Consiga 4 meses GRATIS de Conformio para implementar ISO 27001

Siete pasos para implementar políticas y procedimientos

¿Alguna vez se ha encontrado en la situación de tener que redactar una política o un procedimiento de seguridad? ¿Y deseaba que su documento no terminara como tantos otros, juntando polvo en algún cajón olvidado? Estas son algunas ideas que podrían servirle de ayuda…

Los pasos que voy a presentarle fueron diseñados a partir de mi experiencia con diversos tipos de clientes, grandes y pequeños, oficiales y privados, con y sin fines de lucro, y creo que son aplicables a todos ellos. En realidad, estos pasos para implementar políticas y procedimientos son aplicables a cualquier tipo de políticas y procedimientos, no solo a los relacionados con ISO 27001 o ISO 22301.

1 Estudiar los requisitos

Primero debe estudiar muy detalladamente diversos requisitos: ¿Hay alguna legislación que requiera incluir algo específico por escrito? ¿O, tal vez, un contrato con su cliente? ¿O alguna otra política de alto nivel que ya exista en su organización (tal vez una norma corporativa)? Y, por supuesto, los requisitos de las normas ISO 27001 o BS25999-2, si tiene intención de cumplir con ellas.

2 Tomar en cuenta los resultados de su evaluación de riesgos

Su evaluación de riesgos determinará qué temas debe abordar en su documento, pero también en qué grado; por ejemplo, es posible que necesite decidir si clasificará su información de acuerdo a su confidencialidad y, en ese caso, si necesita dos, tres o cuatro niveles de confidencialidad.

Este paso puede no ser importante de esta forma si su política o procedimiento no está relacionado con la seguridad de la información o con la continuidad del negocio. Sin embargo, los principios de gestión de riesgos también son aplicables a otras áreas: gestión de calidad (ISO 9001), gestión ambiental (ISO 14001), etc. Por ejemplo, en la ISO 9001 usted debe determinar hasta qué punto un proceso es crucial para su gestión de calidad y, en base a ello, decidir si lo documentará o no.


3 Optimizar y alinear sus documentos

Algo que es importante tener en cuenta es la cantidad total de documentos; ¿redactará diez documentos de una página o un documento de diez páginas? Es mucho más sencillo administrar un documento, especialmente si el grupo de lectores al que se dirige es el mismo (pero no redacte un único documento de 100 páginas).

Además, debe tener mucho cuidado de alinear su documento con otros escritos similares; es posible que los temas que está definiendo ya hayan sido parcialmente definidos en otro documento. En ese caso, puede no ser necesario redactar un nuevo documento, sino simplemente ampliar el existente.

Si está redactando un nuevo documento sobre un tema ya tratado en otro, asegúrese de no ser redundante, de no describir el mismo tema en ambos documentos. Luego será una pesadilla actualizar ambos escritos; es mucho mejor que un documento haga referencia a otro, sin repetir lo mismo.

4 Estructurar el documento

También tiene que tener cuidado de respetar las normas de su empresa para darle un formato al documento; es posible que ya haya una plantilla con fuentes, encabezados, pies de páginas y demás aspectos predeterminados.

Si usted ya ha implementado la norma ISO 27001 o la BS 25999-2 (o cualquier otra norma de gestión), deberá respetar un procedimiento para control de documentos. Este tipo de procedimiento no sólo define el formato del documento sino también las reglas para su aprobación, distribución, etc.

5 Redactar el documento

El criterio general es que cuanto más pequeña sea la organización y menores sean los riesgos, menos complejo será su documento. No existe nada más inútil que redactar un extenso documento que nadie leerá; usted debe comprender que la lectura del documento demanda tiempo y que el nivel de atención que uno le presta es inversamente proporcional a la cantidad de líneas que tiene.

Una buena técnica para vencer la resistencia de otros empleados sobre este documento (a nadie le gusta el cambio, especialmente si ello implica una especie de obligación de cambiar regularmente las contraseñas) es involucrándolos en la redacción o haciendo aportes al mismo; de esta forma comprenderán por qué es necesario.

6 Conseguir la aprobación del documento

Este paso es un tanto evidente, pero su importancia fundamental es esta: si usted no es un funcionario de alto rango en su empresa, no tendrá autoridad para hacer cumplir este documento.

Es por ello que alguien en una posición de esa jerarquía debe comprenderlo, aprobarlo y requerir activamente su implementación. Suena sencillo, pero créame; no lo es. Este paso (y el siguiente) son donde la implementación fracasa con mayor frecuencia.

7 Capacitación y concienciación de sus empleados

Probablemente, este paso es el más importante pero, lamentable y generalmente, es uno de los más olvidados. Como se mencionó anteriormente, los empleados están cansados de los cambios permanentes y, seguramente, no recibirán con los brazos abiertos una nueva modificación; especialmente si implica más trabajo para ellos.

Por lo tanto, es muy importante explicarles a sus empleados por qué es necesaria esta política o procedimiento, por qué es bueno no solamente para la empresa sino también para ellos mismos.

A veces, hará falta capacitación; sería incorrecto asumir que todos poseen las habilidades y conocimientos para implementar nuevas actividades. Para usted, que redactó este documento, puede parecer sencillo y evidente, pero para ellos puede asemejarse a una cirugía cerebral.

¿Fin de la historia?

Si usted pensó que había llegado al final de la historia de la implementación de su documento, está equivocado. El viaje recién empieza. No es suficiente tener una política o procedimiento perfectos que a todos les encanta, también es necesario mantenerlo.

Alguien debe velar por que este documento sea actualizado y mejorado, en caso contrario, nadie lo seguirá teniendo en cuenta; y esa persona es, generalmente, la misma que lo ha redactado. No sólo eso, alguien debe evaluar si este documento ha logrado su objetivo; nuevamente, esta persona podría ser usted.

Como puede haber notado al leer este artículo, no es suficiente tener una buena plantilla para contar con una política o procedimiento exitosos. Lo que se necesita es un enfoque sistemático para su implementación. Y al hacerlo, no se olvide de lo más importante: el documento no es un fin en sí mismo; es solamente una herramienta para hacer que sus actividades y procesos se ejecuten sin problemas. No deje que ocurra lo contrario; que un documento de este tipo dificulte la ejecución de esas actividades y procesos.

Para crear y manejar documentos de forma más facil, consulte Sistema de gestión de documentos de Conformio.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.