La redacción del documento de política de Seguridad de la Información según ISO 27001, suele ser una labor que genera controversia al interior de la organización. Y lo es, porque se tiende a creer que este documento, en cumplimiento de la norma, deben estar contemplados todos los aspectos que atañen a la seguridad de la información, de forma directa o indirecta.
Es importante saber que la misma norma dispone en forma precisa que debe incluir la política de Seguridad de la Información según ISO 27001. ¿Cuál es el propósito de este documento? ¿Cuáles son sus alcances y cuál su contenido?
¿Para qué sirve la política de Seguridad de la Información según ISO 27001?
Para algunas organizaciones, el concepto de Seguridad de laInformación no es claro aún. Al ser esto así, es obvio que se desconoce la importancia del mismo, y el papel que cumple en la protección de los intereses de la organización.
Así las cosas, el primer propósito que cumple la política de Seguridad de la Información según ISO 27001, es transmitir los objetivos que la alta dirección pretende alcanzar con la implementación del sistema.
Por supuesto, obtener un documento que resulte fácil de entender para las partes interesadas -sin que necesariamente ellas tengan que conocer los detalles intrínsecos del sistema, como los factores de evaluación del riesgo, o quiénes son los responsables directos del sistema -, es el segundo propósito del documento.
Qué debe incluir la política de Seguridad de la información según ISO 27001.
La norma no plantea grandes exigencias a la hora de elaborar el documento de política de Seguridad de la Información. Algunas de las observaciones relacionadas con el tema, y contenidas en la norma, son las siguientes:
Adaptabilidad
La organización no debe adaptarse a un documento. La política debe adaptarse a los requerimientos de la organización. Por ello, se descarta la opción de copiar el documento de otra organización, más aún, si tenemos en cuenta que son diferentes los requerimientos de un fabricante industrial que los de una gran tienda virtual.
Definición de los objetivos
El documento precisa definir los objetivos de seguridad de la información, su forma de aprobación y la manera en que han de ser revisados, sin entrar en detalles acerca de estos procesos.
Compromiso
Es tal vez la parte introductoria del documento. La Alta Dirección de la organización debe expresar sin lugar a dudas, su compromiso total con el sistema y con su propósito final, que no debe ser otro que cumplir con los requerimientos en materia de seguridad de la información de las partes interesadas en el sistema.
Comunicación
El documento debe establecer quién o quiénes son los encargados de comunicar a las partes interesadas los alcances y la evolución del sistema, no solo durante la implementación del mismo, sino en adelante, en la medida en que se presenten revisiones, actualizaciones o mejoras.
Revisiones
La política de Seguridad de la Información según ISO 27001, debe ser revisada en forma periódica, y estas revisiones, así como los responsables de las mismas, y los periodos de tiempo en los que se efectuarán, son temas que se deben incluir en el documento.
Es claro, a la luz de lo expuesto hasta este punto, que la política de Seguridad de la Información no debe ser un documento extenso que contenga los pormenores de los procesos, las verificaciones o las auditorías del sistema. Estos propósitos los cumplen otros documentos accesorios del sistema, como la política de control de acceso, la de uso aceptable o la de clasificación. Mayor brevedad, a veces, como en este caso, puede representar mayor precisión y claridad.