¡Conozca todo acerca de las políticas de seguridad!

¿Qué es una política en una empresa?

Son pautas o criterios que se tienen en cuenta para la consecución de objetivos en la misma. Sirven para gobernar la acción en el caminar hacia un objetivo, ayudando a delegar y mantener la buena relación entre personas.

Es importante para las empresas definir las políticas que dirigirán su actividad. Cuando se habla de las políticas empresariales se hace referencia a un conjunto de lineamientos o principios estructurados, en distintos niveles, que guían la toma de decisiones y la acción de una empresa. Además, dependen de la naturaleza, la filosofía y los objetivos de la misma.

Es preciso diferenciar las políticas de las normas o reglas que se aplican de manera específica a ciertos casos. Las políticas son una serie de directrices a las que responden las normas, los procedimientos y las estrategias empresariales y como el marco dentro del que deben desarrollarse las actividades de la empresa.

Es decir, las Políticas son el Qué debemos hacer…y los procedimientos son el cómo las cumplimos…

Formalmente, las políticas empresariales se componen de:

• La declaración o enunciación del principio.
• La especificación del alcance (es decir, a quiénes atañe o a qué se aplica).
• El establecimiento de los mecanismos de ejecución (los órganos o departamentos que están a cargo de concretar las políticas).
• La determinación de los mecanismos de verificación (los procedimientos, protocolos, manuales y reglamentos que hacen efectivo el cumplimiento de las políticas).

Todos esos elementos se sistematizan en un documento consensuado y aprobado por la directiva, que se socializa con el resto de los miembros de la empresa.

Tenemos Políticas:

Políticas generales, que afectan a la empresa en su conjunto, son principios esenciales que responden a la estrategia y a la naturaleza de la empresa. Deben, además, ser la base de las políticas específicas.

Políticas específicas, que dirigen las acciones, decisiones y procedimientos llevados a cabo por los distintos departamentos que conforman la empresa.

Políticas de seguridad de la información y de datos personales:

La Política de Seguridad de la Información y la de Datos Personales, son políticas especificas que representan la posición de la alta gerencia, con respecto a la protección de los activos de Información, aplicable a los colaboradores, proveedores y terceros.

¿Qué es un activo en seguridad de la información?

Se puede considerar como un activo de información a:

Las herramientas o utilidades para el desarrollo y soporte de los sistemas de información. Personas que manejen datos, o un conocimiento específico muy importante para la organización (Por ejemplo: secretos industriales, manejo de información crítica, know how).

En Siesa tenemos 5 tipos de activos de Información: 

Tipo de Activo Información: digital o física, Hardware, Software, servicios y conocimiento “Cargos” , todo lo que procese información de alguna manera.

¿Cuál es el objetivo de la política de seguridad de la información?

• Proteger la información de una amplia gama de amenazas, con el fin de asegurar, la continuidad del negocio y minimizar el daño, Cumplir su misión y objetivos estratégicos entre otros.

Siempre proteger la Confidencialidad, Integridad y Disponibilidad de los activos de información

En Siesa tenemos nuestras políticas: 

Política de Seguridad de la Información.

• Nombre Técnico: PL-IQA-001 Política de seguridad de la Información.
• Quien la aprueba: el CEO
• Dónde está publicada: Intranet Mi SIESA. https://www.misiesa.com/nosotros/politicas/
• Aplica a todos los colaboradores, proveedores y contratistas es decir todos debemos cumplirla.

¿Qué dice la política?

Preservar la Confidencialidad, Integridad, y Disponibilidad de la información concerniente a las partes interesadas en el servicio de facturación electrónica de SIESA e-Invoicing, mediante la gestión de los riesgos de seguridad de la información, buscando siempre el cumplimiento de los requisitos de las partes interesadas, incluyendo los legales y reglamentarios y los aplicables. Esta política es de cumplimiento obligatorio por parte de todo el personal interno, externo y proveedores de la organización. Con esta política, SIESA se compromete con el logro de la mejora continua del Sistema de Gestión de Seguridad de la Información.

Sus objetivos son:

1. Gestionar los riesgos de seguridad de la información, pertinentes a las partes interesadas en SIESA e-invoicing, a través de la implementación de las opciones de tratamiento y los controles aplicables.
2. Gestionar los incidentes que afecten la confidencialidad, integridad y disponibilidad de la información mediante el análisis de eventos, la recolección de la evidencia, implementación de las acciones necesarias y el aprendizaje de las lecciones para prevenir incidentes futuros.
3. Mejorar el desempeño del Sistema de Gestión de Seguridad de la Información por medio del aumento de la eficacia de los controles de seguridad de la información.
4. Propiciar la cultura de seguridad de la información a través de la toma de conciencia.
5. Optimizar la infraestructura tecnológica para asegurar la confidencialidad, integridad y disponibilidad de la información por medio de la identificación de mejoras, correcciones, monitoreo y seguimiento de los activos tipo instalaciones de procesamiento de información.

Impactos de no cumplirla:

• Afectación de la Imagen y reputación de SIESA.
• Perdida de la certificación ISO27001.
• Es una desventaja frente a la continuidad de negocio en los clientes que son auditados por entes externos.
• Es una desventaja frente a la competencia.

Lo más importante:

Tener conciencia de nuestras responsabilidades en el cumplimiento de políticas y procedimientos que debemos aplicar.

En el próximo Blog, conoceremos más del manual de políticas de seguridad que debemos aplicar en el día a día en SIESA.

Fuente:  Martha Isabel Santos A. 

CISO  SIESA

[email protected]

Otras Referencias consultadas:

https://www.misiesa.com/wp-content/uploads/2021/07/Pol%C3%ADtica-de-Seguridad-de-la-Informaci%C3%B3n.pdf