Gestión estratégica de seguridad en la empresa - Anetcom

More documents

Recommendations

Info

96 pero que no sabe si se está realizando correctamente o las dinámicas que la afectan. A través del Sistema de Gestión, la dirección puede gestionar la seguridad en base a objetivos, recursos, planificaciones e indicadores, de forma semejante a como gestiona otras áreas de la empresa, sin tener que sumergirse en aspectos excesivamente técnicos. El Sistema de Gestión rompe la barrera de entendimiento que existía entre la dirección y el responsable de seguridad, origen de algunas leyendas urbanas populares como la del director general que pregunta en el ascensor al responsable de seguridad cómo estamos en seguridad, y otras semejantes. El tercer beneficiario es la propia organización, que inicia una mejora sostenida en seguridad de la información. Dado que la seguridad evalúa todos los aspectos de seguridad, desde los más tecnológicos ligados a los Sistemas de Información hasta los de personal, seguridad jurídica, o la de instalaciones, todas las áreas de la organización van a poder mejorar y ser más seguras y eficientes en un momento u otro. Además, el personal de la organización va a ser consciente de la necesidad de seguridad en las actividades. La concienciación de seguridad (security awareness) ayuda así a la motivación de todos los miembros de la organización, puesto que todos ellos tienen un papel claro en la aportación de seguridad a la compañía. Comenzaremos la descripción de la familia ISO 27000 con el estándar 27001, que formalmente se encarga de la definición de qué es un Sistema de Gestión de Seguridad de la Información y qué requisitos debe satisfacer, tanto desde el punto de vista de ciclo de vida y procesos ajenos al mismo, como de herramientas utilizadas, documentación y otros aspectos que deben integrarlo. Por lo tanto, al establecer un conjunto de requisitos para el sistema, estos pueden ser verificados por un tercero que emita un certificado de cumplimiento de los mismos. Por ello, es el estándar ISO 27001 el único que puede ser certificado. ISO 27001 describe una metodología de trabajo, el ciclo de mejora continua en que se apoya la operativa del Sistema de Gestión de Seguridad de la Información. Se trata de un ciclo PDCA, que se recorre en cuatro fases: Planificación (letra P, Plan de PDCA), Implantación (letra D, Do), Verificación (letra C, Check) y Corrección (letra A, Act).
Ilustración 16.- Visión del ciclo de mejora de ISO 27001. La fase de planificación asume las tareas de definición del Sistema de Gestión de Seguridad de la Información. Comienza por la definición de cuáles son los objetivos de seguridad que persigue la organización, y del ámbito en el que espera que dichos objetivos sean alcanzados. Los objetivos de seguridad quedan recogidos en la política de seguridad de la organización, mientras que el documento de alcance especifica el ámbito mencionado. Debe reseñarse en este punto que la decisión sobre el alcance del Sistema de Gestión es un punto definitorio del resto de la vida del sistema, por cuando condiciona decisivamente el volumen de actividades. Cualquier organización que implanta un SGSI aspirará al menos implícitamente a que el sistema le cubra por completo, aunque es viable cumplir esta aspiración mediante la implantación en un ámbito más reducido y su posterior ampliación dentro del proceso de mejora propio del sistema. Para ser exitosa, esta estrategia requiere de un conocimiento profundo de los Sistemas de Gestión y su implantación. Una vez decididos los objetivos de seguridad y alcance de los mismos, el Sistema de Gestión inicia una fase de inventario, en la que se identifican e inventarían los activos de la organización incluido dentro del alcance. El inventariado es más que un simple conteo de servidores, o de bases de datos. Está orientado a la producción de resultados prácticos que mejoren la compañía, ya sea en su eficiencia, en los servicios y/o productos que ofrece, en el cumplimiento de sus objetivos y finalidades, o en sus resultados meramente 97
Page 3 and 4:
Gestión Estratégica de Seguridad
Page 5 and 6:
Índice Prólogo 7 1. Introducción
Page 9 and 10:
Prólogo La Seguridad de los Sistem
Page 13 and 14:
Introducción Definitivamente era m
Page 15 and 16:
Ilustración 1.- Seguridad de la In
Page 17 and 18:
Dado el escenario planteado, en el
Page 19 and 20:
que se enfrenta su organización, s
Page 21 and 22:
fiduciarios y específicos de segur
Page 23 and 24:
Ilustración 2.- El papel del Gobie
Page 25:
sos humanos, tecnología, continuid
Page 28 and 29:
26 ción haga suya dicha política,
Page 30 and 31:
28 1. Definición del equipo de red
Page 32 and 33:
30 A la segunda de las preguntas se
Page 34 and 35:
32 les (ISO, NIST, etc.), así como
Page 36 and 37:
34 ¿Por qué incluir en un inventa
Page 38 and 39:
36 2.2.3. El riesgo como factor de
Page 40 and 41:
38 2.2.4. Algunas realidades en la
Page 42 and 43:
40 Cuando se aborda la determinaci
Page 44 and 45:
◆ 42 dicho análisis debe ser val
Page 46 and 47:
44 Su objetivo es por tanto prioriz
Page 48 and 49: 46 que a través del Plan Director
Page 50 and 51: 48 El último aspecto que se debe r
Page 52 and 53: 50 • La gestión. • Los sistema
Page 54 and 55: 52 • Existen varias líneas de de
Page 56 and 57: 54 La política de mantenimiento de
Page 58 and 59: 56 • Proporcionar seguridad de lo
Page 60 and 61: 58 tructura de cortafuegos, segment
Page 62 and 63: 60 • Dispositivos móviles accedi
Page 64 and 65: 62 • Accesos remotos (redes priva
Page 66 and 67: 64 Estas tecnologías suelen trabaj
Page 68 and 69: 66 de la continuidad se ha converti
Page 70 and 71: 68 ción y los recursos necesarios
Page 72 and 73: 70 ble de servicio estima que la en
Page 74 and 75: 72 Ilustración 14.- Priorización
Page 76 and 77: 74 la intimidad personal y familiar
Page 78 and 79: 76 Gestión de incidencias Control
Page 80 and 81: 78 • Los precios de los productos
Page 82 and 83: 80 para la realización de las audi
Page 84 and 85: 82 Si lo deseado es un resultado ho
Page 86 and 87: 84 le queda en el depósito o si ha
Page 88 and 89: 86 los indicadores y métricas de s
Page 90 and 91: 88 En definitiva, el Cuadro de Mand
Page 92 and 93: 90 Otro caso especialmente relevant
Page 94 and 95: 92 • Certificaciones de Seguridad
Page 96 and 97: 94 • ISO/IEC 27001 se centra en l
Page 100 and 101: 98 económicos. Por ello, es fundam
Page 102 and 103: 100 esta fase se encarga también d
Page 104 and 105: 102 COBIT® parte de un concepto se
Page 106 and 107: ◆ 3.3. Gestión de Servicios TI:
Page 108 and 109: 106 1. Alcance. 2. Términos y defi
Page 111: • ISO 17799 • COBIT • ISO 270
show all

Gestión estratégica de seguridad en la empresa - Anetcom

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?