¿Cómo redactar tu primera política de seguridad?

Aquí os dejo un ejemplo de una política de seguridad (con los aspectos a considerar para redactarla) y su importancia:

• (Definir política) La alta dirección de la empresa "RenovaPro" preocupada por la protección de la información sensible y confidencial gestionada por sus empleados administrativos afirma su compromiso hacia esta política de seguridad de la información que garantiza la confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad. Cinco dimensiones recogidas en el Esquema Nacional de Seguridad (ENS). La alta dirección será al responsable de la implementación y supervisión de esta política.
• (Delimitar alcance) Esta política se aplica a todos los empleados administrativos internos de la empresa. Y al personal externo, como pudieran ser los proveedores, que posean cualquier información sensible de la empresa.
• (Responsables) Los administrativos serán responsables de manejar la información de forma segura. Por consiguiente, deberán autentificarse mediante el uso de contraseñas, las cuales se cambiarán regularmente. Además, no compartirán información con personas no autorizadas.

Los operarios de obra, como los proveedores, tendrán acceso limitado a la información crítica de la empresa. Sólo podrán acceder cuando sea necesario para realizar sus funciones pertinentes.

• (Gestión del riesgo) Todos los sistemas sujetos a esta Política deberán realizar un análisis de riesgos evaluando las amenazas, su probabilidad y su impacto. El análisis se repetirá regularmente, 1 vez al año.
• (Controles de seguridad) Se implementarán medidas de control de acceso para garantizar que solo personal autorizado pueda acceder a información confidencial. Del mismo modo, se implementarán firewalls para proteger los datos durante su transmisión por la red. En suma, se harán copias de seguridad completas de forma periódica. Estas copias se almacenarán de forma segura.
• (Consecuencias del incumplimiento) Dependiendo de la gravedad las consecuencias podrán ir desde medidas disciplinarias, como suspensiones, hasta el despido. Además, se podrían dar también consecuencias legales.
• (Revisión) La revisión de esta política se hará anualmente. Asimismo, se adaptará y mejorará en función de los cambios en la organización o en factores que puedan tener impacto en la misma.

Personalmente creo que la política de seguridad de la información es fundamental para una empresa, pues el activo más importante de esta es su propia información y conocimiento. Creo que es la única forma de garantizar un manejo seguro de dicha información y proteger la integridad de la empresa.