Elementos Clave de Políticas de Seguridad de la Información

Mis apuntes: # 4. Políticas de seguridad Las políticas de seguridad conforman el documento que nos da la directriz de operación, define como vamos a proteger la operación y como debemos operar sobre estas, estos documentos deben ser socializados, comunicados, transmitidos a todos y a cada uno de los colaboradores de la organización, incluso partes interesadas, inversionistas y la mesa directiva, a ese conjunto de integrantes se le domina como STAKEHOLDERS. Elementos generales que conforman la política de seguridad: · **Objetivo y alcance:** Se enfoca a que se desea proteger, sobre que ámbito de las operaciones de negocios quiere regular. · **Principios de seguridad:** Son los alineamientos que se van a desarrollar en los procedimientos, el procedimiento te indica como se debe operar la política de lo que debería proteger. · **Roles y Responsabilidades:** Son aquellas personas que están conectados a esta política, quienes son los responsables de hacerla cumplir y validar que otros la estén cumpliendo. · **Clasificación y manejo de la información:** Es donde podemos identificar la sensibilidad de la información, que tan crítica es la información · **Acceso a la Información:** Se establece una guía para los controles que debemos implementar, se requiere múltiples factores de autenticación como lo es una tarjeta magnética o algo mas complejo, todo depende de la información sensible. · **Gestión de incidentes de seguridad:** Como se gestiona el incidente con respecto a la operación para indicar los canales de comunicación. · **Formación de seguridad:** Es la competencia que debe tener una para desarrollar esa actividad. · **Continuidad del negocio:** Da referencia al éxito mínimo necesario que debemos cumplir en los procedimientos para que opere el proceso del negocio. · **Revisión y auditoria:** Cada cuanto se le hará revisión o evaluación a esta política, Se suele crear una política y no se suele actualizar estos documentos que nos ayuda a proteger los activos de información relacionado al modelo de negocio.

Actualmente, curso un maestría en ciberseguridad y utilizó mucho ChatGPT y Claude para la generación de estos documentos. (Siendo el último mucho mejor en mi opinión.) La verdad es importante sentarse a leer a conciencia lo que genera porque dependiendo de la calidad de tu prompt puede alucinar o ser muy vago. Adicionalmente, yo añadiría que amplie más a los puntos, a veces uso otro chat para preguntarle sobre conceptos que no entiendo, o le digo a la IA que analice si la respuesta dada en el anterior chat es correcta y desde allí voy trabajándolo poco a poco. Sin duda la IA es un potenciador.

Esto fue lo que me genero para una empresa de venta de ropa; **Política General de Seguridad de la Información** **Paradise Tech** *Fecha de entrada en vigor: \[Fecha]* En Paradise Tech, nos comprometemos a garantizar la seguridad de la información en todas las operaciones relacionadas con la venta y envío de ropa. Reconocemos que la seguridad de la información es fundamental para mantener la confianza de nuestros clientes, proteger nuestra reputación y cumplir con los requisitos legales y contractuales pertinentes. Por lo tanto, establecemos la siguiente política general de seguridad de la información: **Compromiso de la Organización** 1. La seguridad de la información es una prioridad para Paradise Tech y forma parte integral de nuestras operaciones comerciales. 2. Nos comprometemos a proteger la confidencialidad, integridad y disponibilidad de la información en todas sus formas, incluidos los datos de clientes, proveedores, empleados y socios comerciales. 3. Aseguraremos que los objetivos del Sistema de Gestión de Seguridad de la Información (SGSI) estén alineados con los objetivos de negocio de Paradise Tech, contribuyendo así al crecimiento y la sostenibilidad de la organización. **Gestión de Riesgos** 1. Implementaremos un proceso de gestión de riesgos para identificar, evaluar y mitigar los riesgos de seguridad de la información en todas las áreas de la empresa. 2. Estableceremos controles de seguridad adecuados para proteger los activos de información contra amenazas internas y externas. 3. Revisaremos periódicamente el SGSI para garantizar su eficacia y ajustarlo según sea necesario para abordar los nuevos riesgos y desafíos. **Cumplimiento Normativo y Contractual** 1. Paradise Tech se compromete a cumplir con todas las leyes, regulaciones y estándares relacionados con la seguridad de la información, incluidos, entre otros, los requisitos de la norma ISO 27001 y los estándares NIST. 2. Aseguraremos que todos los empleados, contratistas y terceros que manejen información de Paradise Tech cumplan con las políticas y procedimientos de seguridad de la información establecidos. 3. Garantizaremos que los acuerdos contractuales con proveedores y socios comerciales incluyan cláusulas de seguridad de la información que protejan los intereses de Paradise Tech y de sus clientes. **Responsabilidades** 1. La alta dirección de Paradise Tech será responsable de establecer, mantener y mejorar continuamente el SGSI, así como de proporcionar los recursos necesarios para su implementación efectiva. 2. Todos los empleados serán responsables de cumplir con las políticas y procedimientos de seguridad de la información, así como de reportar cualquier incidente o vulnerabilidad de seguridad que puedan identificar. 3. El equipo de seguridad de la información será responsable de supervisar la implementación del SGSI, realizar auditorías internas y proporcionar orientación y capacitación en materia de seguridad de la información. En Paradise Tech, estamos comprometidos con la seguridad de la información y nos esforzamos por mantener los más altos estándares de seguridad en todas nuestras operaciones. Esta política de seguridad de la información es un reflejo de nuestro compromiso con la excelencia y la protección de los intereses de nuestros clientes, empleados y socios comerciales. Firmado, \[Nombre del CEO o Alta Dirección] Paradise Tech Esta política general de seguridad de la información establece el marco general para la gestión de la seguridad de la información en Paradise Tech y proporciona una base sólida para el desarrollo e implementación del Sistema de Gestión de Seguridad de la Información (SGSI).

