Ir al contenido principal

FAQs - 5. Política de Seguridad de la Información

👉¿Cómo se realiza el etiquetado de información y cuál es su objetivo?

R: Para cumplimiento de los controles normativos de ISO 27001, los activos de información deben ser etiquetados con base en la clasificación definida en esta política, es decir si es información confidencial, sensible, pública, etcétera.

Su principal objetivo es que la información contenida en dichos activos sea tratada adecuadamente. Por ejemplo, si tengo acceso a un documento que tiene una leyenda de “información confidencial”, debo saber que no puedo compartirlo con nadie más, a menos que esté previamente autorizado, y que debo cuidar que nadie más pueda verlo mientras estoy trabajando en él.

El etiquetado de la información puede realizarse de forma física o digital, dependiendo del formato del activo.

💡 Dentro de esta Política de Seguridad de la Información te proponemos algunos métodos para el etiquetado de información, pero debes colocar solo aquellos que realmente utilizas.

👉 ¿Cuáles son sus recomendaciones para las soluciones de seguridad que me pide la política de seguridad (antivirus, firewall, etcétera)?

R: Para conocer el listado completo de las recomendaciones de herramientas y soluciones de seguridad que tenemos para ti, te sugerimos leer el siguiente artículo.

👉 ¿Qué características debe tener un antimalware para cumplir con los requisitos de ISO 27001?

R: El control normativo que nos habla sobre esto es el 8.7 de ISO 27001 (en su versión 2022). Es importante recordar que las características de este sistema, y de cualquier otro utilizado dentro de la empresa, dependen de sus necesidades de seguridad, y la normativa no restringe ni solicita algo en específico. Pero algunas de las principales características que recomendamos que tenga su solución antimalware son las siguientes:

  • Poder realizar una validación automatizada y periódica del software y el contenido de datos de los sistemas.

  • Poder actualizar regularmente el software para la detección y reparación de malware.

  • Poder escanear computadoras y medios de almacenamiento electrónico que incluyan la revisión de:

    • Cualquier dato recibido a través de redes o medio de almacenamiento electrónico.

    • Archivos adjuntos y descargas de correo electrónico y mensajería instantánea.

    • Páginas web en busca de malware cuando se accede a ellas.

👉¿A qué se refiere el saneamiento y destrucción de activos de información, y cuándo son aplicables estos métodos?

R: El saneamiento de activos se aplica cuando los equipos son reutilizados, y es necesario implementar un borrado seguro de la información que contienen. Por ejemplo, si un colaborador se va de la empresa y devuelve su computadora (si es propiedad de la empresa), se le aplican métodos de saneamiento o borrado seguro para que otro colaborador pueda usarla sin riesgo a que acceda, incluso por error, a información no autorizada.

La destrucción de activos se aplica cuando el equipo ya no será reutilizado, ya no es necesario para la empresa, ya cumplió su ciclo de vida, o algún caso similar. Esto se implementa principalmente en activos físicos como documentación impresa, servidores, computadoras, celulares, etcétera. Por ejemplo, si la empresa cuenta con un servidor físico el cual dejará de ser necesario ya que van a migrar su infraestructura a la nube, el servidor puede ser destruido por medio un proveedor autorizado, si la empresa así lo decide. Otro ejemplo puede ser si un equipo de cómputo sufre daños irreparables y la empresa desea asegurarse de que la información contenida en él sea inaccesible, puede destruir el equipo.

👉¿Todos los colaboradores deben firmar una declaración de que leyeron las políticas de seguridad de la información?

R: No es un deber el que firmen una declaración, pero se recomienda que, al comunicar y distribuir la política a todo el personal interesado, se genere una respuesta por su parte para dejar registro, por lo menos, de su confirmación de enterados.

Si dejan registro de que la política fue leída y comprendida, ¡mucho mejor! Esto puede ser por correo electrónico, comunicado por medio de Slack, Teams o herramienta similar.

👉¿Con qué tipo de autoridades debo tener contacto para cumplir con los requisitos normativos?

R: Las autoridades con las que se recomienda tener contacto dentro del programa de seguridad son aquellas a las que puedes solicitar apoyo en caso de que ocurran incidentes, brechas, denuncias, etcétera. Estas autoridades pueden ser organismos de gobierno, entidades regulatorias, departamentos de policía / policía cibernética, etcétera. Y pueden variar según el país donde te encuentres.

Para esto, se debe tener un listado donde se declaren cuáles son estas autoridades y el contacto correspondiente, que puede ser un número telefónico, una dirección de correo, etcétera. Por ejemplo, para México existen autoridades como la Secretaría Anticorrupción y Buen Gobierno en México, Protección Civil, Policía Cibernética, entre otras.

💡 Si aún no has tenido la necesidad de contactar a estas autoridades para levantar algún reporte, la evidencia de cumplimiento ante una auditoría es directamente el listado de esta política donde las declaras.

👉¿Con qué tipo de grupos de interés debo tener contacto para cumplir con los requisitos normativos?

R: La diferencia entre “autoridades” y “grupos de interés” es que estos últimos deben informarte y mantenerte al día sobre las novedades dentro de la ciberseguridad.

Pero al igual que para las autoridades, se debe tener un listado donde se declaren cuáles son los grupos de interés con los que la empresa se informa, y el contacto correspondiente, que puede ser un número telefónico, una dirección de correo, etcétera.

