o Debe de ser redactada de una manera accesible para todo el personal de la organización. (Corta, precisa y de fácil comprensión).
o Debe ser aprobada por la dirección y publicitada por la misma.
o Debe ser de dominio público dentro de la organización, por lo que debe estar disponible para su consulta siempre que sea necesario.
o Debe ser la referencia para la resolución de conflictos y otras cuestiones relativas a la seguridad de la organización.
o Debe definir responsabilidades teniendo en cuenta que éstas van asociadas a la autoridad dentro de la compañía. En función de las responsabilidades se decidirá quién está autorizado a acceder a qué tipo de información.
o Debe de indicar que lo que se protege en la organización incluye tanto al personal como a la información, así como su reputación y continuidad.
o Debe ser personalizada totalmente para cada organización.
o Debe señalar las normas y reglas que van a adoptar la organización y las medidas de seguridad que serán necesarias.
El contenido debería incluir al menos los siguientes cinco apartados:
- Una definición de la seguridad de la información y sus objetivos globales, el alcance de la seguridad y su importancia como mecanismo de control que permita compartir la información.
- Declaración por parte de la Dirección apoyando los objetivos y principios de la seguridad de la información.
- Breve explicación de las políticas.
- Definición de responsabilidades generales y específicas, en las que se incluirán los roles pero nunca a personas concretas dentro de la organización.
- Referencias a documentación que puede sustentar la política.
La Política de Seguridad debe ser un documento completamente actualizado, por lo que debe ser revisado y modificado anualmente (el tiempo dependerá de la necesidad de la organización).
Debe revisarse y actualizarse después de grandes incidentes de seguridad, después de una auditoría del sistema sin éxito y frente a cambios que afectan a la estructura de la organización.
- Organización de la Seguridad: se realiza la revisión de los aspectos organizativos de la entidad y la asignación de nuevas responsabilidades.
Dentro de las nuevas responsabilidades hay tres de gran importancia:
o Responsable de Seguridad, que es la persona que se va encargar de coordinar todas las actuaciones en materia de seguridad dentro de la empresa.
o El Comité de Dirección que está formado por los directivos de la empresa y que tendrá las máximas responsabilidades y aprobará las decisiones de alto nivel relativo al sistema.
o Comité de Gestión, que controlará y gestionará las acciones de la implantación del sistema colaborando muy estrechamente con el responsable de seguridad de la entidad.
Este comité tendrá potestad para asumir decisiones de seguridad y está formado por personal de los diferentes departamentos involucrados en la implantación del sistema.
Al plantear la nueva organización de la seguridad hay que tener en cuenta la relación que se mantienen con terceras partes que pueden acceder a la información en algún momento, identificando posibles riesgos y tomando medidas al respecto.
- Formación y Concienciación del Personal: es crear en la organización una cultura de seguridad.
o La concienciación y la divulgación consiguen en que los usuarios conozcan qué actuaciones se están llevando a cabo y por qué se están realizando. Con ello se concede transparencia al proceso y se involucra al personal.
o La formación logra que los usuarios desarrollen las nuevas actividades de acuerdo a la normativa y a los términos establecidos.
Ejemplo Ayuntamiento de Málaga
OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
El Ayuntamiento de Málaga ha establecido un marco de gestión de la seguridad de la información según lo establecido por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, reconociendo así como activos estratégicos la información y los sistemas que la soportan.
Uno de los objetivos fundamentales de la implantación de este marco de referencia es el asentar las bases sobre las cuales los trabajadores públicos y los ciudadanos puedan acceder a los servicios en un entorno de gestión seguro, anticipándonos a sus necesidades, y preservando sus derechos.
La Política de Seguridad de la Información protege a la misma de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos del Ayuntamiento de Málaga.
La gestión de la seguridad de la información ha de garantizar el adecuado funcionamiento de las actividades de control, monitorización y mantenimiento de las infraestructuras e instalaciones generales, necesarias para la adecuada prestación de servicios, así como de la información derivada del funcionamiento de los mismos. Para ello, se establecen como objetivos generales en materia de seguridad de la información los siguientes:
- Contribuir desde la gestión de la seguridad de la información a cumplir con la misión y objetivos establecidos por el Ayuntamiento de Málaga.
- Disponer de las medidas de control necesarias para el cumplimiento de los requisitos legales que sean de aplicación como consecuencia de la actividad desarrollada, especialmente en lo relativo a la protección de datos de carácter personal y a la prestación de servicios a través de medios electrónicos.
- Asegurar el acceso, integridad, confidencialidad, disponibilidad, autenticidad, trazabilidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
- Proteger los recursos de información del Ayuntamiento de Málaga y la tecnología utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información.
Esta Política de Seguridad asegura un compromiso manifiesto de las máximas Autoridades del Ayuntamiento de Málaga, para la difusión, consolidación y cumplimiento de la presente Política.
ALCANCE
Esta Política se aplica a todos los Departamentos Municipales del Ayuntamiento de Málaga, entendiendo por Departamentos Municipales a sus Direcciones Generales, Organismos Autónomos, Sociedades Municipales con mayoría de capital social municipal y demás entes que decida la Junta de Gobierno Local; a sus recursos y a los procesos afectados por el Real Decreto 3/2010, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.