¿Cómo definir una Política de Seguridad?




"Cerca del 40% de las empresas latinoamericanas no cuenta con políticas de ciberseguridad establecidas o no le ha comunicado a sus colaboradores que las tiene."
Fuente: Kaspersky en colaboración con la consultora de estudios de mercado CORPA.

Hablando de este tema específico y del que muchas personas tienen dudas, las políticas de seguridad no son directrices ni estándares, aunque está basado en ellos, y tampoco son procedimientos. 

Siendo más generales, una política de seguridad puede considerarse como los requisitos generales que van a determinar la forma en que se generará e implementará nuestro plan de ciberseguridad, componiendo los distintos elementos que vienen en ella. 

La política de seguridad define el objetivo principal en esta materia y es de suma importancia que se encuentren involucradas las personas de la alta dirección, ya que esto fomentará y transmitirá el compromiso que la empresa tiene con la seguridad a nivel de toma de decisiones.

La diferencia de la política y la implementación es importante ya que debes conocerla para aplicarla. 

Por ejemplo, si defines dentro de tu política un producto específico de un fabricante, estarás amarrando la seguridad y la política a una herramienta que probablemente en un corto plazo se vuelva obsoleta o sea superada por otras, es por eso que no sería recomendable que el objetivo de la seguridad se ligue a un producto o tecnología en concreto.

Pero, ¿cómo definir una Política de Seguridad?

Ahora te explicaré de forma básica, como debes conformar la política para poder empezar a documentar. Artículo Políticas de Ciberseguridad.


➤ Propósito. - ¿Por qué?

Este punto debe  incluir los motivos de la generación de la política, en otras palabras, qué se quiere controlar o qué riesgos mitigar específicamente.

➤ Alcance. - ¿Dónde?

Debe especificarse en qué puntos o áreas de la organización se aplicará la política, quién llevará a cabo los procedimientos que se implementarán y cómo será difundida a la organización.

➤ Descripción. ¿Qué?

Es la descripción de la política. Se debe detallar cuándo se debe de realizar, qué duración tendrá, las herramientas de las que se hará uso, etc. 

Con estos puntos, podríamos considerar una política bien detallada.

➤ Responsabilidades. ¿Quién?

Aquí deberás de detallar quién es el responsable de hacer cumplir la política, incluso podrían ser todas las personas que trabajan en la empresa.


Todos estos puntos deberán estar plasmados en un documento al que llamaremos Política de Seguridad, no es tan complejo como parece.


Aplicar la mejora continua a esta política te ayudará a garantizar que se encuentre vigente.

PDCA


De la política principal o también conocida como política general, se desprenden otras que son conocidas como complementarias. Si quieres saber más de este tema, visita nuestro Post "Políticas de seguridad".




#Ciberseguridad #easysec #easysecmx #politicasdeseguridad #normativas #cumplimiento #Cibersecurity #infosec #ISO27001

Publicar un comentario

0 Comentarios