Política de Seguridad de la Información, arma de buen filo
Considerando que las empresas de alto nivel de agilidad mantienen un estado de documentación básica, podríamos decir que la elaboración de una política de seguridad podría ser un obstáculo o una piedra en el zapato, o peor aún, considerarse una política sin valor. Lo cual es todo lo contrario. Si el enfoque de gobernabilidad y gestión considera la seguridad de la información como un elemento vital para las organizaciones de vanguardia, podría una empresa integrar una política de seguridad de la información sin necesidad de afectar la agilidad. Veamos.
Ingredientes básicos
Para la seguridad de la información, la premura siempre serán tres elementos claves e indispensables, todo deberá ser pensado en mantener la confidencialidad, la integridad y la disponibilidad. Antes de que se tome por decisión ir a internet y copiar una política de seguridad de la información de otra empresa, deberías detener tu proyección aunque sea un momento y consultarte ¿Por qué se me complica realizar una propia política de seguridad de la información?, muchas empresas generalmente asignan a la persona más técnica a enfrentar la elaboración de documentos de estilo táctico y estratégico, lo cual no se dice a raja tabla que está mal, lo que se cuestiona es que dicha persona técnica no haya sido preparada para alineamientos de objetivos, gobernabilidad, objetivos estratégicos, entre otras premisas en las que gira una política de seguridad de la información. Combinar la parte técnica, táctica y estratégica de un área o del negocio completo, es muy enriquecedor, pero no lo es cegarse y pensar que una persona muy técnica podría cubrir toda la pirámide y enfocar una política en los tres elementos mencionados anteriormente.
La documentación
Cada empresa tendrá su estilo de documentar una política de seguridad, cada empresa (así sea del mismo rubro) es un mundo distinto, por lo tanto realizar un copia y pega de política de seguridad es a parte de negligente muy riesgoso para la dirección de seguridad de información y por ende del negocio. No se necesita un documento extenso ni que tenga relleno por gusto, se necesita claridad en expresión y definición de datos como: lineamientos con los tres ingredientes básicos de seguridad de la información, responsabilidades y acciones a nivel macro de la seguridad de la información, explicar los beneficios de la metodología de riesgos a aplicar en la organización o el alcance seleccionado para la política de seguridad de la información. Tras una clara definición de lo mencionado por el área de seguridad de la información o del oficial de seguridad de la información, deberá buscar la aprobación de la alta dirección y realizar la publicación correspondiente.
Puesta en marcha
Una política de seguridad de la información está escrita bajo una coyuntura macro, por lo que debe segregarse en otras políticas detalladas los cuales brindan el soporte necesario para el cumplimiento de la política macro. Estas pueden ser: La política de copias de seguridad, la política de clasificación de activos, la política de recuperación ante desastres, entre otras. Por lo tanto, la política de seguridad de la información debe ser tan clara y precisa a nivel macro para direccionar a las demás políticas. El compromiso de la alta dirección y/o gerencia es vital para la promulgación a través del ejemplo de estas políticas.
Consejo audit
Hablar en diferentes lenguajes es vital para la construcción de políticas, nos referimos al lenguaje técnico, táctico y estratégico, entender la figura completa para poder expresarse con los diferentes niveles de la empresa, posibilita y agiliza la implementación de un Sistema de Gestión de Seguridad de la Información. En audit nos enfocamos en apoyar a los diferentes niveles empresariales para integrarse correctamente al SGSI, con el objetivo de cumplir metas de cumplimiento en avance y pro del SGSI.