ISO 27001 2013: La claves para redactar la política de seguridad

ISO 27001 2013

Es posible que si ha decidido implementar la norma ISO 27001 2013 deba redactar una política de seguridad como establecen los requisitos de dicha norma. Es muy importante que ésta no acabe en un cajón olvidado, por lo que durante este artículo te ofrecemos las claves para que eso no suceda.

Queremos ofrecerte una serie de claves, obtenidas de la experiencia, que se pueden aplicar en todo tipo de empresas. Dichas claves son genéricas, sirven para la realizar la política de seguridad y los procedimientos en cualquier tipo de norma no solo en la norma ISO 27001 2013.

Estudiar todos los requisitos

Será necesario que se lleve a cabo un estudio detallado de todos los requisitos que establece la norma y la empresa debe cumplir, por ejemplo, legislación, contratos con los clientes, políticas internas de la empresa, y no podemos olvidarnos de todos los requisitos que establece la norma ISO 27001 2013, que es la que nos ocupa en este caso.

Se deben tener en cuenta todos los resultados obtenidos de realizar la evaluación de riesgos

Se tiene que llevar a cabo la evaluación de riesgos, con el fin de establecer todos los temas que se deben abordar en el documento en cuestión, además del grado en el que se tiene que llevar a cabo. Podemos utilizar el siguiente ejemplo, clasificar la información según un acuerdo de confidencialidad, por lo que se necesitan de diferentes niveles de confidencialidad.

Durante este paso, que puede que no tenga mucha importancia, ya que la política de seguridad y el procedimiento no se encuentra relacionado con la seguridad de la información o con la continuidad de negocio. Los principios de gestión de riesgos se aplican en todas las áreas de la empresa, como puede ser la gestión de la calidad, la gestión ambiental, etc. Dentro de la gestión de la calidad se tiene que establecer hasta el punto en el que un proceso es crucial para la gestión de la calidad y así, poder decidir si es necesario que sea documentado o no.

Optimización y alineación de los documentos

Un factor importante es tener en cuenta la cantidad total de documentos que tiene el Sistema de Gestión de Seguridad de la Información según la ISO 27001 2013, por lo que se deben plantear si es mejor redactar veinte documentos de una página o un documento con veinte páginas. Es mucho más sencillo realizar la administración de un solo documento que de muchos documentos, especialmente para las personas que se lo deben leer.

Se debe tener especial cuidado a la hora de alinear el documento con otros documentos similares, ya que es posible que existan términos que se encuentran definidos en los documentos. Puede que no resulte necesario un nuevo documento, sino que se amplíe el que ya existe.

Dar forma al documento

Se debe poner especial cuidado en el momento de respetar las normas internas de la organización para dar la forma correcta al documento. Se deben contar con una plantilla, encabezados, pies de páginas y los aspectos determinados.

Al implantar la norma ISO 27001 2013 se tiene que respetar el procedimiento en cuento al control de documentos. El tipo de procedimientos no solo se establece en el formato sino que también se define según las reglas que existen para su aprobación, distribución, etc.

Redactar el documento

El criterio general que se utiliza cuando la organización es pequeña y presenta menores riesgos, mucho menos complejo será el documento. No existe nada menos útil que redactar un documento muy extenso que nadie sea capaz de leerlo, tiene que comprender que la lectura de los documentos se debe realizar cada cierto tiempo y el nivel de atención que uno presta es inversamente proporcional a la cantidad de líneas que presenta.

Una buena prácticas será la de vencer toda la resistencia de otros trabajadores al participar en la redacción de los documentos, ya que su aportación es muy buena para la organización.

Conseguir la aprobación del documento

El paso es un tanto evidente, pero la importancia  fundamental recae en: si no es un funcionario de alto rango en su empresa, no dispone de la autoridad suficiente como para hacer cumplir con el documento.

Es cualquier persona de la organización debe comprenderlo, aprobarlo y requerir que se implante. Puede parecer sencillo, pero no lo es. Este paso es en el que las organizaciones suelen fallar al implementar la ISO 27001 2013.

Capacitación y concienciación de sus trabajadores

Este puede que sea el paso más importante de todo el proceso, aunque también uno de los que más se olvidan. Como ya hemos mencionado en otras ocasiones, los empleados se pueden cansar de que se realicen muchos cambios y, no reciben muy bien las modificaciones, de forma especial si supone un mayor trabajo para ellos.

Es por esto resulta de vital importancia explicar a los empleados la importancia que presenta la política y los procedimientos, además es bueno para la empresa y para ellos mismos.

Será necesario la realización de una capacitación, ya que no podemos asumir que todos los empleados poseen los conocimientos y las habilidades para implantar nuevas actividades. Para las personas que redacta el documento puede parecer sencillo y evidente.

Se piensa que ha llegado al final de la implementación de sus documentos, se equivoca. No es suficiente con tener una política de seguridad o procedimiento perfecto, sino que también es necesario mantenerlo actualizado.

Tiene que existir un responsable que mantenga el documento actualizado y mejorado, normalmente suele ser la misma persona que, en su momento, se encargó de realizarlo.

Software para ISO 27001

El Software ISOTools Excellence  para la norma ISO 27001 2013 de Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.