Profesor: Pablo Pizarro

Procedimientos para implementar las

políticas de seguridad en cada empresa.
¿Alguna vez se ha encontrado en la situación de tener que redactar una política o
un procedimiento de seguridad? ¿Y deseaba que su documento no terminara
como tantos otros, juntando polvo en algún cajón olvidado? Estas son algunas
ideas que podrían servirle de ayuda…

1 Estudiar los requisitos

Primero debe estudiar muy detalladamente diversos requisitos: ¿Hay alguna
legislación que requiera incluir algo específico por escrito? ¿O, tal vez, un contrato
con su cliente? ¿O alguna otra política de alto nivel que ya exista en su
organización (tal vez una norma corporativa)? Y, por supuesto, los requisitos de
las normas ISO 27001 o BS25999-2, si tiene intención de cumplir con ellas.

2 Tomar en cuenta los resultados de su evaluación de riesgos

Su evaluación de riesgos determinará qué temas debe abordar en su documento,
pero también en qué grado; por ejemplo, es posible que necesite decidir si
clasificará su información de acuerdo a su confidencialidad y, en ese caso, si
necesita dos, tres o cuatro niveles de confidencialidad.

Este paso puede no ser importante de esta forma si su política o procedimiento no

está relacionado con la seguridad de la información o con la continuidad del
negocio. Sin embargo, los principios de gestión de riesgos también son aplicables
a otras áreas: gestión de calidad (ISO 9001), gestión ambiental (ISO 14001), etc.
Por ejemplo, en la ISO 9001 usted debe determinar hasta qué punto un proceso
es crucial para su gestión de calidad y, en base a ello, decidir si lo documentará o
no.

3 Optimizar y alinear sus documentos

Algo que es importante tener en cuenta es la cantidad total de documentos;
¿redactará diez documentos de una página o un documento de diez páginas?
Es mucho más sencillo administrar un documento, especialmente si el grupo de
lectores al que se dirige es el mismo (pero no redacte un único documento de 100
páginas).

Además, debe tener mucho cuidado de alinear su documento con otros escritos
similares; es posible que los temas que está definiendo ya hayan sido
parcialmente definidos en otro documento. En ese caso, puede no ser necesario
redactar un nuevo documento, sino simplemente ampliar el existente.

Si está redactando un nuevo documento sobre un tema ya tratado en otro,

asegúrese de no ser redundante, de no describir el mismo tema en ambos
documentos. Luego será una pesadilla actualizar ambos escritos; es mucho mejor
que un documento haga referencia a otro, sin repetir lo mismo.

4 Estructurar el documento
También tiene que tener cuidado de respetar las normas de su empresa para darle
un formato al documento; es posible que ya haya una plantilla con fuentes,
encabezados, pies de páginas y demás aspectos predeterminados.

Si usted ya ha implementado la norma ISO 27001 o la BS 25999-2 (o cualquier

otra norma de gestión), deberá respetar un procedimiento para control de
documentos. Este tipo de procedimiento no sólo define el formato del documento
sino también las reglas para su aprobación, distribución, etc.

5 Redactar el documento
El criterio general es que cuanto más pequeña sea la organización y menores
sean los riesgos, menos complejo será su documento. No existe nada más inútil
que redactar un extenso documento que nadie leerá; usted debe comprender que
la lectura del documento demanda tiempo y que el nivel de atención que uno le
presta es inversamente proporcional a la cantidad de líneas que tiene.

Una buena técnica para vencer la resistencia de otros empleados sobre este
documento (a nadie le gusta el cambio, especialmente si ello implica una especie
de obligación de cambiar regularmente las contraseñas) es involucrándolos en la
redacción o haciendo aportes al mismo; de esta forma comprenderán por qué es
necesario.
6 Conseguir la aprobación del documento
Este paso es un tanto evidente, pero su importancia fundamental es esta: si usted
no es un funcionario de alto rango en su empresa, no tendrá autoridad para hacer
cumplir este documento.

Es por ello que alguien en una posición de esa jerarquía debe comprenderlo,
aprobarlo y requerir activamente su implementación. Suena sencillo, pero créame;
no lo es. Este paso (y el siguiente) son donde la implementación fracasa con
mayor frecuencia.

7 Capacitación y concienciación de sus empleados

Probablemente, este paso es el más importante pero, lamentable y generalmente,
es uno de los más olvidados. Como se mencionó anteriormente, los empleados
están cansados de los cambios permanentes y, seguramente, no recibirán con los
brazos abiertos una nueva modificación; especialmente si implica más trabajo para
ellos.

Por lo tanto, es muy importante explicarles a sus empleados por qué es necesaria
esta política o procedimiento, por qué es bueno no solamente para la empresa
sino también para ellos mismos.

A veces, hará falta capacitación; sería incorrecto asumir que todos poseen las
habilidades y conocimientos para implementar nuevas actividades. Para usted,
que redactó este documento, puede parecer sencillo y evidente, pero para ellos
puede asemejarse a una cirugía cerebral.

¿Fin de la historia?
Si usted pensó que había llegado al final de la historia de la implementación de su
documento, está equivocado. El viaje recién empieza. No es suficiente tener una
política o procedimiento perfectos que a todos les encanta, también es necesario
mantenerlo.

Alguien debe velar por que este documento sea actualizado y mejorado, en caso
contrario, nadie lo seguirá teniendo en cuenta; y esa persona es, generalmente, la
misma que lo ha redactado. No sólo eso, alguien debe evaluar si este documento
ha logrado su objetivo; nuevamente, esta persona podría ser usted.
Como puede haber notado al leer este artículo, no es suficiente tener una
buena plantilla para contar con una política o procedimiento exitosos. Lo que se
necesita es un enfoque sistemático para su implementación. Y al hacerlo, no se
olvide de lo más importante: el documento no es un fin en sí mismo; es solamente
una herramienta para hacer que sus actividades y procesos se ejecuten sin
problemas. No deje que ocurra lo contrario; que un documento de este tipo
dificulte la ejecución de esas actividades y procesos.