3.

1 Como establecer las necesidades de seguridad

Inicialmente se requiere evaluar de alguna forma los riesgos realmente incurribles frente a los riesgos asumibles. Los dirigentes de una Organizacin se pueden plantear el problema de la seguridad de sus sistemas de informacin en abstracto, tras una catstrofe o en cualquier otra circunstancia. MAGERIT aconseja y permite realizar una primera aplicacin globalizada y aproximativa de Anlisis y Gestin de Riesgos para ofrecer ese fundamento racional a la Estrategia de Seguridad

Esta estrategia se plasma en la fijacin de los principios, objetivos y requisitos de seguridad de los sistemas y procesos de informacin que la Organizacin ha desarrollado para soportar sus sistemas y procesos organizacionales.

 La Poltica de seguridad que concreta dichos principios, objetivos y requisitos en la Organizacin debe tener en cuenta dos consecuencias colaterales de la implantacin de dicha Estrategia

Internamente los usuarios de la Organizacin no deben ver la seguridad como una restriccin o un obstculo a su eficacia operacional

Externamente la Organizacin se mueve en un Entorno definido por unos condicionantes estatutarios y contractuales, con requisitos que la Organizacin debe satisfacer y en su caso renegociar con sus interlocutores

3.2 Valoracin global equilibrada de los riesgos y las salvaguardas

Los riesgos y salvaguardas de la Organizacin se deben revisar cuando sea adecuado y sistemticamente como una parte ms de la gestin de los cambios de la Organizacin.

La valoracin de riesgos considera, tanto la vulnerabilidad y probabilidad real de que la amenaza prevalezca frente a las salvaguardas implantadas y se materialice, como el impacto en los activos de la Organizacin que resulte de dicha vulnerabilidad. Las valoraciones de ambos componentes del riesgo dependen de factores globales como:
La naturaleza de la informacin y los sistemas de la Organizacin

El propsito de quien utiliza la informacin en la Organizacin

El entorno donde opera el sistema. La proteccin proporcionada por las salvaguardas instaladas

Condiciones importantes para tener una buena implantacin de seguridad de los sistemas de informacin dentro de una Organizacin

- Los objetivos y las acciones en materia de Seguridad deben basarse en los objetivos y necesidades de la Organizacin. - Deber existir un apoyo visible el en compromiso de la direccin con la seguridad, as como una direccin de esta con suficiente nivel orgnico. - Deber haber una buena comprensin en la Organizacin de los niveles y riesgos en materia de seguridad dentro de la organizacin.

3.3 Desarrollo de las directrices especficas de la propia Organizacin

MAGERIT aconseja a las Organizaciones que decidan adoptar esa solucin diferenciada (o bien desarrollar una interpretacin propia de esa Gua) que mantengan referencias cruzadas con el texto original de esta Gua, con objeto de facilitar la interpretacin de las directrices de seguridad de la Organizacin a sus interlocutores externos (por ejemplo otra Administracin Pblica o bien un proveedor) y a los posibles auditores de su actividad en materia de seguridad.

3.4 Documentacin de la poltica de seguridad (salvaguarda mnima 1)

- Autoridad editora de la Norma, con fecha y responsable de su revisin. - Poltica de la Direccin de la Organizacin respecto a la proteccin de la informacin - Principios generales - Glosario y definicin de los trminos empleados y a emplear. - Explicacin de las normas y de los niveles de cumplimiento exigidos (obligatorio, recomendado) en cada una de las reas y grupos de Activos (Entorno Fsico y Accesos, Sistemas, Informacin, Recuperacin del Servicio, etc.)

4.1 Funcin e Infraestructura organizacional de seguridad

La infraestructura organizacional de Seguridad apoya una funcin especializada que tiene como objetivo gestionar la proteccin de los sistemas de informacin dentro de la Organizacin; es decir, alcanzar el estado de seguridad deseado y mantenerlo.

La Direccin tiene que asumir en general la necesidad de establecer una Funcin de Seguridad de los Sistemas de Informacin en la Organizacin.

4.2 Comit superior de Seguridad de los Sistemas de Informacin

El apoyo de la Direccin a su estrategia se materializar por medio de un Comit superior de Seguridad de los Sistemas de Informacin.

4.3 Responsable de Seguridad de Sistemas de Informacin

- La aplicacin de la Poltica de Seguridad como desarrollo de normas, sistemas y procedimientos de deteccin de amenazas, proteccin de activos y accin ante eventos.

 Depende del tamao de la Depende del nmero y Depende del nivel

responsable de la administracin de seguridad
tipos de Activos a proteger. empresa.

Los simples constan de un

tecnolgico alcanzado en Seguridad.

Para empresas ms grandes se tiene:

Director de Seguridad Grupo de especialistas en

Seguridad

Administrador Central de
Seguridad

Administradores
sectoriales

Comit multifuncional de
Seguridad

COMIT MULTIFUNCIONAL DE SEGURIDAD Constituido por representantes de las reas y funciones directivas de la Organizacin.

Normaliza y Establece normas acuerda mtodos y y procesos para la responsabilidades seguridad

Respalda iniciativas sobre Seguridad

Coordina la implantacin de medidas de Seguridad

Promociona la seguridad en la Organizacin.

Cada Organizacin, sea grande o pequea, debe poder contar con la posibilidad de consultar especialistas en Seguridad de Sistemas de informacin

MAGERIT recomienda que se

establezca un nico punto focal de asesoramiento en seguridad dentro de la Organizacin para asegurar la consistencia de las decisiones y ayudar a desarrollar el conocimiento y la experiencia internos.

Las normas de Seguridad de los Sistemas de Informacin de la Organizacin establecen las reglas y las responsabilidades de su proteccin. Pero la situacin y actividades de la Seguridad deben revisarse de forma independiente para asegurar que las prcticas de la Organizacin siguen estas normas y que adems son efectivas.

La Poltica de la Organizacin para la Seguridad de los Sistemas de Informacin debe servir de gua para la asignacin de funciones y responsabilidades de Seguridad en la Organizacin. Debern identificarse los papeles o roles de seguridad que ejercen personas determinadas sobre cada uno de los activos sujetos a medidas de seguridad.

Todo activo tiene asignado:

* Propietario del Activo * Depositario del Activo * Usuarios del Activo

Se debe definir:

Los Activos deben estar claramente identificados as como su propietario. Cada Activo debe estar protegido por los niveles de sus subestados de seguridad (autenticacin, confidencialidad, integridad, disponibilidad) bajo la responsabilidad de su propietario.

El propietario tendr bien identificados a los usuarios de los Activos y bien documentados los tipos de accesos autorizados; tendr la responsabilidad y la autoridad para iniciar acciones de sancin contra los transgresores. El administrador de Seguridad del dominio donde se ejecuten los Sistemas o se mantengan los Activos de Informacin informar al propietario sobre las autorizaciones en vigor y las anomalas en los accesos que se detecten. El depositario y los usuarios conocern claramente cules son los niveles de proteccin de cada Activo, abstenindose de utilizarlo en forma diferente a la prescrita.