ISO/IEC 27002:2013 Information Security Policies - Políticas de Seguridad de la información

Continuamos desarrollando y analizando algunas novedades que la ISO 27001:2013 contiene en su interior. En el artículo de hoy comenzamos por las categorías incluidas en la ISO 27002 referentes al apartado 5 de la ISO 27002, referente a las políticas de seguridad de la información.

5 . Políticas de Seguridad de la información

La estructura en sí es muy similar, si bien conceptualmente el espectro se ha ampliado. Consta de dos objetivos de control, respecto a la definición de la política y su posterior revisión.

En muchos casos se daba la situación de que en la política de seguridad de la información la dirección exponía las directrices y compromisos fundamentales de la organización de forma general, que debía ser comunicada a todo el personal afectado y difundida para su conocimiento por toda la organización.

Como principal diferencia de esta categoría que puede resaltarse respecto de la ISO 27002 de 2007 es el tratamiento de política, que en la versión anterior parecía querer centrarse en una política única que contemplara todos los aspectos y que en esta versión su enfoque y visión parecen querer abarcar  algunos aspectos adicionales que pueden ser de especial importancia o relevancia para la organización en materia de seguridad de la información.

En esta versión de 2013, como no podía ser de otra forma, se debe redactar una política de seguridad de la información, que permita conseguir los objetivos de seguridad de la organización, y como prueba del liderazgo de la dirección, debe estar aprobada por ella.

En cuanto al contenido, debe establecer los términos y requisitos relativos a la estrategia de negocio, al cumplimiento normativo, regulatorio y contractual, así como las presentes amenazas y las previstas para el futuro, con el fin de aplicar sistemas de tratamiento y reducción del impacto en caso de materialización de las mismas.

Además, debe hacer referencia a la definición de seguridad de la información, así como establecer y definir los objetivos que permitan incluir en los procesos de la organización la gestión de la seguridad de la información. El establecimiento de roles y responsabilidades, así como procedimientos de gestión de imprevistos, desviaciones o malfuncionamientos deben estar previstos.



Pese a la extensión, se puede afirmar que la política de seguridad no cambia en exceso salvo algunos matices entre la norma ISO 27001:2007 e ISO 27001:2013, si bien a continuación es donde puede entenderse la diferencia y la mejora respecto de la versión anterior.

La norma ISO 27001:2013 hace hincapié en que como despliegue de esta política de seguridad, es relevante definir otras políticas de menor nivel que informen de una manera más detallada a los interesados en la gestión de procesos específicos, con la finalidad de guiar a los usuarios y afectados por las políticas de seguridad de la información con el objeto de facilitar su cumplimiento.

En ocasiones, los responsables de áreas, departamentos, personal de la organización o incluso los "stakeholders" o partes interesadas (como pueden ser accionistas u otros participantes de relevancia) no acababan de comprender algunos mensajes incluidos en las políticas de alto nivel, bien por su complejidad, bien por su desconocimiento en la materia.

Con esta aclaración, la norma ISO 27001:2013 desea tener hojas de ruta establecidas para aspectos relevantes en cuanto a seguridad de la información se refiere y que no dejen lugar a dudas o equívocos. Algunas políticas de menor nivel a definir y que ayudan notablemente a la consecución de objetivos son:

• Políticas de control de acceso
• Políticas de asignación de privilegios y roles
• Políticas de segmentación / segregación de la información así como de los responsables de los mecanismos de asignación de permisos y privilegios.
• Políticas de manejo y clasificación de la información.
• Políticas de copias de seguridad, respaldo y redundancia de datos.
• Políticas de alta disponibilidad y recuperación
• Políticas de seguridad con los proveedores y distribuidores.
• Políticas de gestión de controles criptográficos
• Políticas de gestión de la seguridad de la información en el puesto de trabajo.

Existen muchas más políticas que pueden establecerse, pero a modo de ejemplo son suficientes para alertar a los intervinientes y participantes de los SGSI de la importancia de una correcta definición por parte de la alta dirección de las directrices en materia de seguridad de la información.

Estas directrices se recomienda encarecidamente sean difundidas a todo el personal de las organizaciones, para la creación de una verdadera cultura de seguridad de la información en la empresa y que con toda seguridad, redundará en una mayor eficacia y eficiencia en los procesos de la organización, con un cumplimiento de objetivos de seguridad y una reducción en la desviación o incumplimiento de los indicadores (PKI's) y objetivos de control del SGSI.

Como conclusión, la norma ISO 27001:2013 advierte de la posibilidad de que las políticas puedan contener información confidencial o clasificada de la organización, error que puede encontrarse en algunos SGSI implementados, en el que el acceso a dicha información por parte de usuarios avanzados pueden suponer una seria amenaza para nuestro sistema de información, por lo que remarcamos la importancia de confeccionar políticas y directrices, no procedimientos operativos o instrucciones de trabajo para este cometido.

Espero que les haya sido de utilidad este resumen y... hasta la próxima.

¡Saludos!