Uno de los principales elementos de un sistema de gestión es el establecimiento de la Política, por lo que una Política de Seguridad de la Información implica la declaración del compromiso que se debe respetar para acceder a la información y los recursos, como el estandarte de la empresa.
La estructura de la Política de Seguridad debe ser dinámica, y debe ajustarse y mejorarse continuamente según los cambios que se presentan en los ambientes donde se crearon, considerando los factores internos y externos para garantizar que sea acorde al contexto de la organización.
Esta política tiene como fin preservar la información y los sistemas de una empresa; garantizando la integridad, confidencialidad y disponibilidad de la información.
La importancia de la Política implica el respaldo de la Alta Dirección, ya que debe contemplar los procedimientos a cumplir y las responsabilidades de todos los miembros de la organización. La Política se debe comunicar con todo el personal y garantizar que la conozcan y entiendan, y sobre todo saber cuál es su compromiso con ella.
Es importante recordar los siguientes puntos para generar la política:
- Establecer en la administración de usuarios quién reglamentará el acceso de recursos al personal de la organización.
- Copias de respaldo: Describirán los pasos a seguir para asegurar la adecuada recuperación de la información a través de copias de respaldo.
- Tratamiento de la información: Definirá claramente los tipos de información que se maneja por las personas autorizadas dentro de la organización.
- Software legal: Definirá claramente el uso de software en la empresa con licencias de uso legal.
- Uso del servicio de internet y correo electrónico: Describirá la protección de la información mediante el uso de correo electrónico y el servicio de internet.
- Seguridad en las comunicaciones: Describirá la protección de la información durante los procesos de transmisión y recepción de datos en las redes internas y externas.
- Auditorías de los sistemas: Permitirá tener bajo control los eventos de seguridad de los sistemas.
- Continuidad del procesamiento: Se definirán y reglamentarán las actividades relativas a la recuperación de la información en casos críticos mediante una metodología adecuada.
- Protección física: Definirá la protección física de equipos, procesamiento, almacenamiento y transmisión de la información.
- Sanciones por incumplimientos: Este documento contemplará las medidas que se aplicarán por el incumplimiento de las reglas definidas.
- Confidencialidad: La confidencialidad de la información debe garantizarse de forma permanente, evitando el acceso y la difusión con toda persona o sistema no autorizado.
- Integridad de la información: La integridad de la información debe ser asegurada, evitando la manipulación, alteración y borrados accidentales o no autorizados.
- Disponibilidad de la información: La disponibilidad de la información debe salvaguardarse de manera que los usuarios y sistemas que lo requieran puedan acceder de forma adecuada para el cumplimiento de sus tareas y siempre que sea necesario.
- Derechos de propiedad: Todos los usuarios con acceso a la información tratada, gestionada o propiedad de la empresa tienen la obligación y el deber de custodiarla y protegerla.
- Requisitos legales: Hay que asegurar el cumplimiento con los requisitos legales aplicables y con los requisitos del negocio respecto a la seguridad y los sistemas de información.
La información es un recurso de suma importancia para la organización y se debe proteger mediante la implementación de las medidas de seguridad basadas en hardware, software y recursos humanos. La política debe ser acorde a la finalidad de la norma “asegurar la información electrónica”.
Recordemos que los usuarios son los principales elementos del sistema, así que concienticemos al personal para el buen uso y respeto de las Políticas de Seguridad de la Información establecidas.