Estos grupos pueden ser empresas especialistas en seguridad de la información, institutos u organizaciones de investigación, boletines sobre seguridad, etcétera. Por ejemplo, ISACA, SANS Institute, CSA, PECB, boletines de empresas como Amazon, Azure, Google o cualquier otro proveedor que tengas dentro de tu SGSI, ya que el informarte sobre actualizaciones de sus sistemas, posibles vulnerabilidades o cualquier novedad en su servicio aporta mucho valor a tu programa de seguridad.

¡Incluso nuestras Hacknews, nuestro blog y los foros de Hackmeets que organizamos, aplican para este punto! 🌟

👉¿Con la sección que habla sobre protección de datos personales dentro de esta política puedo cumplir con requisitos legales y/o contractuales relacionados a este tema?

R: No precisamente, ya que es importante recordar que los requisitos de ISO 27001 tienen como principal enfoque la seguridad de la información de manera general. La información que deseas proteger la defines al momento de establecer tu enunciado de alcance del SGSI, las áreas y procesos alcanzados, etcétera, y puede que éstos no contengan datos personales.

Con la documentación y controles implementados en tu SGSI sí puedes cubrir ciertos puntos, artículos, cláusulas, etcétera de una ley o regulación, pero es muy importante recordar que estos estándares de ISO no están por sobre la ley, y se debe verificar que todo lo implementado para cumplimiento normativo esté alineado también con el cumplimiento legal y regulatorio.

👉¿A qué se refiere el proceso disciplinario para los colaboradores y cómo se establece?

R: El proceso disciplinario se refiere a las medidas que se deben tomar cuando un colaborador no cumple con los lineamientos establecidos en las políticas de seguridad y/o genera una brecha de seguridad accidental o intencionalmente.

Esto se puede plasmar como una cláusula dentro de los contratos con los colaboradores y/o como lineamientos específicos dentro de las políticas de la empresa, como bien lo proponemos nosotros dentro del template para esta actividad ✅.

👉¿Cómo debo gestionar la seguridad física si utilizo un cowork u oficina compartida?

R: Es común que las empresas asuman que no les aplican los controles de seguridad física ya que trabajan en remoto y/o tienen toda su infraestructura en la nube. Pero es muy importante considerar este tipo de instalación que corresponde a coworks u oficinas compartidas.

Algunos puntos puede que no sean compatibles con tu empresa, pero es muy importante que para implementar los controles de seguridad física pertinentes, consideres los siguientes aspectos:

  • Protección de archivos físicos como documentación impresa, servidores propios, computadoras de escritorio, medios extraíbles, etcétera.

  • No dejar equipos de cómputo desatendidos e implementar una política de escritorios limpios (tanto escritorios físicos como virtuales) para prevenir que haya información confidencial a la vista.

  • Control de accesos adecuado, el cual puede incluir una bitácora de registro para visitantes, tarjetas y/o códigos de acceso solo para colaboradores, accesos biométricos, etcétera.

  • Servicios de seguridad como por ejemplo guardias, recepcionistas, vigilantes, etcétera.

  • Videovigilancia 24 horas.

  • Contar con áreas que garanticen la seguridad e integridad física de las personas. Es decir, que cuente con salidas de emergencia, puntos de reunión, extintores, etcétera.

  • Revisión y evaluación periódica del arrendador o propietario de las oficinas, ya que funge como un proveedor dentro de tu programa de seguridad.

Dependiendo lo que sea aplicable a tus operaciones, debes establecer lineamientos de seguridad física dentro de tu Política de Seguridad de la Información.

👉¿A qué se refiere el término “nube multitenant”?

R: Dentro de los servicios de nube existe un modelo llamado tenencia múltiple o multi-tenant, que significa que varios clientes (múltiples inquilinos) de dicho proveedor de nube utilizan los mismos recursos informáticos. Es decir, usan la aplicación desde un mismo entorno operativo en un hardware y recursos compartidos.

💡 Se recomienda no utilizar este tipo de servicios para la implementación del SGSI de la empresa, pero si ya trabajan con este modelo y es el que se alinea a sus necesidades de negocio, no hay problema, solo será importante ajustar los lineamientos asociados a esto dentro de la Política de Seguridad de la Información, y poder explicar adecuadamente cómo protegen su información con este modelo de nube durante una auditoría.

👉¿Existen otras recomendaciones para la definición de los niveles de clasificación de información?

R: ¡Claro! Si consideras que los 3 niveles que proponemos en nuestro template de Política de Seguridad de la Información que corresponden a:

  • Información confidencial o sensible

  • Información organizacional o interna

  • Información pública

Puedes definir otros niveles de manera que consideren medidas adicionales de protección de información e incluso de datos personales. A continuación te dejamos algunos ejemplos:

  • Información sensible: Incluye datos personales sensibles (datos de salud, sexualidad, vínculo a sindicatos, datos biométricos, religión y raza), secretos del negocio o información crítica del negocio cuyo acceso no autorizado puede causar graves daños.

  • Información confidencial: Incluye datos como contratos, datos financieros internos o datos personales comunes que requieren protección para evitar impactos moderados.

  • Información organizacional / privada / interna: Compuesta por procedimientos internos o datos operativos, disponible para todos los colaboradores de la empresa, pero que no son públicos, y cuya exposición tendría bajo impacto.

  • Información pública: Destinada a difusión libre, como comunicados oficiales o contenido del sitio web.

Artículos relacionados
FAQs - 3. Política de Comité de Seguridad
FAQs - 15. Minuta de Sesión de Comité de Seguridad
FAQs - 22. Política de BYOD
FAQs - 44. Matriz de Evaluación de Requisitos Legales y Contractuales
FAQs - 25. Procedimiento de Gestión de Incidentes de Seguridad
¿Ha quedado contestada tu pregunta?