# Políticas de seguridad Conforman el documento que nos da la directriz de operación, define como vamos a proteger la información y como debemos operar sobre estas. Deben ser socializados, comunicados y trasmitidos a todos y cada uno de los involucrados en la organización, incluidas partes interesados, inversionistas y mesa directiva (stakeholders).  # Elementos generales que deben incluir una Política de Seguridad de la Información. * Objetivos y alcance: Enfocado a cual actividad que es lo que quiera proteger sobre que ámbito quiere estar. * Principios de Seguridad: Te dice lo lineamientos que se van a desarrollar en los procedimientos. Indica como debes operar. Te dice lo que deberías proteger. * Roles y responsabilidades: Te dice quienes están directamente conectados a este política. Responsables de hacerla cumplir, respetarla y validar que otros la estén cumpliendo. * Clasificación y Manejo de la Información: Apartado donde podemos identificar la sensibilidad de la información y su criticidad. * Acceso a la información: Entendiendo la criticidad de la misma, puede establecer una guía para los controles que debemos implementar. Si se necesitan múltiples factores de identificación, una tarjeta magnética 🧲 o lago más completa. * Gestión de incidentes de seguridad: Como vamos a gestionar el incidente relacionado a la operación. Identificar los canales de comunicación. * Formación de Seguridad: Indica la competencia que debe tener una persona para desarrollar una actividad. * Continuidad de negocio: No debe verse como algo apartado a las políticas generales. Todo forma parte agrega a que el negocio continúe. Nos puede indicar el requisito mínimo para que opera esta parte del negocio. * Revisión y auditoria: Definir la periodicidad e la que se revisaran y evaluar la efectividad de estas políticas. El modelo de negocio, cambia por lo que debemos actualizar estos documentos que protegen los activos de información relacionado al modelo de negocio. La políticas se deben de ver como un documento vivo, con un ciclo de vida del mantenimiento de esos documentos. Las políticas deben verse como documentos vivos, por lo que deben tener gestionados los controles de versiones, para saber quien los modifico y quienes tiene acceso. Es importante incluir la clausula de incumplimiento y quien va a atender en caso de comprobarse una falta de cumplimiento por parte de uno de los colaboradores. Importante tener un historial de revisiones acompañados de quien lo elaboro, quien lo reviso y quien lo aprobó. Para entender responsables y actores en la construcción de las políticas. Cada política puede tener un esquema de acuerdo a lo que quiera proteger. Puedes apoyarte de la IA para acelera la construcción de las políticas, entendiéndose como una guía y no como una absoluto. El **prompt** es: Eres un experto en Ciberseguridad Seguridad de la Información, certificado con los estándares de seguridad de la industria como ISO 27001, COBIT y con amplio conocimiento en los documentos y estándares del Instituto Nacional de Estándares y Tecnología NIST de los Estados Unidos, además cuentas con una MVA que e da la claridad suficiente para gestionar mentas de negocio a cualquier organización, con esto presente desarrolla los documentos que voy a solicitar a continuación: Y luego: Genera un modelo de una política de seguridad de la información para una empresa llamada (nombre de la empresa) dedicada a la (indicar aquí su giro) esta política debe ser clara en compromiso de la organización con la gestión de lograr con el Sistema de Gestión de Seguridad de la Información (SGSI) tales como asegurarse que lo objetivos del SGSI estén alineados con los objetivos del negocio, el desarrollo del programa de seguridad de la información y la gestión de riesgos, que todos los acores directos e indirectos cumplan con las normas establecidos, y que se cumplan los requisitos legales y contractuales alrededor de la privacidad de la información y el habeas data.

La mayoría de las pequeñas y medianas empresas ya deben comenzar a generar sus políticas de seguridad, no sólo debe estar destinada a grandes empresas... En las últimas semanas una de las grandes empresas en MÉXICO cómo COPPEL recibió un "HACKEO" y fueron semanas de fallos en sus sistemas, no podían ni siquiera realizar cobros con tarjeta, doy este ejemplo haciendo enfásis que si una empresa como esta con un buen recurso económico al parecer si dispone de una POLÍTICA DE SEGURIDAD, pero la misma pareciera estar en pañales pues debió estar preparada para solventar procesos lo más pronto.... En fin de acuerdo a la información que nos comparte el PROFE la verdad es que la implementación de la IA cómo CHATGPT si nos podrá ayudar a generar procesos de texto más rápidos y eficientes, pero no está demás que siempre le hechemos un buen ojo para ser los últimos en tomar la mejor desición de lo que se quede asentado dentro del documento.

gracias

Entonces queda claro que las políticas de seguridad de la información se generan de acuerdo al objetivo del negocio. Y si se recurre a la ayuda de chatGPT es necesario revisar detalladamente lo que propone esta IA y ajustarle a lo que queremos.

Recomiendo ver el curso en velocidad x0.85 para tomar notas.