¿Qué es la política de seguridad de la información?
Enviado por rommmms • 13 de Noviembre de 2023 • Ensayos • 1.209 Palabras (5 Páginas) • 55 Visitas
¿Qué es la política de seguridad de la información?
La política de seguridad de la información es un documento aprobado por la alta dirección de la empresa, en la que se recoge el compromiso de esta con garantizar la seguridad de la información y se establecen las medidas y controles que adoptará la empresa para asegurar la confidencialidad, integridad y disponibilidad de la información, así como para prevenir y mitigar los riesgos a los que los activos de información de la empresa están expuestos.
Por lo tanto, hablamos de un documento que debe ser conocido y cumplido por todos los miembros de la organización y en el que se recoge la estrategia adoptada por la empresa para prevenir filtraciones, pérdidas, modificación o destrucción de la información de la empresa, así como las consecuencias de su incumplimiento. Asimismo, la política de seguridad de la información también establece los roles y responsabilidades de los miembros de la organización.
Por información o activos de información de la empresa se entienden desde la infraestructura informática, equipos y dispositivos de la empresa, pasando por su sistema de información interna, la propiedad intelectual e industrial, la información confidencial propia y de terceros o el know-how, hasta los diferentes tipos de datos personales que almacena y trata la empresa.
Cabe señalar, cómo decíamos en la introducción, que la política seguridad de la información es uno de los requisitos imprescindibles para implantar un SGSI de acuerdo a la ISO 27001, por lo que si una empresa busca certificarse en esta norma, debe, obligatoriamente, elaborar su política de seguridad de la información.
¿Qué objetivo tiene una política de seguridad de la información?
El principal objetivo de la, también llamada, política de seguridad de la información y ciberseguridad, es garantizar la confidencialidad, integridad y disponibilidad de la información, estableciendo las medidas y controles necesarios para ello.
Estas medidas y controles se determinarán tras el correspondiente proceso de análisis y evaluación de riesgos y de identificar y determinar cuáles son los activos de información más relevantes y críticos para la empresa, tanto desde un punto de vista funcional, es decir, que son necesarios para la continuidad del negocio, como desde un punto de vista legal, puesto que existen leyes y normas que obligan a las empresas a proteger determinada información (por ejemplo, la ley de protección de datos).
Aparte de indicar cómo proteger la información de tu empresa, la política de seguridad de la información también tiene como objetivo mostrar el compromiso de la alta dirección con la seguridad de la información y que los diferentes miembros de la organización conozcan las medidas y controles de seguridad implementados que deben cumplir.
tarifas proteccion datos
¿Cómo hacer una política de seguridad de la información?
Una vez se han identificado los activos de información relevantes para la empresa, hecho los análisis y evaluaciones de riesgos pertinentes y seleccionadas las medidas y controles que se van a implantar en la empresa para prevenir y mitigar los riesgos detectados, se procederá a redactar la política de seguridad de la información, siguiendo estos pasos:
Introducción: En esta sección se debe establecer la definición de lo que es la política de seguridad de la empresa e incluye:
Objetivo: Se especifica cuál es el objetivo de la política de seguridad de la información, que debe siempre estar alineado con los objetivos estratégicos de la empresa.
Alcance: Se especifican las áreas, procesos, actividades, activos y personas a las que se les aplica la política de seguridad de la información y, en el caso de las personas, que están obligadas a cumplirla.
Principios de la política: Se establecen los principios generales de seguridad de la información para la empresa, como pueden ser, por ejemplo, la seguridad integral, la seguridad por defecto o la gestión de riesgos, entre otros.
Compromiso de la Dirección: Recoge los objetivos en materia de seguridad de la información a los que se compromete la alta dirección.
Establecer los roles y responsabilidades: Se trata
...