Академический Документы
Профессиональный Документы
Культура Документы
Cuando se habla sobre la seguridad de la informacin nos viene a la cabeza la norma ISO
27001. Esta norma es muy relevante dentro del sector ya que, toma como base todos los
riesgos a los que se enfrenta la organizacin en su da a da, tiene como objetivo principal
establecer, implantar, mantener y mejorar de forma continua la seguridad de la
informacin de la organizacin. Sin embargo, no debemos olvidar el papel que ocupan
otras normas.
De esta manera, es fcil comprender la importancia de la norma ISO 27001 como Sistema
de Gestin de Seguridad de la Informacin. Sin embargo, es igual de importante el papel
que ocupa dentro de todos los requisitos de la norma ISO 27002 como gua de buenas
prcticas para implantar controles y que garantizarn la seguridad de la informacin
gracias a sus recomendaciones.
La norma ISO 27002 est organizada en 11 captulos que son Polticas de Seguridad,
Organizacin de Seguridad, Gestin de Activos, Seguridad de los Recursos Humanos,
Proteccin Fsica y Ambiental, Gestin de Comunicaciones y Operaciones, Control de
Acceso, Adquisicin, Desarrollo y Mantenimiento de Sistemas, Gestin de los Incidentes
de Seguridad, Gestin de la Continuidad del Negocio, Cumplimiento, en los que se tratan
los distintos criterios a de tener en cuenta en cada tema para llevar adelante una correcta
gestin de seguridad de la informacin. Alcance recomendaciones para la gestin de la
seguridad de la informacin, que sirva de base para el desarrollo de las polticas de
seguridad en las organizaciones.
Como objetivo que tiene la ISO 27002 es preservar la confidencialidad: accesible solo a
aquellas personas autorizadas a tener acceso.
Disponibilidad: Acceso a la informacin y a los recursos relacionados con ella toda vez
que se requiera.
1 Polticas de Seguridad de la Informacin
Debe de incluir:
Objetivos y alcance generales de seguridad
Apoyo expreso de la direccin
Breve explicacin de los valores de seguridad de la organizacin
Definicin de las responsabilidades generales y especficas en materia de gestin
de la seguridad de la informacin.
Referencias a documentos que pueden respaldar la poltica.
Eficacia:
Garantizar que toda la informacin utilizada es necesaria y til para el desarrollo de los
negocios.
Eficiencia
Asegurar que el procesamiento de la informacin se realice mediante una ptima
utilizacin de los recursos humanos y materiales.
Confiabilidad:
Garantizar que los sistemas informticos brindan informacin correcta para ser utilizada
en la operatorio de cada uno de los procesos.
Integridad:
Asegurar que sea procesada toda la informacin necesaria y suficiente para la marcha de
los negocios en cada uno de los sistemas informticos y procesos transaccionales
Exactitud:
Asegurar que toda la informacin se encentre libre de errores y/o irregularidades de
cualquier tipo.
Disponibilidad:
Garantizar que la informacin y la capacidad de su procesamiento manual y automtico
sean resguardados y recuperados eventualmente cuando sea necesario, de manera tal
que no se interrumpa significativamente la marcha de los negocios.
Legalidad:
Asegurar que toda la informacin y los medios fsicos que la contienen, procesen y/o
transporten, cumplan con las regulaciones legales vigentes en cada mbito.
Confidencialidad:
Garantizar que toda la informacin est protegida del uso no autorizado, revelaciones
accidentes, espionaje industrial, violacin de la privacidad y otras acciones similares de
accesos de terceros no permitidos.
Autorizacin:
Garantizar que todo los accesos a datos y/o transacciones que los utilicen cumplan con
los niveles de autorizacin correspondientes para su utilizacin y divulgacin.
Proteccin Fsica:
Garantizar que todos los medios de procesamiento y/o conservacin de informacin
cuentan con medidas de proteccin fsica que eviten el acceso y/o utilizacin indebida por
personal no autorizado.
Propiedad:
Asegurar que todos los derechos de propiedad sobre la informacin utilizada por todos
sus empleados en el desarrollo de sus tareas, estn adecuadamente establecidos a favor
de la compaa.
2 Organizacin de la Seguridad de la Informacin
Foros de Gestin:
El Acceso por parte de Terceros debe ser controlado. Deber llevarse a cabo una
evaluacin de riesgo: determinar las incidencias en la seguridad y los requerimientos de
control. Los controles deben ser acordados y definidos en un contrato con la tercera parte.
Tenemos que tener presente que cada vez es mayor el peso que est ocupando el
teletrabajo dentro de las empresas, y por ello, se deben tener en cuenta todas sus
caractersticas especiales para que ningn momento la seguridad de la informacin de la
que se dispone se vea afectada.
Debe existir un proceso disciplinario formal para los empleados que violen las polticas y
procedimientos de seguridad de la organizacin.
CLICK TO TWEET
4 Gestin de activos
Se centra en la atencin en la informacin como activo y en cmo se deben establecer las
medidas adecuadas para guardarlos de las incidencias, quiebras en la seguridad y en la
alteracin no deseada.
Inventario:
Recursos de informacin:
Bases de datos y archivos, documentacin de sistemas, manuales de usuario,
material de capacitacin, procedimientos operativos o de soporte, planes de
continuidad, informacin archivada:
Recursos de Software:
Software de aplicaciones, software de sistemas, herramientas de desarrollo y
utilitarios:
Clasificacin de la Informacin:
La necesidad.
Las prioridades.
El grado de proteccin.
Pautas de Clasificacin:
5 Control de acceso
6 Criptografa
La seguridad no es solo a nivel tecnolgico sino tambin fsico, es decir, una simple labor
de no dejar las pantallas e impresoras en zonas que sean fcilmente accesibles, por parte
del personal externo los documentos con los que se estn trabajando no slo nos
permitirn gestionar de forma adecuada la seguridad sino que se acabarn convirtiendo
en hbitos que nos aportan eficiencia en la gestin.
Suministro de Energia
Tiene un marcado componente tcnico entrado en todos los aspectos disponibles como la
proteccin del software malicioso, copias de seguridad, control de software en
explotacin, gestin de vulnerabilidad, etc.
11 Relacin de proveedores
Cuando se establecen las relaciones con terceras partes, como puede ser proveedores,
se deben establecer medidas de seguridad pudiendo ser muy recomendable e incluso
necesario en determinados casos.
No sabemos lo que necesitbamos un dato hasta que lo hemos perdido. Sufrir una
prdida de informacin relevante y no poder recuperarla de laguna forma puede poner en
peligro la continuidad de negocio de la organizacin.
14 Cumplimiento