Gestión estratégica de seguridad en la empresa - Anetcom

More documents

Recommendations

Info

28 1. Definición del equipo de redacción y de aprobación. 2. Desarrollar la política general. 3. Definición de la estructura. 4. Análisis de la integración con otras normas. 5. Definición de los temas de seguridad a incluir en normativa. 6. Definición del esquema de cada documento. 7. Desarrollar las normas. 8. Desarrollar los procedimientos. 9. Desarrollar las instrucciones de trabajo. 10. Aprobar el contenido en sus distintos niveles. 11. Definir el método de difusión y mantenimiento permanente. 12. Definir el método de “premios y castigos”. 13. Implementar la normativa. 14. Ejecutar los mecanismos de actualización. Como resalte, es importante destacar que la aprobación de la Política de Seguridad y de su cuerpo normativo asociado es uno de los puntos más complejos dentro del ciclo de vida de la misma, dado que implica la necesidad de alcanzar un consenso entre todos los implicados en su redacción. Esta aprobación además suele aflorar derivadas no contempladas, como por ejemplo la dificultad de que alta dirección preste su apoyo en algo que, si no se ha transmitido apropiadamente, puede ser percibido como “inhabilitación” de los procesos productivos o de negocio. La estructura y papel de las áreas de Seguridad de la Información también está sufriendo una evolución paralela a este proceso de madurez, similar a la experimentada por las áreas de Recursos Humanos, que comenzaron como áreas de “Personal” adscritas a Apdos. Financieros (personal como coste), actualmente son generalmente denominadas “Recursos Humanos” (personal como recurso), existiendo una clara tendencia hacia la evolución a áreas de “Capital Humano” (personal como activo que aporta valor). De esta forma, aunque la seguridad ha sido históricamente adscrita a las áreas de informática o TI, se está observando una tendencia creciente a situarla como un área de staff, en dependencia directa de la alta dirección, similar a las de Calidad o Recursos Humanos y cuya función es horizontal a toda la organización (dado que desde su nicho dentro de TI le ofrecía
una visión muy limitada del negocio y una capacidad de actuación más reducida aún sobre áreas diferentes a TI). Este nuevo papel no infiere automáticamente en que las habilidades del personal de Gestión de Seguridad vayan a ser compatibles con su nueva posición, sino que representará una importante dosis de esfuerzo para la Dirección de Seguridad tradicional. Este nuevo responsable deberá contar con nuevas habilidades y capacidades, acordes a sus nuevas responsabilidades e imprescindibles para una relación armoniosa con otras áreas con las que deberá tratar y hacer partícipes de su estrategia, como Calidad, Dirección o Marketing. Para conseguir la máxima integración de los objetivos de negocio con los de seguridad es muy recomendable el establecimiento de un Comité de Seguridad, cuya principal función será la toma de decisiones y gestión continuada en todo lo tocante a la Seguridad de la Información, debiendo constituirse como el órgano de gestión máximo en esta materia. Sus funciones y relevancia se tratan de forma específica en diversas normas, especialmente en la ISO 17799:2005, por lo que, en mor de la brevedad, se recomienda al lector acudir a esta fuentes para ampliar información. Resumiendo de forma simplista la transición organizativa descrita previamente, el papel que deberá desempeñar el responsable de seguridad estará condicionado en gran medida por sí mismo y su capacidad, convirtiéndose en un director en el que se confía, implicado en las decisiones de negocio, o en un gestor técnico cuya labor es “mantener las luces encendidas y funcionando lo más barato posible”. ◆ 2.2. Gestión del riesgo: ¿Cuánto cuesta la seguridad? Cualquier organización que se enfrente a la problemática de proteger sus activos de información debe responder dos preguntas: • ¿qué seguridad necesito? • ¿cuánto me cuesta la seguridad? A la primera de estas preguntas se responde a través de un trabajo de análisis en el cual la organización reflexiona sobre la importancia de sus activos de información y evalúa los requisitos de seguridad que ha de satisfacer. 29
Page 3 and 4: Gestión Estratégica de Seguridad
Page 5 and 6: Índice Prólogo 7 1. Introducción
Page 9 and 10: Prólogo La Seguridad de los Sistem
Page 13 and 14: Introducción Definitivamente era m
Page 15 and 16: Ilustración 1.- Seguridad de la In
Page 17 and 18: Dado el escenario planteado, en el
Page 19 and 20: que se enfrenta su organización, s
Page 21 and 22: fiduciarios y específicos de segur
Page 23 and 24: Ilustración 2.- El papel del Gobie
Page 25: sos humanos, tecnología, continuid
Page 28 and 29: 26 ción haga suya dicha política,
Page 32 and 33: 30 A la segunda de las preguntas se
Page 34 and 35: 32 les (ISO, NIST, etc.), así como
Page 36 and 37: 34 ¿Por qué incluir en un inventa
Page 38 and 39: 36 2.2.3. El riesgo como factor de
Page 40 and 41: 38 2.2.4. Algunas realidades en la
Page 42 and 43: 40 Cuando se aborda la determinaci
Page 44 and 45: ◆ 42 dicho análisis debe ser val
Page 46 and 47: 44 Su objetivo es por tanto prioriz
Page 48 and 49: 46 que a través del Plan Director
Page 50 and 51: 48 El último aspecto que se debe r
Page 52 and 53: 50 • La gestión. • Los sistema
Page 54 and 55: 52 • Existen varias líneas de de
Page 56 and 57: 54 La política de mantenimiento de
Page 58 and 59: 56 • Proporcionar seguridad de lo
Page 60 and 61: 58 tructura de cortafuegos, segment
Page 62 and 63: 60 • Dispositivos móviles accedi
Page 64 and 65: 62 • Accesos remotos (redes priva
Page 66 and 67: 64 Estas tecnologías suelen trabaj
Page 68 and 69: 66 de la continuidad se ha converti
Page 70 and 71: 68 ción y los recursos necesarios
Page 72 and 73: 70 ble de servicio estima que la en
Page 74 and 75: 72 Ilustración 14.- Priorización
Page 76 and 77: 74 la intimidad personal y familiar
Page 78 and 79: 76 Gestión de incidencias Control
Page 80 and 81:
78 • Los precios de los productos
Page 82 and 83:
80 para la realización de las audi
Page 84 and 85:
82 Si lo deseado es un resultado ho
Page 86 and 87:
84 le queda en el depósito o si ha
Page 88 and 89:
86 los indicadores y métricas de s
Page 90 and 91:
88 En definitiva, el Cuadro de Mand
Page 92 and 93:
90 Otro caso especialmente relevant
Page 94 and 95:
92 • Certificaciones de Seguridad
Page 96 and 97:
94 • ISO/IEC 27001 se centra en l
Page 98 and 99:
96 pero que no sabe si se está rea
Page 100 and 101:
98 económicos. Por ello, es fundam
Page 102 and 103:
100 esta fase se encarga también d
Page 104 and 105:
102 COBIT® parte de un concepto se
Page 106 and 107:
◆ 3.3. Gestión de Servicios TI:
Page 108 and 109:
106 1. Alcance. 2. Términos y defi
Page 111:
• ISO 17799 • COBIT • ISO 270
show all

Gestión estratégica de seguridad en la empresa - Anetcom

Create successful ePaper yourself

Delete template?

Save as template?