y gestionar la seguridad de la información en las relaciones con terceros y proveedores.

  20. Registros de Monitoreo y Medición: Datos y análisis sobre el desempeño de los controles de seguridad y el logro de los objetivos establecidos.

  21. Control de Documentos y Registros: Procedimientos para asegurar que los documentos y registros del SGSI se gestionen adecuadamente, incluyendo su creación, revisión, aprobación, distribución y almacenamiento.

  22. Evaluación de Riesgos y Oportunidades: Documentación que identifica y analiza los riesgos potenciales y las oportunidades de mejora en el contexto de la seguridad de la información.

Estos documentos son fundamentales para demostrar el cumplimiento de los requisitos de ISO 27001 y para garantizar que el SGSI sea efectivo y se mantenga actualizado. Además, facilitan la comunicación interna, la capacitación del personal y la mejora continua de los procesos relacionados con la seguridad de la información.

Desarrollo

La definición precisa del alcance y los procesos es fundamental para el éxito de un Sistema de Gestión de Seguridad de la Información (SGSI) bajo la norma ISO 27001.

Importancia de definir bien el alcance:

  • Protección adecuada de los activos: Al especificar claramente qué información, sistemas y procesos están cubiertos por el SGSI, se asegura que todos los activos críticos reciban la atención y protección necesarias.

  • Enfoque estratégico: Un alcance bien definido permite a la organización centrar sus esfuerzos y recursos en las áreas más vulnerables o de mayor impacto para la seguridad de la información.

  • Cumplimiento normativo y legal: Ayuda a garantizar que todos los requisitos legales y reglamentarios relevantes se aborden adecuadamente dentro del SGSI, evitando sanciones y daños a la reputación.

  • Comunicación clara: Proporciona a las partes interesadas internas y externas una comprensión clara de los límites del SGSI, generando confianza en las medidas de seguridad implementadas.

Importancia de definir bien los procesos:

  • Identificación y gestión de riesgos: Comprender detalladamente los procesos permite identificar vulnerabilidades y amenazas específicas, facilitando la implementación de controles efectivos.

  • Estandarización y consistencia: Documentar y estandarizar los procesos asegura que las prácticas de seguridad se apliquen de manera uniforme, reduciendo la posibilidad de errores humanos o brechas de seguridad.

  • Respuesta eficiente a incidentes: Procesos bien definidos permiten una detección rápida y una respuesta organizada ante incidentes de seguridad, minimizando el impacto en las operaciones y en la información confidencial.

  • Mejora continua: Al monitorear y evaluar constantemente los procesos, la organización puede identificar oportunidades para fortalecer su postura de seguridad y adaptarse a nuevas amenazas o cambios tecnológicos.

  1. Propósito y Alcance de la Política

Establece el objetivo principal de la política de seguridad de la información y define su alcance dentro de la organización. Esto incluye todos los sistemas, servicios, procesos y empleados que manejan o tienen acceso a la información de la empresa. La política busca proteger la confidencialidad, integridad y disponibilidad de la información, alineándose con los objetivos estratégicos de la organización y cumpliendo con las normativas legales aplicables.

  1. Declaración de Compromiso de la Dirección

La alta dirección expresa su compromiso con la implementación y mejora continua del Sistema de Gestión de Seguridad de la Información (SGSI). Se reconoce la importancia de la seguridad de la información como parte integral de las operaciones comerciales y se asegura el suministro de recursos necesarios para cumplir con los objetivos de seguridad establecidos.

  1. Roles y Responsabilidades

Se detallan las responsabilidades de cada uno de los roles involucrados en la seguridad de la información:

Alta Dirección:

  • Liderazgo y Compromiso: Demostrar liderazgo y compromiso con el SGSI, asegurando su integración en todos los procesos organizacionales.

  • Definición de Políticas: Establecer, aprobar y revisar las políticas de seguridad de la información, garantizando su alineación con los objetivos estratégicos de la organización.

  • Asignación de Recursos: Proporcionar los recursos necesarios (humanos, tecnológicos y financieros) para implementar y mantener el SGSI.

