jueves, 28 de mayo de 2015

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

1. ORGANIZACIÓN INTERNA.
 
La organización interna tiene como objetivo gestionar la seguridad de la información dentro de la organización para lo cual debe establecerse una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la organización y/o empresa.

1.1. Comité de gestión de seguridad de la información.

Ø  Control: La gerencia debe apoyar activamente en la seguridad dentro de la organización a través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de información. 
Ø  Guía de implementación: El comité de gestión de seguridad debe realizar las funciones que son:
  • Asegurar que las metas de la seguridad de información sean identificadas, relacionarlas con las exigencias organizacionales y que sean integradas en procesos relevantes.
  • Formular, revisar y aprobar la política de seguridad de información. 
  • Revisión de la efectividad en la implementación de la política de información. 
  • Proveer direcciones claras y un visible apoyo en la gestión para iniciativas de seguridad. 
  • Proveer los recursos necesarios para la seguridad de información. 
1.2 Asignación de responsabilidades sobre seguridad de la información.

Ø  Control: Deberían definirse claramente las responsabilidades.
Ø  Guía de implementación: Es esencial que se establezcan claramente las áreas de las que cada directivo es responsable; en particular deberían establecerse las siguientes:
  • Identificarse claramente los activos y los procesos de seguridad asociados con cada sistema específico.
  •  Nombrarse al responsable de cada activo o proceso de seguridad, y deberían documentarse los detalles de esta responsabilidad.
1.3 Proceso de autorización de recursos para el tratamiento de la información.

Ø  Control: Debería establecerse un proceso de autorización para la gestión de cada nuevo recurso de tratamiento de la información.
Ø  Guía de implementación: Deberían considerarse los siguientes controles:
  •  Los nuevos medios deberían tener la aprobación adecuada de la gerencia de usuario, autorizando su propósito y uso. También debería obtenerse la aprobación del directivo responsable del mantenimiento del entorno de seguridad del sistema de información local, asegurando que cumple con todas las políticas y requisitos de seguridad correspondientes.
  •  Dónde sea necesario, se debería comprobar que el hardware y el software son compatibles con los demás dispositivos del sistema. 
1.4 Acuerdos de confidencialidad.

Ø  Control: Requerimientos de confidencialidad o acuerdos de no divulgación para la protección de información deben ser identificadas y revisadas regularmente.
Ø  Guía de implementación: Para identificar requerimientos de confidencialidad o acuerdos de no divulgación, se deben considerar los siguientes elementos:
  • Responsabilidades y acciones de los signatarios para evitar acceso desautorizado a la información. 
  • Propiedad de la información, secretos del comercio y de la propiedad intelectual, y cómo esto se relaciona con la protección de la información confidencial.
1.5 Contacto con autoridades.

Ø  Control: Deben ser mantenidos contactos apropiados con autoridades relevantes.
Ø  Guía de implementación:
  •  Las organizaciones deben de tener procedimientos instalados que especifiquen cuándo y por qué autoridades deben ser contactados. 
  • Las organizaciones bajo ataque desde el Internet pueden necesitar de terceros para tomar acción contra la fuente de ataque.
1.6 Revisión independiente de la seguridad de la información.

Ø  Control: El alcance de la organización para gestionar la seguridad de información y su implementación deben ser revisados independientemente en intervalos planificados cuando cambios significativos a la puesta en marcha de la seguridad ocurran.
Ø  Guía de implementación:
  •  La revisión independiente debe ser iniciado por la gerencia. 
  • Esta revisión debe ser llevado a cabo por individuos independientemente del área bajo revisión. 
  • Los resultados de la revisión independiente deben ser registrados y reportados a la gerencia.
2. SEGURIDAD EN LOS ACCESOS DE TERCERAS PARTES.

La seguridad en los accesos de terceras partes tiene como objetivo mantener la seguridad de que los recursos de tratamiento de la información y de los activos de información de la organización sean accesibles por terceros.

2.1 Identificación de riesgos por el acceso de terceros.

Ø  Control: Los riesgos a la información de la organización y a las instalaciones del procesamiento de información desde los procesos del negocio que impliquen a terceros deben ser identificados y se debe implementar controles apropiados antes de conceder el acceso a los mismos. 
Ø  Guía de implementación: Membrecía en grupos de interés especial o foros deben ser considerados debido a que:
  •  Mejorar el conocimiento sobre mejores prácticas y estar actualizado con información relevante de seguridad. 
  • Recibir alertas de detección temprana, advertencias y parches que para los ataques y a las vulnerabilidades. 
  • Ganar acceso a consejos especializados de seguridad de información. 
  • Compartir e intercambiar información sobre nuevas tecnologías, productos, amenazas o vulnerabilidades.
Ø  Guía de implementación: La identificación de los riesgos relacionados con el acceso a terceros debe de tomar en cuenta los siguientes puntos:
  •  Las instalaciones del procesamiento de la información a la que terceros requieren acceso. 
  • El tipo de acceso que terceros tendrán a la información y a las instalaciones del procesamiento de infamación. 
    • Acceso físico, por ejemplo oficinas o salas de ordenadores. 
    • Acceso lógico, por ejemplo la base de datos de la organización o sistemas de información. 
    • Conectividad de red entre la organización y terceros, por ejemplo la conexión permanente o acceso remoto. 
2.2 Requisitos de seguridad en contratos de outsourcing.

Ø  Control: Los acuerdos con terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la organización o de las instalaciones de procesamiento de información o la adición de productos o servicios a las instalaciones, debe cubrir todos los requisitos de seguridad relevantes. 

Ø  Guía de implementación: Los siguientes términos deben ser considerados para inclusión en el acuerdo con el fin de satisfacer los requisitos identificados de seguridad:
  • La política de información de seguridad. 
  • Los controles que aseguren la protección del activo, incluyendo:  
    • Procedimientos para proteger los activos organizacionales, incluyendo información, software y hardware. 
    • Controles cualquiera de protección física requerida y mecanismos. 
    • Controles para asegurar la protección contra software malicioso. 
    • Procedimientos para determinar si es que se compromete el activo, como la pérdida o modificación de la información, software y hardware, ha ocurrido. 
    • Confidencialidad, integridad, disponibilidad y cualquier otra propiedad relevante de los activos. 
  • Capacitación en los métodos, procedimientos y seguridad para usuario y administrador. 
  • Responsabilidades con respecto a la instalación y el mantenimiento del hardware y software. 
  • Política de control de acceso, cubriendo: 
    • Las diferentes razones, requerimientos y beneficios que hacen el acceso por terceros necesario. 
    • Métodos permitidos de acceso y el control y uso de identificadores únicos como ID de usuario y contraseñas. 
    • Un proceso autorizado para acceso de usuarios y los privilegios.


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)