Norma ISO 27001:2013: Pasos para implantar la política de seguridad

Norma ISO 27001:2013

Si se ha encontrado en la situación de tener que redactar una política o un procedimiento de seguridad según  la norma ISO 27001:2013 y ha deseado que sus documentos, que tanto esfuerzo le cuesta hacer, acaben en un cajón olvidados debe seguir leyendo este post.

Vamos a mostrarle una serie de pasos, diseñados desde la experiencia, y que se pueden aplicar a todo tipo de organizaciones. Estos pasos son genéricos, sirven para políticas y para procedimientos en cualquier tipo de norma no solo en la norma ISO 27001:2013.

1. Estudiar los requisitos

Lo primero que se debe realizar es un estudio detallado de los diferentes requisitos que tiene que cumplir la organización, es decir, legislación, contratos con clientes, políticas internas de la organización, y no podemos olvidarnos de los requisitos que establece la propia norma ISO 27001:2013.

2. Tener en cuenta todos los resultados obtenidos de la evaluación de riesgos

Se debe realizar una evaluación de riesgos, cuyo fin será determinar los temas que se deben abordar en el documento en cuestión, además del grado en el que se debe hacer. Podemos poner el siguiente ejemplo, se decide clasificar una información según un acuerdo de confidencialidad, por lo que se necesitan de dos, tres o cuatro niveles de confidencialidad.

Este paso puede que no tenga una gran  importancia, porque la política de seguridad y el procedimiento no se encuentra relacionada con la seguridad de la información o con la continuidad del negocio. Los principios de gestión de riesgos se aplican a otras áreas de la organización, como puede ser la gestión de la calidad ISO 9001, gestión ambiental ISO14001, etc. En la norma ISO 9001 se debe determinar hasta qué punto es un proceso crucial para la gestión de la calidad y así, decidir se será necesario documentarlo o no.

3. Optimización y alineación de los documentos

Un factor importante a tener en cuenta es la cantidad total de documentos con  los que se cuenta, es decir, hay que plantearse si es mejor redactar diez documentos de una página o un documento de diez páginas. Es mucho más sencillo administrar un solo documento, de manera especial para las personas que lo tienen que  leer (no es conveniente que tenga 100 folios).

Se debe tener mucho cuidado a la hora de alinear el documento con otros documentos similares, ya que puede ser posible que los temas que se están definiendo ya hayan sido definidos en otros documentos.  Si se da este caso, puede que no sea necesario redactar un nuevo documento, sino simplemente ampliar el que ya existe.

4. Estructurar el documento

Se debe tener especial cuidado a la hora de  respetar las normas internas de la empresa para darle el formato adecuado necesario. Se debe contar con una plantilla, encabezados, pies de páginas y aspectos determinados.

Si implementan la norma ISO 27001:2013 debe respetar un procedimiento para controlar los documentos. El tipo de procedimientos no solo define el formato del documento sino que también define las reglas para su aprobación, distribución, etc.

5. Redactar el documento

El criterio general será cuanto más pequeña sea la empresa y menores sean los riesgos, mucho menos complejo será el documento. No existe nada menos útil que redactar un documento demasiado extenso que nadie lea, usted debe comprender que la lectura de un documento precisa de cierto tiempo y el nivel de atención que uno presta es inversamente proporcional a la cantidad de líneas que tiene.

Una buena práctica será la de vencer la resistencia de otros empelados sobre el documento es involucrados en la redacción o haciendo aportes al mismo, de esta forma se comprende el por qué resulta necesario.

6. Conseguir la aprobación del documento

El paso es un tanto evidente, pero la importancia fundamental será: si no es un funcionario de alto rango en su organización, no dispondrá de la autoridad suficiente como para hacer cumplir el documento.

Es por esto que alguien en una posición de la jerarquía debe comprenderlo, aprobarlo y requerir que se implemente. Parece sencillo, pero no lo es. Este paso es en el que la implementación de la norma ISO 27001:2013, normalmente, más falla.

7. Capacitación y concienciación de sus trabajadores

Este paso puede ser el más importante de todo el proceso, pero también es uno de los más olvidados. Como se mencionó en otra ocasión, los trabajadores se cansan de tantos cambios y, no reciben con los brazos abiertos una nueva modificación, especialmente si supone mayor trabajo para ellos.

Es por esto que resulta de vital importancia explicar a los trabajadores por qué es necesaria la política o los procedimientos, ya que es bueno para la organización y para ellos mismos.

A veces, será necesaria la capacitación ya que no podemos asumir que todos los trabajadores poseen los conocimientos y las habilidades para implantar nuevas actividades. Para la persona que redacta el documento puede resultar sencillo y evidente.

Si piensa que ha llegado al final de la implantación de su documento, se equivoca. No es suficiente tener una política de seguridad o procedimiento perfecto, sino que también es necesario mantenerlo actualizado.

Debe existir un responsable que mantenga el documento actualizado y mejorado, normalmente suele ser la misma persona que se ha encargado de redactarlo.

No es suficiente con contar con una buena plantilla para redactar tu política o procedimiento. Lo que se necesita es une enfoque sistémico para la implantación y que no se olvide lo más importante; el documento no un fin en sí mismo, es una herramienta para realizar las actividades y que los procesos se realizan sin problemas. No puede dejar que el documento dificulte la ejecución de dichas actividades y procesos.

Software para ISO 27001

El Software ISOTools Excellence  para la norma ISO 27001:2013 de Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.