  • Cultura de Seguridad: Fomentar una cultura organizacional que valore la seguridad de la información, promoviendo buenas prácticas y comportamientos seguros.

  • Revisión y Mejora Continua: Participar en revisiones periódicas del SGSI para evaluar su eficacia y promover mejoras continuas.

  • Responsable de Seguridad de la Información (CISO o Función Equivalente):

  • Gestión del SGSI: Diseñar, implementar y gestionar el SGSI conforme a los requisitos de la ISO/IEC 27001:2022.

  • Evaluación de Riesgos: Coordinar la identificación y evaluación de riesgos de seguridad, desarrollando planes de tratamiento apropiados.

  • Desarrollo de Procedimientos: Establecer procedimientos y controles de seguridad para proteger los activos de información.

  • Concientización y Formación: Liderar programas de formación y concientización en seguridad de la información para todo el personal.

  • Reporte a la Dirección: Informar regularmente a la alta dirección sobre el desempeño del SGSI y los incidentes relevantes.

Empleados y Colaboradores:

  • Cumplimiento de Políticas: Conocer y cumplir todas las políticas, procedimientos y directrices de seguridad de la información de la organización.

  • Protección de Información: Manejar la información con cuidado, evitando divulgaciones no autorizadas y protegiendo contra accesos indebidos.

  • Participación Activa: Participar en programas de formación y estar atentos a las comunicaciones sobre seguridad.

  • Reporte de Incidentes: Notificar de inmediato cualquier incidente o sospecha que pueda comprometer la seguridad de la información.

  • Uso Responsable de Recursos: Utilizar los sistemas y recursos de información de manera ética y conforme a las políticas establecidas.

Responsable de Seguridad de la Información (CISO o Función Equivalente):

  • Gestión del SGSI: Diseñar, implementar y gestionar el SGSI conforme a los requisitos de la ISO/IEC 27001:2022.

  • Evaluación de Riesgos: Coordinar la identificación y evaluación de riesgos de seguridad, desarrollando planes de tratamiento apropiados.

  • Desarrollo de Procedimientos: Establecer procedimientos y controles de seguridad para proteger los activos de información.

  • Concientización y Formación: Liderar programas de formación y concientización en seguridad de la información para todo el personal.

  • Reporte a la Dirección: Informar regularmente a la alta dirección sobre el desempeño del SGSI y los incidentes relevantes.

  1. Comité Directivo de Gestión de Seguridad de la Información y CiberseguridadComposición:

El Comité Directivo está integrado por miembros de la alta dirección y líderes estratégicos de la organización:

  • Director General (CEO): Proporciona liderazgo estratégico y asegura el alineamiento con los objetivos de negocio.

  • Director de Tecnología (CTO) o Director de Sistemas de Información (CIO): Supervisa las estrategias tecnológicas y su alineación con la seguridad.

  • Responsable de Seguridad de la Información (CISO): Lidera las iniciativas de seguridad y presenta informes sobre el estado del SGSI.

  • Directores de Unidades de Negocio Clave: Representan las necesidades y riesgos específicos de sus áreas.

  • Director de Recursos Humanos: Aporta conocimiento sobre gestión del personal y formación en seguridad.

  • Director de Cumplimiento (Compliance Officer) o Asesor Legal: Asegura el cumplimiento de leyes, regulaciones y normativas aplicables.

  • Director de Gestión de Riesgos: Especialista en identificar y gestionar riesgos empresariales.

Responsabilidades:

  • Definición de Estrategia: Establecer la visión, misión y objetivos estratégicos para la seguridad de la información y ciberseguridad.

  • Aprobación de Políticas: Revisar y aprobar políticas y procedimientos de seguridad de la información.

  • Asignación de Recursos: Garantizar recursos suficientes (financieros, humanos y tecnológicos) para el SGSI.

  • Supervisión del SGSI: Monitorear el desempeño y eficacia del SGSI mediante revisiones periódicas.

  • Gestión de Riesgos: Evaluar y decidir sobre riesgos significativos y su tratamiento.

