Desarrollar una política de seguridad de la información sólida es fundamental para proteger los activos de información de una organización. Aquí te comparto los elementos clave que debe contener una política de seguridad de la información, basándome en las normas y buenas prácticas establecidas por estándares como ISO 27001 y NIST, además de cumplir con regulaciones locales como la Ley Marco de Ciberseguridad o Ley 19.628 sobre Protección de la Vida Privada en Chile:

– Propósito y Alcance: Definir claramente el propósito de la política y el alcance de su aplicación dentro de la organización. Identificar los activos de información que se protegerán y las unidades organizacionales a las que se aplica.

– Directrices de la Dirección: Incluir un compromiso visible y claro de la alta dirección con la seguridad de la información. Establecer objetivos y principios generales para la seguridad de la información en la organización.

– Organización de la Seguridad de la Información: Asignar responsabilidades y roles específicos para la gestión de la seguridad de la información. Crear una estructura organizacional que apoye y gestione los programas de seguridad de la información.

– Gestión de Riesgos: Implementar un proceso continuo de identificación, evaluación y tratamiento de riesgos relacionados con la información. Desarrollar planes de mitigación para los riesgos identificados.

– Control de Accesos: Definir políticas y procedimientos para gestionar el acceso a los activos de información. Establecer controles para asegurar que solo el personal autorizado pueda acceder a información sensible.

– Seguridad de los Recursos Humanos: Incluir políticas para la contratación, capacitación y terminación de empleados, asegurando que comprendan y cumplan con las políticas de seguridad de la información. Implementar programas de concienciación y capacitación continua en seguridad de la información.

– Gestión de Activos: Mantener un inventario actualizado de activos de información y asignar responsables para su gestión y protección. Establecer directrices para la clasificación y manejo seguro de la información.

– Criptografía: Establecer políticas para el uso de controles criptográficos y la gestión de claves para proteger la confidencialidad, integridad y disponibilidad de la información.

– Seguridad Física y Ambiental: Implementar controles para proteger las áreas físicas que contienen activos de información críticos contra amenazas ambientales y accesos no autorizados.

– Seguridad de las Operaciones: Definir procedimientos para la gestión segura de las operaciones diarias, incluyendo la gestión de cambios y la protección contra código malicioso. Asegurar la disponibilidad y exactitud de la información mediante copias de seguridad regulares.

– Gestión de Incidentes de Seguridad: Establecer procedimientos para la detección, reporte y respuesta a incidentes de seguridad de la información. Implementar un proceso de aprendizaje continuo a partir de los incidentes para mejorar las prácticas de seguridad.

– Cumplimiento: Asegurarse de que la política y los procedimientos de seguridad de la información cumplan con las leyes, regulaciones y estándares aplicables. Realizar revisiones periódicas y auditorías independientes para asegurar el cumplimiento continuo.

¿Debe incluir elementos que aún no es posible implementar?
Es importante que la política de seguridad de la información sea realista y aplicable. Incluir elementos que actualmente no puedes implementar puede ser contraproducente. Sin embargo, puedes abordar esta situación de la siguiente manera:

– Contexto: Si tu organización está regulada, como por ejemplo por la CMF, debes abordar al menos estas exigencias, ya que la continuidad de la organización podría estar en peligro. Si no estás en una empresa regulada, al menos debes considerar las leyes locales tanto de Chile como del país donde opera la empresa.

– Planificación: Incluir una sección que detalle un plan de implementación progresiva para los controles que aún no están implmenetados. Esto demuestra un compromiso con la mejora continua y permite a la organización trabajar hacia el cumplimiento total con una estrategia clara.

– Priorización: Clasificar los controles y políticas en función de su criticidad y urgencia, estableciendo plazos y responsables para su implementación.

– Revisión y Actualización: Asegurar que la política se revise y actualice periódicamente para reflejar el estado actual de las implementaciones y ajustes necesarios.

Incorporar un enfoque gradual y planificado en la política de seguridad de la información ayudará a mantener la credibilidad y a gestionar las expectativas dentro de la organización. Entonces la respuesta es «si», hay exigencias obligatorias que deben ser cubiertas y todos los temas que no serán abordados, deben ser presentados en instancias colegiadas donde la decisión de remediar los riesgos sea tomada por los roles adecuados para determinar aceptar el riesgo (por un tiempo) o definir un tiempo de «no cumplimiento» para que las áreas puedan implementar la remediación, el tiempo de este último lo determinará el nivel de riesgo y el apetito definido en la organización.

Para más detalles y mejores prácticas, consulta los documentos de ISO 27001 y los estándares de NIST, disponibles en sus respectivos sitios web:

[NIST Cybersecurity Framework](https://www.nist.gov/cyberframework)
[ISACA Frameworks and Standards](https://www.isaca.org/resources/frameworks-standards-and-models).



SeguridadDeLaInformación #ISO27001 #NIST #Ciberseguridad #GestiónDeRiesgos #ProtecciónDeDatos #ContinuidadDelNegocio #ControlDeAccesos #Criptografía #GestiónDeIncidentes #CumplimientoLegal