Ir al contenido principal

24. Política de Tecnología y Operaciones de TI

👉 Esta actividad te ayuda a cumplir los siguientes controles:

  • ISO 27001 en su versión 2013: A.5.1.1, A.12.1.1, A.12.1.2, A.12.1.3, A.12.3.1, A.12.5.1, A.12.6.1, A.12.6.2 y A.14.2.4

  • ISO 27001 en su versión 2022: A.5.1, A.8.6, A.8.8, A.8.13, A.8.19, A.8.32

¿Para qué me sirve esta actividad? 📚

Esta actividad te ayuda a identificar todos los procedimientos y aspectos del área de tecnología que son cruciales para la correcta ejecución de las operaciones de la empresa y para el aseguramiento de su continuidad.

¿Qué tengo que hacer? 🚀

Esta política contiene los principales procesos de tecnología que debes implementar correctamente dentro de tu empresa:

  • Gestión de cambios. Puede ser cualquier tipo de cambio que impacte en las operaciones de la empresa, en el negocio o en su infraestructura.

    • Si cuentas con desarrollo interno o tercerizado, será muy importante que definas también los lineamientos de seguridad pertinentes para una correcta gestión de los cambios productivos aplicados en tu código.

  • Gestión de la capacidad. Debes asegurar la disponibilidad de los recursos y las herramientas necesarias para garantizar que tus operaciones pueden continuar. Esto puede considerar el almacenamiento, la cantidad de transacciones, el nivel de respuesta o procesamiento, etcétera.

  • Gestión de los respaldos. Los respaldos o copias de seguridad te permiten asegurar la recuperación de información valiosa.

    • Una de las cosas más importantes para esta gestión es la periodicidad de generación de copias de seguridad, ya que ésta puede variar de sistema a sistema, por lo que debes definirla adecuadamente de forma que sea factible. Además, esta periodicidad te ayuda a definir el RPO (Recovery Point Objective), el cuál es una métrica importante dentro de tu Plan de Recuperación ante Desastres.

  • Gestión de los parches de seguridad. La actualización de los sistemas permite disminuir el riesgo de que ocurra una brecha de seguridad, o que una vulnerabilidad sea explotada por lo que una adecuada gestión de los parches de seguridad es esencial en todos los procedimientos tecnológicos.

  • Adquisición y mantenimiento de equipos y sistemas. La adquisición de nuevos equipos y sistemas debe apegarse a los lineamientos definidos en ésta y las demás políticas que establezcas, es decir que debe permitir una instalación, configuración y/o uso que cumpla con los requisitos de seguridad. Además, el mantenimiento de los equipos debe ser periódico, garantizando su buen funcionamiento.

Entre los principales objetivos de estos procedimientos podemos mencionar los siguientes:

  • Asegurar la correcta operación de los recursos de procesamiento.

  • Evitar la pérdida de datos.

  • Generar respaldos de seguridad periódicos.

  • Garantizar la integridad de los sistemas operacionales.

  • Prevenir la explotación de vulnerabilidades técnicas.

  • Ejecutar una adecuada instalación de parches de seguridad.

  • Gestionar los cambios productivos de las redes y las aplicaciones.

  • Contar con procedimientos y recursos de escalamiento, en caso de fallas o interrupciones.

Debes analizar, añadir y/o ajustar todos los aspectos que consideres pertinentes para documentar una política robusta, alineada y viable para tus operaciones, y que proteja la información en cualquier parte de tu infraestructura tecnológica.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • El área de Tecnología, administradores de sistemas y el CTO son roles que pueden ayudarte a generar esta política.

  • Conoce los manuales de uso de los sistemas alcanzados por esta política, de las configuraciones de seguridad que ofrecen, de sus nuevas funcionalidades, etcétera para asegurarte que implementas las mejores prácticas posibles.

¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
45. Política de Seguridad por Capas
29. Procedimiento de Aplicación de Parches de Seguridad 
28. Política de Tecnología y Operaciones de TI
Política de Seguridad de la Información en la Nube
Política de Tecnología y Operaciones de TI
¿Ha quedado contestada tu pregunta?