Gestión estratégica de seguridad en la empresa - Anetcom

More documents

Recommendations

Info

90 Otro caso especialmente relevante y que habitualmente lleva a confusiones, es el relativo a las organizaciones que disponen de un SGSI certificado y que desean externalizar servicios incluidos en el alcance de dicho SGSI. El modelo también resulta perfectamente válido para organizaciones que, aunque no disponen de un SGSI, quieren controlar apropiadamente la seguridad de sus servicios: ¿Se confía por completo en el prestador de servicios o se le obliga y controla que disponga de todos los controles que debe? En esta encrucijada la propia norma ofrece pistas sobre cómo gestionar la situación: • La “frontera” de seguridad, que separará los servicios externalizados de los propios, y donde ser reflejarán todos los requisitos de seguridad a cumplir por el proveedor será el Contrato de prestación de servicios. Éste deberá recoger de forma clara y específica todos los controles que la empresa prestataria deberá cumplir. Por ejemplo, en el caso de que los servidores de la organización se encuentren alojados en un datacenter externo, la empresa que lo gestione deberá acordar los mismos controles que debiera cumplir la organización en el contrato que regule la prestación de servicios. • El contrato también deberá incluir otro requisito: la capacidad de auditoría. A través de esta cláusula, la organización podrá, en caso de considerarlo necesario, verificar que los controles incluidos en el contrato están efectivamente implantados y funcionando. • Por último, se deberá tener en cuenta también la formación y concienciación del proveedor. El prestador de servicios y sus técnicos deberán conocer y cumplir las políticas y normas de seguridad establecidas por la organización, por lo que se deberán suministrar como parte del contrato y verificar que dichos técnicos lo conocen y cumplen. Fuera del ámbito de los SGSI, pero sin duda parte integral de las buenas prácticas de externalización, existen consideraciones adicionales que deben ser atendidas: • Cumplimiento legal: El caso más conocido y universal es el que tiene que ver con la protección de datos. En este sentido, será necesario con-
templar qué modelo de relación se va a establecer entre la organización y el prestador de servicios: • Si se van a ceder o comunicar datos personales, la situación será regulada por el artículo 11, caso con un tratamiento específico muy estricto. • Si el prestador de servicios únicamente va a tener acceso a los datos de carácter personal, se deberán atender a los requisitos definidos en el artículo 12. En todos los casos, es altamente aconsejable disponer de asesoramiento experto, idealmente formado por un equipo mixto legal y técnico, capaz de aconsejar a la organización desde un punto de vista global. A pesar de lo anteriormente dicho, el cumplimiento en absoluto se circunscribe a la protección de datos, y abarca gran número de áreas. En consecuencia, se deberán identificar todas las regulaciones que afectan a la organización y que deben ser cumplidas, ya sean legales, sectoriales o específicas de la propia entidad. • Confidencialidad: aunque este apartado se toca de forma parcial en las consideraciones legales anteriormente mencionadas, es altamente recomendable formalizar este particular de forma independiente. Es común el uso de Acuerdos de Confidencialidad, que recogen el compromiso de proteger la información recogida en el servicio, no divulgarla y llegado el caso de finalización del mismo, destruirla apropiadamente. En servicios especialmente críticos es recomendable además del acuerdo de confidencialidad de organización, que cada uno de las personas que va a prestar el servicio firme un acuerdo particular. • Seguridad y SLA: para servicios relacionados directamente con la seguridad, o que tienen implicaciones fuertes en este campo, es recomendable definir apartados específicos de seguridad en el SLA que regula la prestación del servicio. Este SLA deberá recoger desde aspectos relacionados específicamente con la seguridad a otros más genéricos, como aquellos específicos con sus variables, como la disponibilidad (por ejemplo, exigir que los sistemas de protección sean altamente disponibles). 91
Page 3 and 4:
Gestión Estratégica de Seguridad
Page 5 and 6:
Índice Prólogo 7 1. Introducción
Page 9 and 10:
Prólogo La Seguridad de los Sistem
Page 13 and 14:
Introducción Definitivamente era m
Page 15 and 16:
Ilustración 1.- Seguridad de la In
Page 17 and 18:
Dado el escenario planteado, en el
Page 19 and 20:
que se enfrenta su organización, s
Page 21 and 22:
fiduciarios y específicos de segur
Page 23 and 24:
Ilustración 2.- El papel del Gobie
Page 25:
sos humanos, tecnología, continuid
Page 28 and 29:
26 ción haga suya dicha política,
Page 30 and 31:
28 1. Definición del equipo de red
Page 32 and 33:
30 A la segunda de las preguntas se
Page 34 and 35:
32 les (ISO, NIST, etc.), así como
Page 36 and 37:
34 ¿Por qué incluir en un inventa
Page 38 and 39:
36 2.2.3. El riesgo como factor de
Page 40 and 41:
38 2.2.4. Algunas realidades en la
Page 42 and 43: 40 Cuando se aborda la determinaci
Page 44 and 45: ◆ 42 dicho análisis debe ser val
Page 46 and 47: 44 Su objetivo es por tanto prioriz
Page 48 and 49: 46 que a través del Plan Director
Page 50 and 51: 48 El último aspecto que se debe r
Page 52 and 53: 50 • La gestión. • Los sistema
Page 54 and 55: 52 • Existen varias líneas de de
Page 56 and 57: 54 La política de mantenimiento de
Page 58 and 59: 56 • Proporcionar seguridad de lo
Page 60 and 61: 58 tructura de cortafuegos, segment
Page 62 and 63: 60 • Dispositivos móviles accedi
Page 64 and 65: 62 • Accesos remotos (redes priva
Page 66 and 67: 64 Estas tecnologías suelen trabaj
Page 68 and 69: 66 de la continuidad se ha converti
Page 70 and 71: 68 ción y los recursos necesarios
Page 72 and 73: 70 ble de servicio estima que la en
Page 74 and 75: 72 Ilustración 14.- Priorización
Page 76 and 77: 74 la intimidad personal y familiar
Page 78 and 79: 76 Gestión de incidencias Control
Page 80 and 81: 78 • Los precios de los productos
Page 82 and 83: 80 para la realización de las audi
Page 84 and 85: 82 Si lo deseado es un resultado ho
Page 86 and 87: 84 le queda en el depósito o si ha
Page 88 and 89: 86 los indicadores y métricas de s
Page 90 and 91: 88 En definitiva, el Cuadro de Mand
Page 94 and 95: 92 • Certificaciones de Seguridad
Page 96 and 97: 94 • ISO/IEC 27001 se centra en l
Page 98 and 99: 96 pero que no sabe si se está rea
Page 100 and 101: 98 económicos. Por ello, es fundam
Page 102 and 103: 100 esta fase se encarga también d
Page 104 and 105: 102 COBIT® parte de un concepto se
Page 106 and 107: ◆ 3.3. Gestión de Servicios TI:
Page 108 and 109: 106 1. Alcance. 2. Términos y defi
Page 111: • ISO 17799 • COBIT • ISO 270
show all

Gestión estratégica de seguridad en la empresa - Anetcom

Create successful ePaper yourself

Delete template?

Save as template?