CAPITULO 5

5. POLÍTICA DE SEGURIDAD

5.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Objetivo: brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.

Las directivas deberían establecer una dirección clara de la política según los objetivos del negocio y demostrar apoyo y compromiso con la seguridad de la información a través de la emisión y el mantenimiento de la política de seguridad de la información en toda la organización.

5.1.1 Documento de la política de seguridad de la información

Control

La dirección debería aprobar un documento de política de seguridad de la información y lo debería publicar y comunicar a todos los empleados y partes externas pertinentes.

Guía de implementación

El documento de la política de seguridad de la información debería declarar el compromiso de la dirección y establecer el enfoque de ésta para la gestión de la seguridad de la información. El documento de la política debería contener declaraciones relacionadas con:

a) definición de la seguridad de la información, sus objetivos generales y el alcance e importancia de la seguridad como mecanismo que permite compartir la información (véase la introducción);

b) declaración de la intención de la dirección, que apoye las metas y los principios de seguridad de la información, de acuerdo con la estrategia y los objetivos del negocio;

c) estructura para establecer los objetivos de control y los controles, incluyendo la estructura de la evaluación de riesgos y de la gestión del riesgo;

d) explicación breve sobre las normas, las políticas y los principios de seguridad, así como de los requisitos de cumplimiento de importancia particular para la organización incluyendo los siguientes:

1) cumplimiento de los requisitos legales, reglamentarios y contractuales;

2) requisitos de educación, formación y concientización sobre seguridad;

3) gestión de la continuidad del negocio;

4) consecuencias de las violaciones de la política de seguridad;

e) definición de las responsabilidades generales y específicas para la gestión de la seguridad de la información, incluyendo el reporte de los incidentes de seguridad de la información;

f) referencias a la documentación que puede dar soporte a la política, tal como las políticas de seguridad más detalladas para sistemas específicos de información o las reglas de seguridad que deberían cumplir los usuarios. Esta política de seguridad de la información se debería comunicar a través de toda la organización a los usuarios de manera pertinente, accesible y comprensible para el lector.

Información adicional

La política de seguridad de la información podría formar parte de un documento de política general. Si la política de seguridad de la información se distribuye fuera de la organización, es necesario tener cuidado de no divulgar información sensible. Información adicional se puede encontrar en la norma NTC 5411-1:2006.

5.1.2 Revisión de la política de seguridad de la información

Control

La política de seguridad de la información se debería revisar a intervalos planificados o cuando se producen cambios significativos, para garantizar que sigue siendo adecuada, suficiente y eficaz.

Guía de implementación

La política de seguridad de la información debería tener un dueño con responsabilidad aprobada por la dirección para el desarrollo, la revisión y la valoración de dicha política. Es conveniente que la revisión incluya las oportunidades de evaluación para mejorar la política de seguridad de la información de la organización y el enfoque para la gestión de la seguridad de la información en respuesta a los cambios en el entorno de la organización, las circunstancias del negocio, las condiciones legales o el entorno técnico.

Es conveniente que la revisión de la política de seguridad de la información tenga en cuenta los resultados de la revisión por la dirección. Deberían existir procedimientos definidos para la revisión por la dirección, incluyendo una programación o periodo de revisión.

Las entradas para la revisión por la dirección deberían incluir información sobre:

a) retroalimentación de las partes interesadas;

b) resultados de las revisiones independientes (véase el numeral 6.1.8);

c) estados de las acciones preventivas y correctivas (véanse los numerales 6.1.8 y 15.2.1);

d) resultados de las revisiones previas por parte de la dirección;

e) desempeño del proceso y cumplimiento de la política de seguridad de la información;

f) cambios que pudieran afectar el enfoque de la organización para la gestión de la seguridad de la información, incluyendo cambios en el entorno de la organización, las circunstancias del negocio, la disponibilidad de recursos, las condiciones contractuales, reglamentarias o legales, o el entorno técnico;

g) tendencias relacionadas con las amenazas y las vulnerabilidades;

h) incidentes de seguridad de la información reportados (véase el numeral 13.1);

i) recomendaciones de las autoridades pertinentes (véase el numeral 6.1.6).

Los resultados de la revisión por la dirección deberían incluir todas las decisiones y acciones relacionadas con:

a) mejora del enfoque de la organización para la gestión de la seguridad de la información y sus procesos;

b) mejora de los objetivos de control y de los controles;

c) mejora de la asignación de recursos y / o responsabilidades.

Es recomendable mantener un registro de la revisión por la dirección.

Se debería obtener la aprobación de la dirección para la política revisada.