Política de seguridad

Una política de seguridad consiste en la declaración general que representa la posición de una administración X con respecto a la protección de los activos de la información.

En este caso se plantea la elaboración de una política de seguridad para la administración de una pequeña empresa de reformas que consta de 7 empleados, dos de los cuales son administrativos en un despacho y cada uno dispone de un ordenador de sobremesa conectado a internet desde el que gestionan los presupuestos, facturas, pedidos y demás. Existe un Administrador General de la empresa y el resto son operarios de obra. 

El nombre de la empresa será "RenovaHogar" y su política de seguridad será la siguiente:

1. Objetivo, alcance y vigencia

El objetivo de la política de seguridad de "RenovaHogar" consistirá en la garantía de la seguridad de la información por medio de diferentes procedimientos incluyendo los datos confidenciales y privados al que tienen acceso los dos administrativos que gestionarán la seguridad de la información. En cuanto a su alcance, se basará en todas las áreas de la empresa, ya sean externas e internas; y establecida como vigente desde enero de 2024, haciendo la misma aplicable desde este preciso momento.

2. Responsables

Encontramos a los dos administrativos como responsables de la misma a los cuales dividiremos las funciones:

Por un lado, uno de ellos será el Administrador General de la empresa (quién ejercerá la alta dirección de la misma) y por tanto responsable de la estrategia de seguridad, responsable de la implementación de la misma, de la asignación de recursos necesarios para su cumplimiento, ... así como de la promoción de la cultura de seguridad de "RenovaHogar"; y el otro administrativo será el responsable de la operatoria diaria cuya función consiste en la supervisión del cumplimiento e implementación de la misma así como la comunicación de las posibles vulnerabilidades o riesgos a los que se somete. Todos los empleados, serán igualmente responsables de la comunicación de dichas vulnerabilidades y riesgos.

3. Autorización de emisión, revisión y publicación

Se debe tener en cuenta que cualquier auditor debe saber qué autoridad emitió, revisó y publicó el documento, que en nuestro caso será el Administrador General de la empresa. Y con dicha emisión su envío a los miembros del directorio solicitando su conformidad a partir de señas de identidad como una firma. 

4. Acceso a la información y protección de datos (medidas de seguridad)

Los administrativos tendrán la responsabilidad de no compartir sus claves de acceso ni credenciales a ningún tercero garantizando así la restricción del acceso a los sistemas de seguridad de la empresa, añadiendo ciertas normas en las contraseñas para que no sean fáciles de adivinar, además de exigir un cambio regular de las mismas:

8 caracteres, incluir mínimo un número, incluir mínimo un símbolo (?,_,:,$,%,@,!), incluir mínimo una mayúscula

Se deben establecer copias de seguridad de la información para evitar la pérdida de datos confidenciales por posibles incidentes de la seguridad.

Debemos implementar una revisión periódica de software para su mantenimiento actualizado, acompañado del uso de programas antimalware, además de protección física a los equipos informáticos y sistemas de almacenamiento de datos.

5. Consecuencias del incumplimiento

Dependiendo de la seguridad de la empresa que se vea afectada por dicho incumplimiento y su respectivo impacto, se tomarán medidas disciplinarias que abarcarán desde advertencias formales, sanciones administrativas, suspensión de empleo, ... pudiendo exigirse la responsabilidad legal y financiera de "RenovaHogar".

Conclusiones e impresión personal sobre la necesidad de una política de seguridad

Como conclusión, una política de seguridad debe garantizar la protección de los diferentes activos de una empresa, entre los que existen sus "datos". Para cualquier empresario la creación de la misma debe de ser su mayor preocupación y por tanto suponerle su mayor responsabilidad, ya que si sus datos no están a salvo, nada lo está, pudiendo acontecer con graves riesgos financieros o incluso de reputación de la misma. Los riesgos cibernéticos cada vez son más numerosos e imprevisibles en el mundo actual de forma que se debe concienciar de la creación de una cultura de seguridad pudiendo así reducir esos riesgos y crear relaciones comerciales y con el cliente basadas en la confianza. 

Firmado: RenovaHogar