Funciones del Oficial de Seguridad Informática/Información

Es muy complicado "vender esto a la dirección" dado que parece ser que no hay una ciencia cierta. aquí va un copy/paste de la 27002, donde detalla los principales controles a implementar para seguridad de la información. Como verán son muy parecidos a Seguridad Informática.

0.6 Punto de inicio de la seguridad de la información
Se pueden considerar un número de controles como un buen punto de inicio para la
implementación de la seguridad de la información. Estos se basan en requerimientos
legislativos esenciales o pueden ser considerados como una práctica común para la seguridad
de la información.
Los controles considerados como esenciales para una organización desde el punto de vista
legislativo incluyen, dependiendo de la legislación aplicable:
a) protección de data y privacidad de la información personal (ver 15.1.4);
b) protección de los registros organizacionales (ver 15.1.3);
c) derechos de propiedad intelectual (ver 15.1.2).
Los controles considerados práctica común para la seguridad de la información incluyen:
a) documento de la política de seguridad de la información (ver 5.1.1);
b) asignación de responsabilidades de la seguridad de la información (ver 6.1.3);
c) conocimiento, educación y capacitación en seguridad de la información (ver 8.2.2);
d) procesamiento correcto en las aplicaciones (ver 12.2);
e) gestión de la vulnerabilidad técnica (ver 12.6);
f) gestión de la continuidad comercial (ver 14);
g) gestión de los incidentes y mejoras de la seguridad de la información (ver 13.2).

Existen varias tendencias. Seguridad Informatica tiene alcance en IT. Seguridad de la Información en el resto de la compañía mas los controles correspondiente en IT. Ya este punto lo habíamos analizado anteriormente.

Según ISACA son las siguientes:

• Mantener las reglas de acceso a los datos y otros recursos de TI
• Mantener la seguridad y la confidencialidad sobre la emisión y mantenimiento de las identificacion de usuarios y contraseñas
• Monitorear las violaciones de seguridad y aplicar acciones correctivas para asegurar que se provea la seguridad adecuada
• Revisar y evaluar periódicamente la pólitica de seguridad y sugerir a la gerencia los cambios necesarios
• Preparar y monitorear el programa de concientización en seguridad para todos los empleados
• Probar la arquitectura de seguridad para evaluar la fortaleza de la seguridad y para detectar las posibles amenazas
• Trabajar con la gerencia de cumplimiento, de riesgos y las funciones de auditoria para asegurar que la seguridad esté diseñada de manera apropiada y actualizada sobre la base de retroalimentación de auditoria o de pruebas.

yo agrego:

• Mantener actualizadas las políticas, estándares, procedimientos y toda la documentación necesaria para el cumplimiento de la política de seguridad de la información.

Ahora respecto del punto indicado por isaca: "...Monitorear las violaciones de seguridad y aplicar acciones correctivas para asegurar que se provea la seguridad adecuada..." Creo recomendable reemplazar por:

• Implementar un proceso de administración de incidentes de seguridad el cual permita prevenir y limitar el impacto de estos, así como la investigación de cualquier violación de seguridad y/o el monitoreo continuo de las acciones correctivas que surjan de este proceso.

Es importante que las responsabilidades del administrador de seg. de la información queden definidas en la Política de Seguridad de la Información, así como las responsabilidades de los usuarios, dueños de sistemas, directores, custodios de información, etc...