Ciberseguridad
Política de seguridad
La política de seguridad establece el estado en el que se encuentra la información y los servicios de la organización y define qué es lo que se desea proteger, así como los objetivos establecidos al respecto.
La política de seguridad:
La política de seguridad establece el estado en el que se encuentra la información y los servicios de la organización y define qué es lo que se desea proteger, así como los objetivos establecidos al respecto.
Describe las responsabilidades de los usuarios y cómo se va a efectuar la supervisión de la efectividad de las medidas aplicadas. Es, en definitiva, un conjunto de reglas que se deciden aplicar en las actividades el sistema y a los recursos de comunicaciones que pertenecen a una organización.
Estas reglas incluyen las áreas de seguridad física, personal, administrativa y de la red de sistemas de información. Incluye las tecnologías usadas para el procesamiento de la información, el período de validez de las políticas, los recursos y objetivos a cubrir.
Elemento clave asociado a política de seguridad
Reglas que se deciden aplicar en las actividades el sistema y a los recursos de comunicaciones que pertenecen a una organización.
ELEMENTOS
Hardware, Software, Soportes de información, Comunicaciones, Instalaciones, Personal, Servicios de terceros.
PROTEGER
Información, Datos,Aplicaciones,Servicios,Sistema.
ASEGURAR CARACTERÍSTICAS
Acceso, Integridad, Disponibilidad, Autenticidad, Confidencialidad, Trazabilidad, Conservación.
La gestión de riesgos
La gestión de riesgos utiliza los resultados del análisis de riesgos para seleccionar e implantar las medidas de seguridad adecuadas para controlar los riesgos identificados y que se pueden dividir en las siguientes:
- Preventivas: tienen como objeto reducir el riesgo.
- Protección física: guardias, control de acceso, protección del hardware, …
- Medidas técnicas: cortafuegos, detectores de intrusos, criptografía, …
- Medidas Procedimentales: cursos de mentalización, actualización de conocimientos, normas de acceso a la información, sanciones, …
- Análisis: orientadas a la identificación del riesgo.
- Protección física: sistema de vigilancia, detectores de movimientos, …
- Medidas técnicas: control de acceso lógico, sesión de autenticación, …
- Medidas Procedimentales: gestión de logs, monitorización de auditoría, …
- Correctivas: se orientan a impedir o reducir el impacto sobre los activos.
- Protección física: respaldo de fuente de alimentación (SAI), …
- Medidas técnicas: antivirus, antimalware, auditorías, copias de respaldo de la información, …
- Medidas Procedimentales: planes de contingencias, gestión de incidentes, notificación de brechas, …
Elementos clave asociado a política de seguridad
Un elemento clave asociado a política de seguridad de información es, sin lugar a dudas, el tema de la gobernanza. Las organizaciones las componemos personas y son los profesionales que se desempeñan en esta área la base del éxito del conjunto de operaciones de seguridad objeto del alcance de la política de seguridad. Por tanto, es básico considerar aspectos como gobernanza, estructura, experiencia requerida, entrenamientos a realizar y certificaciones del personal. Una herramienta adecuada es usar una matriz RACI. La matriz RACI es una forma de realizar la asignación de responsabilidades, y lleva el nombre de las cuatro responsabilidades más comunes: Responsable, Aprobador, Consultado e Informado.
Responsable
Es la persona que realiza el trabajo hasta completar la tarea
Aprobador
Aprobador: es el encargado de designar a la persona responsable de la tarea, además será el responsable de que la tarea se realice con éxito. En algunos casos el aprobador y responsable pueden ser la misma persona.
Consultado e Informado
Consultado: se refiere a las personas que expresan su opinión sobre una actividad en concreto.<br />
Informado: designa a aquellos que buscan mantenerse al día sobre el progreso de la actividad.
Metodologías de las políticas de seguridad
Lo primero que debemos tener presente es que se trata de un proceso dinámico y, por tanto, cíclico en cualquier organización, por lo que debe ser objeto de atención, supervisión y revisión constante para verificar la efectividad y eficiencia del mismo. Los pasos se podrían catalogar en los siguientes seis:
Metodología COBIT 2019
Un ejemplo de esto de se puede ver en la metodología COBIT 2019 para las prácticas APO13 en relación con las claves de gobierno, tal como se ve en la imagen.
Un segundo ejemplo de matriz RACI
Un segundo ejemplo de matriz RACI apoyándonos en la estructura de controles de la norma ISO 27002.
Por último, se debe considerar la posibilidad de establecer una oficina de seguridad que asista en la implementación de las políticas, procedimientos y normativa que sienten las bases para dirigir, gestionar, comunicar, evaluar, controlar y mejorar la seguridad de la información relacionada con las actividades que son propias de la organización en conformidad con la legislación, normativa y buenas prácticas.
¿QUÉ SE DEBE TENER EN CUENTA EN LA CREACIÓN DE UNA POLÍTICA?
¿COMO DEBE SER UNA POLITICA DE SEGURIDAD DE LA INFORMACIÓN?
- Debe definir la postura de la dirección o la gerencia con respecto a la necesidad de proteger la información corporativa
- Orientar a los funcionarios con respecto al uso de los recursos de información
- Definir la base para la estructura de seguridad de la organización
- Ser un documento de apoyo a la gestión de TI y Seguridad Informática
- Ser general sin comprometerse con tecnologías especificas (Principio de Neutralidad Tecnológica)
- Debe abarcar toda la organización
- Debe ser de larga vigencia, manteniéndose sin grandes cambios en el tiempo.
- Debe ser clara y evitar confusiones o interpretaciones
- No debe generar nuevos problemas
- Debe permitir clasificar la información en confidencial, uso interno, publica.
- Debe identificar claramente funciones específicas de los empleados como: Responsable, Custodio o Usuario.
Quieres saber más sobre Ciberseguridad
Revisa el siguiente paso para saber cuales son los factores de amenza
