Diseño documental de una política de seguridad de la información para el ámbito empresarial en Chile

Abstract

En un entorno empresarial chileno cada vez más digitalizado, la falta de una política de seguridad de la información estructurada y eficiente ha generado riesgos significativos para las empresas. La ausencia de directrices claras deja a las organizaciones vulnerables a amenazas cibernéticas, violaciones de privacidad y posibles consecuencias legales. Para abordar este problema, en este trabajo se propone el Diseño de una Política de Seguridad de la Información basado en el estándar ISO/IEC 27001 y la NCh 27002:2009, enfocándose en objetivos estratégicos, principios rectores, gestión de riesgos, protección de datos, concientización y formación, monitoreo y respuesta, así como auditoría y mejora continua. El objetivo general del estudio es diseñar una política de seguridad de la información que permita proteger los activos de información críticos de las PYMES chilenas, utilizando normativas locales e internacionales, empleando para tal efecto, tres objetivos específicos que son: Desarrollar procedimientos de gestión de incidentes de seguridad basados en ISO/IEC 27001 e ISO/IEC 27002, Implementar un programa de formación y concienciación en seguridad de la información, y por último, Realizar un análisis detallado y clasificación de los activos de información críticos. Las preguntas de estudio se centran en la influencia de esta política en la mitigación de riesgos cibernéticos y su contribución a la resiliencia a largo plazo. La hipótesis plantea que la implementación de esta política mejorará significativamente la capacidad de las PYMES para enfrentar desafíos de ciberseguridad. La solución propuesta implica la adaptación de una política de seguridad de la información al contexto chileno, integrando estándares, educación, gestión proactiva de activos y colaboración entre PYMES. El impacto esperado incluye una mayor resiliencia, reducción de riesgos financieros, cumplimiento normativo, fortalecimiento de la responsabilidad corporativa y confianza del cliente, por otro lado, se busca fomentar una cultura de seguridad y concienciación interna para prevenir incidentes y promover prácticas seguras entre los empleados.