Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
En 1995, las organizaciones internacionales ISO (The International Organization for Standardization) e IEC
(International Electrotechnical Commission) dieron origen a un grupo de normas que consolidan las directrices
relacionadas al alcance de la Seguridad de la Información, siendo representada por la serie 27000. En este grupo se
encuentra la ISO/IEC 27002 (anteriormente denominada estándar 17799:2005), norma internacional que establece
el código de mejores prácticas para apoyar la implantación del Sistema de Gestión de Seguridad de la Información
(SGSI) en las organizaciones.
A través del suministro de una guía completa de implementación, esa norma describe cómo se pueden establecer
los controles. Dichos controles, a su vez, deben ser elegidos en base a una evaluación de riesgos de los activos más
importantes de la empresa. Al contrario de lo que muchos gestores piensan, la ISO 27002 se puede utilizar para
apoyar la implantación del SGSI en cualquier tipo de organización, pública o privada, de pequeño o gran porte, con o
sin fines de lucro; y no sólo en las empresas de tecnología.
Cobit: (Objetivos de Control para Información y Tecnologías Relacionadas) es una guía de buenas prácticas para el
control y supervisión TI y los riesgos que conllevan. COBIT se usa para implementar el gobierno de TI y mejorar los
controles de TI. De igual manera, contiene objetivos de control, directrices de aseguramiento, mediciones de
desempeño y resultados, factores críticos de éxito y modelos de madurez.
GOBIERNO TI o IT Governance, consiste en una estructura de relaciones y procesos destinados a dirigir y controlar la
empresa, con la finalidad de alcanzar sus objetivos y añadir valor mientras se equilibran los riesgos y el retorno sobre
TI y sus procesos.
La gerencia debe establecer de forma clara las líneas de las políticas de actuación y manifiesta su apoyo y compromiso
a la seguridad de la información, publicando y manteniendo políticas de seguridad en toda la empresa.
Política de seguridad
Las políticas de seguridad se basan en el contexto en el que opera una empresa y suele ser considerado de acuerdo
a los fines y objetivos de la empresa, las estrategias adoptadas para conseguir sus objetivos, la estructura y los
procesos utilizados por la empresa.
Objetivo: Proporcionar dirección y apoyo gerencial para brindar seguridad de la información.
El nivel gerencial debe establecer una dirección política clara y demostrar apoyo y compromiso con respecto a la
seguridad de la información, mediante la formulación y mantenimiento de una política de seguridad de la
información a través de toda la organización.
Aspectos organizativos
Para implementar la Seguridad de la Información en una empresa, es necesario establecer una estructura para
gestionarla de una manera adecuada. Para ello, las actividades de seguridad de la información deben ser coordinadas
por representantes de la organización, que deben tener responsabilidades bien definidas y proteger las informaciones
de carácter confidencial.
Organización Interna
Se debe establecer una estructura de gestión para iniciar y controlar toda la implementación de Seguridad de
la Información dentro de la organización. Resulta muy conveniente organizar los diferentes debates sobre la
gestión que sean adecuados para la gerencias para aprobar la política de seguridad de la información, asignar
las responsabilidades y coordinar toda la implementación de la seguridad en todos los niveles de la empresa.
Si fuera necesario se debería facilitar el acceso dentro de la organización a un equipo experto de consultores
que se encuentren especializados en Seguridad de la Información. Ya que deben llevarse a cabo diferentes
contactos con los especiales externos en seguridad para estar al día de todas las tendencias de la industria,
la evolución de las normas y lo métodos de evaluación, además debe tener un punto de enlace para tratar
las incidencias de seguridad.
Compromiso de la Dirección con la Seguridad de la Información
- Los miembros de la Dirección deberían respaldar activamente las iniciativas de seguridad demostrando su claro
apoyo y compromiso, asignando y aprobando explícitamente las responsabilidades en seguridad de la información
dentro de la Organización.
Asignación de responsabilidades
- Se deberían definir claramente todas las responsabilidades para la seguridad de la información.
Proceso de Autorización de Recursos para el Tratamiento de la Información
- Se debería definir y establecer un proceso de gestión de autorizaciones para los nuevos recursos de tratamiento
de la información.
Acuerdos de Confidencialidad
- Se deberían identificar y revisar regularmente en los acuerdos aquellos requisitos de confidencialidad o no
divulgación que contemplan las necesidades de protección de la información de la Organización.
Contacto con las Autoridades
- Se deberían mantener los contactos apropiados con las autoridades pertinentes.
Terceros
Objetivo: Mantener la seguridad de las instalaciones y los recursos de información a los que acceden terceras partes.
El acceso por parte de terceros debe ser controlado. Los controles deben ser acordados y definidos en un contrato
con la tercera parte.
Principios: Debería controlarse el acceso de terceros a los dispositivos de tratamiento de información de la
organización.
Cuando el negocio requiera dicho acceso de terceros, se debería realizar una evaluación del riesgo para determinar
sus implicaciones sobre la seguridad y las medidas de control que requieren. Estas medidas de control deberían
definirse y aceptarse en un contrato con la tercera parte
Consejo de implantación: Haga inventario de conexiones de red y flujos de información significativos con 3as partes,
evalúe sus riesgos y revise los controles de seguridad de información existentes respecto a los requisitos. ¡Esto puede
dar miedo, pero es 100% necesario!
Los acuerdos de tercerización deben contemplar los riesgos, los controles de seguridad y los procedimientos para
sistemas de información, redes y/o ambientes de PC en el contrato entre las partes.
Identificación de los riesgos derivados del acceso de terceros
- Se deberían identificar los riesgos a la información de la organización y a las instalaciones del procesamiento de
información de los procesos de negocio que impliquen a terceros y se deberían implementar controles apropiados
antes de conceder el acceso.
Inventario de Activos
- Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario
con los más importantes. Recursos de información, recursos de software,activos físicos, servicios.