  • Cumplimiento Normativo: Asegurar el cumplimiento con leyes, regulaciones y estándares como ISO/IEC 27001:2022.

  • Promoción de Cultura de Seguridad: Fomentar una cultura organizacional centrada en la seguridad de la información.

Operativa:Reuniones: Realizar reuniones trimestrales o según se requiera para abordar temas críticos.

Comunicación: Establecer canales de comunicación eficaces con el Comité Técnico y otras partes interesadas.

Toma de Decisiones: Basar las decisiones en informes y recomendaciones proporcionados por el Comité Técnico y otros expertos.

  1. Comité Técnico de Seguridad de la Información y CiberseguridadComposición:

El Comité Técnico está compuesto por especialistas operativos y técnicos:

  • Responsable de Seguridad de la Información (CISO): Coordina el comité y asegura la implementación de políticas.

  • Gerentes de Seguridad de TI: Responsables de seguridad en redes, sistemas y aplicaciones.

  • Especialistas en Seguridad: Expertos en criptografía, gestión de identidades, análisis de vulnerabilidades, etc.

  • Representantes de Unidades de Negocio: Para integrar necesidades operativas y riesgos específicos.

  • Representantes de Gestión de Riesgos: Aportan perspectiva en identificación y mitigación de riesgos.

  • Representantes de Cumplimiento y Auditoría Interna: Aseguran el cumplimiento técnico y normativo.

  • Personal de Operaciones de TI: Encargados de infraestructura y soporte técnico.

Especialistas en Continuidad del Negocio y Recuperación de Desastres.

Responsabilidades:

  • Implementación de Controles: Aplicar las políticas y controles aprobados por el Comité Directivo.

  • Gestión de Incidentes: Coordinar la respuesta a incidentes de seguridad y ciberataques.

  • Monitoreo y Vigilancia: Supervisar sistemas y redes para detectar amenazas y vulnerabilidades.

  • Evaluación de Riesgos Técnicos: Realizar análisis detallados y proponer medidas de mitigación.

  • Actualización Tecnológica: Investigar e implementar nuevas tecnologías y soluciones de seguridad.

  • Formación Técnica: Capacitar al personal técnico y usuarios en prácticas seguras.

  • Reporte al Comité Directivo: Informar sobre el estado de la seguridad y proponer mejoras.

  • Cumplimiento Técnico: Asegurar la conformidad con estándares y regulaciones técnicas.

Operativa:

  • Reuniones: Realizar reuniones mensuales o con mayor frecuencia si es necesario.

  • Documentación: Mantener registros detallados de las reuniones, decisiones y acciones tomadas.

  • Colaboración: Trabajar estrechamente con otros departamentos y equipos para implementar medidas de seguridad.

Coordinación entre los ComitésComunicación Fluida: Establecer canales de comunicación claros para compartir información relevante.

Alineación Estratégica: Asegurar que las acciones del Comité Técnico estén alineadas con las directrices del Comité Directivo.

Retroalimentación Continua: El Comité Directivo proporciona orientación y el Comité Técnico informa sobre avances y desafíos.

  1. Evaluación y Tratamiento de Riesgos

Describe el proceso sistemático para identificar, analizar y evaluar los riesgos relacionados con la seguridad de la información. Se establecen criterios para aceptar riesgos y se definen planes de tratamiento para mitigarlos, evitando o reduciendo su impacto en la organización.

  1. Controles de Seguridad de la Información

Se enumeran y describen los controles de seguridad que la organización implementará, alineados con las categorías de controles establecidas en la ISO/IEC 27001:2022:

  • 5.1 Políticas de Seguridad de la Información: Directrices y reglas para gestionar la seguridad.

  • 5.2 Organización de la Seguridad de la Información: Estructura para gestionar y coordinar la seguridad.

  • 5.3 Seguridad de los Recursos Humanos: Medidas antes, durante y después del empleo.

  • 5.4 Gestión de Activos: Inventario y protección de activos de información.

  • 5.5 Control de Acceso: Restricción y gestión de accesos a la información.

  • 5.6 Criptografía: Uso de controles criptográficos para proteger la información.

