Política de controles criptográficos - PYME

La P18S Política de controles criptográficos es una política especializada construida para pequeñas y medianas empresas (pymes), adaptada de forma específica a roles y procesos simplificados, en particular el rol de «Director General», en lugar de títulos específicos de grandes empresas como CISO o Centro de operaciones de seguridad (SOC). Garantiza que estas organizaciones implementen controles criptográficos robustos que protejan la confidencialidad, integridad y disponibilidad (CID) y la autenticidad de los datos empresariales y personales. El propósito principal de esta política es definir requisitos obligatorios para cifrado y otras medidas criptográficas, alineándose directamente con las necesidades de certificación ISO/IEC 27001:2022 y con marcos regulatorios como el GDPR, la Directiva NIS2 y la DORA de la UE. El alcance de la política abarca a todo el personal, incluidos empleados, contratistas y terceros, que traten datos de la empresa, y cubre cada sistema empresarial, endpoint o plataforma en la nube que almacene, transmita o acceda a información confidencial. Se aplica a todos los datos clasificados conforme a la Política de clasificación y tratamiento de la información de la empresa, y cubre controles criptográficos como métodos de cifrado, certificados, claves, contraseñas y módulos de seguridad. Sus requisitos de protección se extienden a los datos en reposo, en tránsito y en uso, e incluyen cifrado para sistemas de respaldo, correo electrónico, transferencias externas y sitios web de la organización. Los objetivos de la política son directos: proteger los datos sensibles y datos regulados con medidas criptográficas adecuadas; establecer autoridad y rendición de cuentas y responsabilidad para la selección de herramientas, la configuración y la gestión de claves; y garantizar controles preventivos sólidos frente a acceso no autorizado, manipulación o pérdida de datos. La política enfatiza el estricto cumplimiento de las obligaciones legales y obligaciones reglamentarias que exigen cifrado y mantiene la importancia de una gestión eficaz de certificados y claves para la seguridad operativa. Los roles y responsabilidades se simplifican para el contexto de pymes: el Director General (DG) asume la propiedad de la política y supervisa la aplicación y la aprobación de excepciones documentadas. El Proveedor de soporte de TI o el Administrador de TI interno gestiona la operación diaria y el mantenimiento de las tecnologías de cifrado, los certificados y la protección de copias de seguridad. Un Coordinador de Privacidad o de seguridad garantiza el cumplimiento continuo de las obligaciones de protección de datos, la gestión de riesgos y la defensa jurídica. Todo el personal y los contratistas deben cumplir el uso de cifrado aprobado y no deben eludir ningún mecanismo de seguridad. Las características clave de gobernanza incluyen la revisión anual de la política (o tras una violación importante o un cambio), la documentación completa de todas las actividades de cifrado/gestión de claves y requisitos estrictos para el uso de algoritmos criptográficos estándar del sector (como AES-256, RSA 2048 y TLS 1.2 o superior). Los protocolos inseguros o en desuso deben bloquearse, y todas las claves deben almacenarse de forma segura con acceso controlado y revisado periódicamente, nunca en texto plano. El cifrado de copias de seguridad, la gestión de certificados, la planificación de escenarios de riesgo y un proceso de gestión de excepciones bien documentado son requisitos centrales. Las infracciones conllevan consecuencias definidas, y todos los fallos criptográficos se registran, se investigan y se gestionan como parte de los procedimientos de gestión de violaciones. Esta política corresponde a la plantilla para pymes, lo que la hace especialmente adecuada para organizaciones con menos recursos o personal especializado en seguridad, manteniendo una alineación completa con ISO/IEC 27001:2022 y las exigencias regulatorias pertinentes.