Durante la lectura de este post conocerá mejor cómo debe realizar una política o un procedimiento de seguridad en el momento de implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.
Gracias a la experiencia y a los conocimientos que tenemos sobre este tema, podemos mostrarle los pasos que se deben de seguir y que pueden ser utilizados en cualquier tipo de empresa, independientemente de su actividad o tamaño. Asimismo, se pueden aplicar a otros tipos de Sistemas de Gestión que no tienen por qué estar relacionados con el estándar ISO 27001.
En primer lugar, debemos de estudiar los requisitos del sistema, es decir, tenemos que saber si hay alguna legislación que nos obligue a incluir algún elemento específico por escrito (como, por ejemplo, pudiera ser el contrato de un cliente). Igualmente, debemos conocer la legislación que nos influye y, sobre todo, los documentos con los que ya cuenta nuestra entidad. Sin olvidar, todos los requisitos de la norma ISO-27001, siempre y cuando se tenga la intención de cumplirlas.
En segundo lugar, debemos tener en cuenta todos los resultados recibidos del análisis de riesgos que determinará todos los temas que se deben abordar en el documento -hablamos del grado-, es decir, es probable que sea necesario clasificar la información de acuerdo a la confidencialidad.
Este último paso puede tener menor importancia dependiendo de si el procedimiento o la política no se encuentra relacionada con la seguridad de la información o la continuidad del negocio. Los principios de gestión de riesgos se pueden aplicar a distintas áreas de la empresa, como pueden ser:
- Gestión de la Calidad ISO 9001
- Gestión Ambiental ISO 14001, etc.
El siguiente y tercer paso es alinear y optimizar los documentos del Sistema de Gestión de Seguridad de la Información basado en la ISO 27001 ya que es fundamental conocer la cantidad total de documentos. Lo buen es administrar un solo documento, especialmente si el grupo de lectores se dirige al mismo. No es aconsejable redactar un documento de cien páginas ya que no se puede administrar de una forma coherente.
Es importante tener en cuenta el cuidar minuciosamente la alineación de los documentos con otros que se encuentren redactados de forma muy similar, ya que es posible definir los temas que ya han sido definidos en otro documento. Por ello, es muy importante conocer si se debe ampliar el documento ya existente o redactar uno nuevo.
En el caso de que tengamos que redactar un nuevo documento sobre un tema que ya se encuentre en otro, debes asegurarte de no repetirte y no escribir el mismo tema en los dos documentos. En este caso, sería una pesadilla actualizar los dos documentos. En el momento que sea necesario, es mucho mejor que un documento haga referencia a otro pero sin repetir lo mismo.
El cuarto paso sería el de la estructura del documento, es decir, la empresa tiene que definir un formato para todos sus documentos, debe tener disponible una plantilla con las fuentes, los encabezados, los pies de página, la distancia en los márgenes y demás aspectos predeterminados.
Los 7 pasos para implantar la política de seguridad y los procedimientos de un SGSI.
En el caso de que ya tenga implementada la norma ISO 27001, tiene que respetar el procedimiento para controlar los documentos. El tipo de procedimiento no define el formato en el que se debe encontrar el documento sino que genera las reglas para su aprobación, distribución, etc.
El quinto paso será el de redactar el documento. El criterio que debemos seguir es que cuanto más pequeña sea la organización y menores los riesgos, menos complejo será el documento. No nos sirve de nada redactar un extenso y completo documento que nadie leerá. Las personas que lean el documento, le prestarán la atención adecuada en función del tiempo del que dispongan y la cantidad de líneas que se encuentre.
Un buen sistema es involucrar a los empleados en la redacción o facilitándoles que aporten información a la hora de redactar el mismo. De esta forma, comprenderán lo necesario que es.
El sexto paso es conseguir la aprobación del documento ya que, una vez que esté redactado, lo importante es que se apruebe el documento. Además, se debe conocer quién es la persona con suficiente poder en la organización para poder aprobar el documento.
La persona con suficiente poder para aprobarlo debe comprenderlo, aprobarlo y requerir activamente su implementación. Parece un aspecto sencillo pero no lo es. Este paso es el que genera más fracasos durante la implementación.
El último paso que debemos seguir es la capacitación y la concienciación de sus empleados.
Este paso puede ser el más importante pero, por desgracia, es el que más se olvida. Los empleados deben encontrarse mucho más involucrados en el proceso ya que si solo reciben cambios que le van a hacer trabajar más no lo van a recibir con el suficiente interés.
Por todo esto, es fundamental explicarles a los trabajadores por qué es necesaria la política de seguridad de la información o los procedimientos. Tanto es así que es importante no solo para la organización sino también para todas las personas que trabajan en ésta.
De vez en cuando hace falta capacitar a los empleados ya que sería incorrecto que asumieran responsabilidades sin contar con la preparación y conocimientos necesarios.
Aunque parezca que se ha llegado al final de la implementación de sus documentos, no es así. No es suficiente contar con una política de seguridad y un procedimiento perfecto, sino que lo más importante es mantenerlo.
El documento debe ser actualizado y mejorado continuamente, y de eso, se tiene que responsabilizar alguien. Normalmente suele ser la misma persona que lo redacta.
No es suficiente con contar con una buena plantilla para poder redactar los documentos necesarios, sino que se necesita un enfoque sistemático para poder contar con la política de seguridad o los procedimientos exitosos. Lo necesario es realizar un enfoque sistemático a la hora de llevar a cabo la implementación del Sistema de Gestión de Seguridad de la Información según la norma ISO-27001.
Como conclusión debemos tener claro que el documento no es un fin en sí mismo, es solo una herramienta para poder realizar las actividades y los procesos sin problemas.
Tomado de: https://www.isotools.org/