Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
106<br />
1. Alcance.<br />
2. Términos y <strong>de</strong>finiciones.<br />
3. Requerimi<strong>en</strong>tos para un Sistema <strong>de</strong> <strong>Gestión</strong>.<br />
4. P<strong>la</strong>nificación e implem<strong>en</strong>tación <strong>de</strong> <strong>la</strong> <strong>Gestión</strong> <strong>de</strong> Servicios.<br />
5. P<strong>la</strong>nificación e implem<strong>en</strong>tación <strong>de</strong> servicios nuevos o modificados.<br />
6. Proceso <strong>de</strong> prestación <strong>de</strong> servicio.<br />
7. Procesos <strong>de</strong> re<strong>la</strong>ciones.<br />
8. Procesos <strong>de</strong> resolución.<br />
9. Procesos <strong>de</strong> control.<br />
10. Proceso <strong>de</strong> liberación.<br />
En <strong>la</strong> temática que nos ocupa, <strong>la</strong> Seguridad <strong>de</strong> <strong>la</strong> Información, <strong>de</strong>ntro <strong>de</strong> <strong>la</strong><br />
cláusu<strong>la</strong> 6, se establece <strong>la</strong> sub-cláusu<strong>la</strong> 6.6 <strong>Gestión</strong> <strong>de</strong> <strong>la</strong> Seguridad <strong>de</strong> <strong>la</strong><br />
Información. En dicha sub-cláusu<strong>la</strong>, se hace refer<strong>en</strong>cia explícita a <strong>la</strong> ISO/IEC<br />
17799 como guía para <strong>la</strong> <strong>Gestión</strong> <strong>de</strong> <strong>la</strong> Seguridad <strong>de</strong> <strong>la</strong> información que,<br />
como es sabido, hace refer<strong>en</strong>cia a los controles <strong>de</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> información<br />
o código <strong>de</strong> bu<strong>en</strong>as prácticas.<br />
At<strong>en</strong>di<strong>en</strong>do a lo que especifica <strong>la</strong> norma <strong>en</strong> este punto, se establece como punto<br />
<strong>de</strong> partida <strong>la</strong> aprobación <strong>de</strong> <strong>la</strong> política <strong>de</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> organización por<br />
parte <strong>de</strong> <strong>la</strong> dirección <strong>de</strong> <strong>la</strong> organización como guía <strong>de</strong>l proceso y, por tanto,<br />
<strong>de</strong>be ser comunicada a los grupos <strong>de</strong> interés implicados.<br />
De igual forma, y sigui<strong>en</strong>do el mismo esquema que se pue<strong>de</strong> observar <strong>en</strong> normativas<br />
re<strong>la</strong>tivas a Sistemas <strong>de</strong> <strong>Gestión</strong> <strong>de</strong> Seguridad <strong>de</strong> <strong>la</strong> Información, se<br />
establec<strong>en</strong> una serie <strong>de</strong> requerimi<strong>en</strong>tos que <strong>de</strong>b<strong>en</strong> <strong>de</strong>sarrol<strong>la</strong>rse mediante<br />
controles específicos y docum<strong>en</strong>tados, <strong>en</strong>tre otros y sin ser exhaustivos, para<br />
<strong>la</strong> implem<strong>en</strong>tación <strong>de</strong> los requisitos <strong>de</strong>scritos <strong>en</strong> <strong>la</strong> política y <strong>la</strong> gestión <strong>de</strong><br />
riesgos. Debe evaluarse el impacto <strong>de</strong> los cambios <strong>en</strong> <strong>la</strong> organización sobre<br />
los controles previam<strong>en</strong>te a su implem<strong>en</strong>tación. Deb<strong>en</strong> formalizarse los<br />
requisitos <strong>de</strong> <strong>seguridad</strong> cuando se precise <strong>la</strong> accesibilidad <strong>de</strong> grupos <strong>de</strong> interés<br />
externos a sistemas o servicios prestados y <strong>de</strong>b<strong>en</strong> gestionarse, <strong>en</strong> su<br />
amplio s<strong>en</strong>tido, los inci<strong>de</strong>ntes <strong>de</strong> <strong>seguridad</strong> mediante procedimi<strong>en</strong>tos que<br />
permitan su tratami<strong>en</strong>to, comunicación y registro. Y por último, y muy importante,<br />
<strong>la</strong>s acciones <strong>de</strong> mejora i<strong>de</strong>ntificadas durante el proceso <strong>de</strong> gestión <strong>de</strong><br />
<strong>la</strong> <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> información <strong>de</strong>b<strong>en</strong> incorporarse como <strong>en</strong>tradas <strong>de</strong>l p<strong>la</strong>n <strong>de</strong><br />
mejora <strong>de</strong> servicios TI.