Hablando de este tema específico y del que muchas empresas y personas tienen dudas, las políticas de seguridad no son directrices ni estándares, aunque están basadas en ellos, y tampoco son procedimientos.

Siendo más generales, una política de seguridad puede considerarse como los requisitos generales que van a determinar la forma en que se generará e implementará nuestro plan de ciberseguridad, componiendo los distintos elementos que vienen de ella.

La política de seguridad define el objetivo principal en esta materia y es de suma importancia que se encuentren involucradas las personas de la alta dirección, ya que esto fomentará y transmitirá el compromiso que la empresa tiene con la seguridad a nivel de toma de decisiones.

La diferencia de la política y la implementación es importante ya que debes conocerla para aplicarla.

Por ejemplo, si defines dentro de tu política un producto específico de un fabricante, estarás amarrando la seguridad y la política a una herramienta que probablemente en un corto plazo se vuelva obsoleta o sea superada por otras, es por eso que no sería recomendable que el objetivo de la seguridad se ligue a un producto o tecnología en concreto.

¿Cómo definir una política de seguridad?

Ahora te explicare de una forma sencilla y básica, cómo puedes conformar una política de seguridad para tu organización y así proceder a documentarla.

➥ Propósito - ¿Por qué?

Este punto debe incluir los motivos de la generación de la política, en otras palabras, qué se requiere controlar o qué riesgos mitigar específicamente.

➥ Alcance - ¿Dónde?

Debe especificarse en qué puntos o áreas de la organización se aplicará la política, quién llevará a cabo los procedimientos que se implementarán y cómo será difundida a la organización.

➥ Descripción - ¿Qué?

Es la descripción de la política. Se debe detallar cuándo se debe realizar, qué duración tendrá, las herramientas de las que se hará uso, etc.

➥ Responsabilidades - ¿Quién?

Aquí deberás detallar quién es el responsable de hacer cumplir la política, incluso podrían ser todas las personas que trabajan en la empresa.

Todos estos puntos deberían estar plasmados en un documento al que llamaremos política de seguridad, no es tan complejo como parece. 

Aplicar la mejora continua a esta política te ayudará a garantizar que se encuentre vigente.

De la política principal o también conocida como política general, se desprenden otras que son conocidas como complementarias.

Si quieres conocer más de éste tema, visita nuestro artículo "políticas de seguridad".