ISO 27001

ISO 27001 contiene entre sus directrices la creación de una política de Seguridad de la Información. Es uno de los puntos más relevantes del proceso de implantación del sistema y, frecuentemente, uno de los peor entendidos en las pequeñas empresas.

Cuando hablamos de pequeña empresa vamos a referirnos a organizaciones de menos de 100 empleados.

La creación de una política eficaz y aplicable a estas organizaciones requiere de la comprensión de los activos, riesgos y recursos disponibles para la gestión de riesgos. Lo que queremos decir es que antes de dirigirse a proteger algo, primero se debe saber qué es lo que hay que proteger y de qué.

Una metodología para desarrollar la política de Seguridad de la Información que propone ISO-27001 puede ser la siguiente:

• Identificar de lo que se está tratando proteger.
• Determinar de qué lo estamos protegiendo.
• Determinar qué amenazas tiene y la frecuencia de que ocurran.
• Poner en marcha medidas que protejan los activos, evaluando costes y efectividad.
• Revisar periódicamente el proceso con objeto de hacer mejoras cuando se encuentren debilidades.

El proceso más difícil para las pequeñas empresas suele ser la determinación de lo que realmente es esencial proteger para poner en marcha la Política de Seguridad de la Información.

Una solución a esto puede ser entrevistar al propietario de la organización y a los trabajadores que participan en el Sistema de Seguridad de la Información. En pequeñas empresas se dan menos este tipo de entrevistas ya que operan de modo distinto a las grandes.

La identificación de activos de personal puede ser más fácil en el caso de la pequeña empresa, simplemente por el número de empleados.

La persona encargada de iniciar el proceso de esta Política debe tener una base tecnológica razonable y conocer los procesos del Sistema de Seguridad de la Información.

No es esencial el conocimiento detallado de la tecnología, se le da más valor a poseer la capacidad de comunicarse y obtener información.

Para concluir cabe preguntarse, ¿Qué puede hacer la Política de Seguridad de la Información para reducir o eliminar riesgos? ¿Qué medidas hay que tomar para asegurar que el negocio sigue funcionando? ¿A quién va dirigida la Política?

ISOTools pone a su disposición un Software para facilitarle la implantación del Sistema de Seguridad de la Información de ISO27001 en su organización, incluyendo entre sus componentes la formulación de la Política de Seguridad de la Información.