Sistema de Seguridad de la Información
El objetivo que persigue la norma técnica peruana ISO/IEC 17799 es poder gestionar la Seguridad de la Información en las empresas.
Organización interna
Se debe realizar una estructura de gestión con la que se inicia y se controla la implantación del Sistema de Seguridad de la Información (SSI) en la empresa.
Es adecuado organizar los debates que existen sobre la gestión de la seguridad por parte de la gerencia de la organización, en dichos debates se aprueba la política de seguridad de la información, se establecen los responsables y se coordina la implantación del Sistema de Seguridad de la Información en toda la organización.
Si llega a ser necesario se tiene que facilitar el acceso a la información de la empresa a un equipo con experiencia en implementación de la Seguridad de la Información. Se debe mantener el contacto con los especialistas para que las personas de la organización estén actualizadas en las diferentes tendencias de la industria, la evolución que siguen las normas ISO y los métodos utilizados para realizar la evaluación de los sistemas de gestión, además tiene que tener un enlace con el que manejar las incidencias en seguridad.
Comité de Gestión de Seguridad de la Información
La alta dirección debe apoyar activamente la Seguridad de la Información dentro de la organización, establece los pasos a seguir demostrando compromiso, asigna expectativas y reconoce a los responsables en Seguridad de la Información.
El comité formado en la organización tiene que realizar las siguientes funciones:
- Tiene que asegurar las metas de la seguridad de información que se hayan definido en la política de seguridad, éstas deben estar relacionadas con las exigencias de la empresa y tienen que estar integradas en todos los procesos.
- Tiene que formular, revisar y aprobar la política de Seguridad de la Información.
- Se deben establecer directrices claras y concisas que apoyen la gestión de iniciativas de Seguridad de la Información en la organización.
- Hay que facilitar los recursos que sean necesarios para poder llevar a cabo la implementación del Sistema de Seguridad de la Información en la empresa.
- Hay que aprobar todas las asignaciones a roles específicos y quienes serán los responsables del SSI.
- Se deben encargar de asegurar que durante la implementación se llevan a cabo los controles necesarios.
La gerencia es la encargada de identificar las diferentes necesidades que tenga la organización de solicitar asesoría externa por parte de especialista, éstos se encargarán de coordinar los resultados de dicha organización.
El tamaño de la organización hace que varíe el número de responsables, ya que si hablamos de una organización muy grande será necesario formar un consejo directivo.
Coordinación de la Seguridad de la Información
La información que se obtenga de realizar las actividades de seguridad se deben coordinar con los responsables de todas las áreas de la empresa, ya que tiene diferentes roles y funciones de trabajo.
Coordinar la Seguridad de la Información implica que se deba realizar una cooperación entre gerentes, administradores, diseñadores, clientes, auditores, etc. además de las diferentes áreas que se encuentren dentro de la organización como puede ser recursos humanos, tecnología de la información y gestión del riesgo. Durante dicha actividad se tiene que:
- Asegurar que todas las actividades realizadas sobre seguridad de la información se realicen cumpliendo con la política de seguridad.
- Identificar las no conformidades detectadas y darle una solución.
- Aprobar las diferentes metodologías y procesos para la Seguridad de la Información, como puede ser el riesgo y la clasificación de la información.
- Identificar todos los cambios que se produzcan en las amenazas y la exposición de la información.
- Conocer los cambios significativos que se producen en la amenazas y en la información.
- Evaluar la adecuación y coordinación de la implantación de todos los controles de Seguridad de la Información.
- Realizar cursos de formación, concienciación y entrenamiento respecto a la Seguridad de la Información.
- Evaluar la información sobre seguridad que se recibe cuando se revisan y monitorean los incidentes de Seguridad de la Información, se debe recomendar acciones a tener en cuenta para identificar los incidentes que se puedan producir en la Seguridad de la Información.
Si la organización no recurre a expertos externos a la organización, bien porque opine que dicho grupo no es lo más apropiado para el tamaño de su organización, todas las acciones que hemos descrito anteriormente deben realizarse por parte de la gerencia de la organización.
Asignación de responsabilidades sobre Seguridad de la Información
Como bien sabemos, se tiene que realizar la definición de todas las responsabilidades presentes en la organización. La asignación de las responsabilidades sobre Seguridad de la Información debe realizarse en concordancia con la información de la política de seguridad.
Los responsables de proteger los activos de información tiene que realizar procesos de seguridad específicos que tiene que estar definidos de una forma clara y concisa.
El plan de continuidad de negocio debe definir a los responsables de los activos de información y los procesos de seguridad.
Los propietarios de los activos de información pueden delegar la responsabilidad sobre los activos de información en directivos o proveedores. Aunque el propietario sigue teniendo la responsabilidad sobre la seguridad del activo y debe contar con la capacidad de asumir cualquier responsabilidad delegada que no se haya realizado de forma correcta.
Resulta esencial que se queden establecidas las áreas que tiene un directivo, es decir, debe conocer las áreas de las que es responsable y debe tener claro que:
- Se tienen que encontrar claramente definidos los activos y los procesos de seguridad a seguir.
- Hay que nombrar al responsable de cada activo de seguridad.
- Hay que definir y documentar los diferentes niveles de autorización con el que cuente.
Software ISO 27001
El Software ISOTools Excellence ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…