  • 5.7 Seguridad Física y Ambiental: Protección de las instalaciones y equipos.

  • 5.8 Seguridad en las Operaciones: Procedimientos para asegurar las operaciones diarias.

  • 5.9 Seguridad en las Comunicaciones: Protección de la información en redes y transferencias.

  • 5.10 Adquisición, Desarrollo y Mantenimiento de Sistemas: Seguridad en el ciclo de vida de los sistemas.

  • 5.11 Relaciones con Proveedores: Gestión de riesgos asociados a terceros.

  • 5.12 Gestión de Incidentes de Seguridad de la Información: Procesos para gestionar y responder a incidentes.

  • 5.13 Aspectos de Seguridad de la Información en la Gestión de la Continuidad del Negocio: Preparación y respuesta ante interrupciones.

  • 5.14 Cumplimiento: Asegurar el cumplimiento de requisitos legales y contractuales.

  1. Gestión de Incidentes de Seguridad

Establece procedimientos para la identificación, reporte y manejo de incidentes de seguridad. Incluye la notificación a las partes interesadas, investigación de causas raíz y acciones correctivas para prevenir recurrencias.

  1. Formación y Concientización

Implementa programas de capacitación periódicos para todos los empleados, promoviendo una cultura de seguridad. Se enfatiza la responsabilidad individual en la protección de la información y se proporcionan recursos para mantenerse actualizados sobre mejores prácticas.

  1. Gestión de la Continuidad del Negocio

Describe las estrategias y planes para garantizar que las operaciones críticas puedan mantenerse o restaurarse rápidamente en caso de interrupciones. Incluye análisis de impacto al negocio y pruebas regulares de los planes de continuidad.

  1. Evaluación y Mejora Continua

Establece procesos para monitorear, medir y evaluar la eficacia del SGSI. Incluye auditorías internas, revisiones por la dirección y mecanismos para incorporar mejoras basadas en los resultados y cambios en el entorno de amenazas.

  1. Cumplimiento Legal y Contractual

Asegura que todas las actividades relacionadas con la información cumplan con las leyes, regulaciones y obligaciones contractuales aplicables. Establece procedimientos para mantenerse actualizado sobre cambios legislativos y asegurar el cumplimiento continuo.

  1. Revisión y Actualización de la Política

Define la periodicidad y los responsables de revisar y actualizar la política de seguridad de la información. Esto garantiza que la política se mantenga relevante y efectiva frente a cambios internos y externos.

  1. Disposiciones Finales

Detalla las consecuencias del incumplimiento de la política y proporciona información sobre cómo reportar violaciones o inquietudes. Incluye la fecha de vigencia de la política y es firmada por la alta dirección, reforzando el compromiso organizacional con la seguridad de la información.

Conclusiones

La implementación efectiva de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001 depende en gran medida de una documentación detallada y bien estructurada. Los diversos documentos, desde la política de seguridad de la información hasta los procedimientos de gestión de incidentes y los registros de auditoría interna, son esenciales para establecer un marco sólido que garantice la confidencialidad, integridad y disponibilidad de la información. Esta documentación no solo facilita el cumplimiento de los requisitos normativos y legales, sino que también promueve una cultura organizacional enfocada en la seguridad y la mejora continua. Al mantener una gestión documental adecuada, las organizaciones pueden identificar y mitigar riesgos de manera proactiva, asegurar la continuidad del negocio y fortalecer la confianza de las partes interesadas.

Referencias

International Organization for Standardization. (2022). ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. ISO. https://www.iso.org/standard/82875.html

ISO 27001 Institute. (s. f.). Documentación requerida por ISO 27001. Recuperado el 5 de noviembre de 2024, de https://www.iso27001institute.org/es/documentacion-requerida

Pérez, J. (2021). Implementación práctica de ISO 27001: Guía paso a paso. Editorial Seguridad Informática.

TechTarget. (s. f.). ISO 27001 mandatory documents. Recuperado el 5 de noviembre de 2024, de https://www.techtarget.com/searchsecurity/definition/ISO-27001

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo