08 May ISO27001. A.5.1.1. Políticas de seguridad de la información
Dentro de los puntos de control que tenemos que tener en cuenta esta el relativo a las políticas de seguridad de la información, como parte del apartado A.5 Políticas de la seguridad de la información y en concreto dentro del subapartado A.5.1. Gestión de la dirección de la seguridad de la información. En este punto quiero comentar como trabajo con mis clientes cuando colaboro como Auditor Interno ISO27001 y que esperamos que el auditor revise.
ISO27001. A.5.1.1. Políticas de seguridad de la información
Un conjunto de políticas de seguridad de la información deben estar definidas, aprobadas, gestionadas y publicadas a empleados y terceras o externas partes involucradas
¿Cómo implementarlo en nuestras empresas?
Las políticas de la organización en este apartado deben ser simples. Las políticas de la organización no deben estar excesivamente detalladas en un solo documento sino que es más normal optar por tener diferentes enlaces a las políticas que la empresa pueda tener, distribuyendo estas políticas de alto nivel a todos los empleados e interesados.
Es recomendable tener listado de políticas que la organización ha definido. Pongo algunos ejemplos seguidamente:
- Política de control de acceso: el acceso se otorga según el principio de necesidad de saber / necesidad de uso.
- Política de copia de seguridad: las computadoras portátiles no están respaldadas, pero se pueden restaurar desde la imagen en caso de un desastre.
- Código de conducta: política de dispositivos móviles
- Política de criptografía: siguiendo la política de clasificación de información, el cifrado se debe utilizar para proteger la información clasificada como confidencial, en reposo o en movimiento.
- Política de dispositivos móviles: trabajo remoto
- Política de contraseñas: las contraseñas deben ser seguras (al menos 8 caracteres, uso de minúsculas / mayúsculas / números / símbolos)
- Política de privacidad: reconocemos la importancia de la seguridad de la información y la protección de la privacidad.
- …
Después es necesario desarrollar cada política en base a las características y expectativas de cada organización. Dependiendo de cada empleado comunicaremos unas políticas u otras que debe de conocer y cumplir, así como las que sean distribuidas a terceros o fuera de la organización debemos estar seguros de no incluir información sensible para nuestra empresa.
Las políticas de la seguridad de la información deben ser revisadas y formar parte de la documentación de la ISO27001.
Seguidamente incluyo un ejemplo reducido de política en este caso Política de contraseñas:
Resumen
- La política de contraseña define los requisitos para las contraseñas.
- La política es aplicable a todo el personal interno y externo.
Principios
- Las contraseñas deben ser seguras (al menos 8 caracteres, uso de minúsculas / mayúsculas / números / símbolos).
- No use la misma contraseña para más de un servicio o sistema.
- No comparta con nadie su contraseña.
- Cambie la contraseña al menos una vez al año.
- No reutilice contraseñas antiguas.
- La contraseña no puede contener ninguno de los siguientes datos: nombre de usuario, seudónimo, nombre, apellidos o fecha de nacimiento.
- Evite escribir contraseñas en post-it, cuadernos o cualquier otro formato físico.
- El uso de la herramienta X para almacenar y gestionar la contraseña es obligatorio.
Políticas relacionadas
- Política de seguridad de la información
- Política de clasificación de la información.
- Política de control de acceso
¿En que se enfocará la entidad certificadora de ISO27001?
Dependiendo del scope y otras cuestiones puedo generalizar que el auditor se fijara en los siguientes aspectos:
- Estar generada desde un nivel alto de la organización con un control de versiones.
- Firmada por el senior manager.
- Definición comprensible de la seguridad de la información para la empresa, alcance y objetivos.
- Razones por las cuales la seguridad de la información es clave para la organización.
- Un apoyo definido desde la alta dirección.
- Un resumen del marco escogido para la gestión del riesgo incluyendo sus objetivos y controles.
- Resumen de las políticas de seguridad, principios, estándares y requerimientos de Compliance.
- Como se gestionan los no cumplimientos o excepciones a la seguridad de la información.
- Entre otros aspectos…
El auditor líder probablemente comprobara que las políticas son accesibles por los empleados y terceros interesados dependiendo del rol que ocupan en la organización. Este podría comprobar que se ha comunicado y que estos terceros son conocedores o bien tienen acceso a un documento de políticas de seguridad de la empresa con relativa facilidad, es decir, está a su disposición, pudiendo formar parte incluso de un documento más extenso denominado MANUAL DE POLITICAS DE SEGURIDAD que incluya el detalle de cómo se implementa las políticas de seguridad en la organización. Además podría interesarse en encontrar evidencias que los empleados que están dentro del alcance definido de aplicabilidad de la ISO27001 tienen responsabilidades sobre la seguridad de la información.
Así mismo el auditor podría comprobar que la política está actualizada siguiendo la gestión de cambios en materia de seguridad de la información y que existe un propietario de cada política, responsable de su mantenimiento.
También os invito a consultar la guía ISO27002 en concreto en su punto 5.1.1.
Luis Vilanova Blanco. Auditor CISA por ISACA y formado en ISO27001 por SGS.
606954593