En los artículos anteriores comentamos sobre lo importante
que es para el proyecto de implementación del Sistema de Gestión de Seguridad
de la Información-SGSI, el apoyo de la Alta Gerencia y tener un procedimiento
para el control de documentos y registros. Pues bien ahora en este tercer paso
debemos realizar dos documentos muy importantes para la implementación del SGSI
y que son la base para los siguientes documentos que son requisitos de la
norma. Estos documentos son el Alcance del SGSI y la Política del SGSI.
Alcance del SGSI
Antes de iniciar con las actividades que demanda el proyecto
de implementación del SGSI, se debe definir su alcance. En este documento se
debe determinar lo que abarcará el Sistema, es decir, los procesos o partes de
la Organización que serán incluidos. El Comité del Proyecto en coordinación con
las autoridades de la Organización, debe definir cuáles son los procesos
críticos y decidir que de ello es lo que se quiere proteger.
En el alcance se debe dejar claramente especificadas las
actividades de la Organización, las ubicaciones físicas que tienen que
considerarse y la tecnología con que se cuenta.
Así mismo, en este documento, se debe considerar los
recursos económicos y recurso humano que va a estar incluido en el proyecto de
implementación del Sistema. Igualmente se debe indicar los recursos que se
requieren para el mantenimiento posterior a la implementación.
Política de Seguridad de la Información
El objetivo de la Política de Seguridad de la Información es
reflejar a todo su personal lo que la Organización quiere conseguir al
implementar el Sistema de Gestión de Seguridad de la Información. Este
documento debe ser redactado de manera sencilla y clara para que los Directivos
y en general todo el personal sean capaces de apoyar y controlar todo lo que
ocurre en el Sistema.
A continuación se indica brevemente las consideraciones a
tener en cuenta al momento de redactar la política de seguridad de la
información:
·
Cada Organización tiene sus particularidades,
por tanto es necesario que la política de seguridad de la información sea
adaptada a la realidad y necesidades de la Organización. Probablemente si la
Organización es pequeña no requiera de todas las consideraciones que se estimen
para una gran Organización.
·
Debe ser explícito el compromiso que tiene la
Alta Gerencia para cumplir con los requisitos que exige la norma y para mejorar
continuamente el Sistema de Gestión de Seguridad de la Información.
·
La política debe ser debidamente comunicada a
toda la Organización y demás partes interesadas, para ello es importante
definir el responsable de la comunicación inicial y continua.
·
La política debe ser revisada en forma continua,
para asegurar cubrir nuevos riesgos a los activos de información. Se debe
definir el periodo que será revisada y el responsable de gestionar esta tarea.
·
La política “principal” no debe ser un documento
extenso, para ello se realizará políticas diversas detalladas, por ejemplo:
política de control de accesos, política de clasificación, etc.
Estos documentos son obligatorios
y básicos para el desarrollo del proyecto, tome todo el tiempo necesario para
que éstos cuenten con el aporte y consenso de todo el personal que
involucra la Seguridad de la Información.
