Le dije que escribo un blog acerca del tema, pero antes de comenzar según mi experiencia de muchos años en el tema quisiera aconsejarle que dejará bien clara su función a la Alta Administración.
La misma debe entender la razón de existir de un Administrador de Seguridad de la Información o de informática según se establezca.
Defino que hay ciertos puntos clave para comenzar a implementar un sistema de gestión los cuales expongo a continuación.
Un sistema de TI abarrotado de funciones y dispositivos de seguridad no estará protegido a menos que todo esté debidamente implementado, gestionado, cuidadosamente operado, monitoreado y revisado; de la misma forma que las mejores funciones de seguridad de un vehículo podrían ser inútiles si el conductor es descuidado o si ese vehículo no tiene un adecuado mantenimiento. Los objetivos de seguridad no pueden cumplirse simplemente mediante protecciones, técnicas o procedimientos.Una actitud y atención educada de seguridad por parte de todos los empleados, de la gerencia así como de los proveedores de servicios externos y usuarios/socios externos de TI confiables es vital para lograrla. La seguridad de sistemas de información es algo más que un mecanismo. También incluye aspectos culturales que deben ser adoptados por todas las personas dentro de una organización para que sea efectiva.
Como elementos clave relacionados de gestión de seguridad de la información tenemos:
Compromiso y respaldo de la alta gerencia
El compromiso y respaldo de la alta gerencia son importantes para el éxito en el establecimiento y la continuidad de un programa de gestión de seguridad de la información. Si no ese tiene este punto, todo fracasará.
Políticas y Procedimientos
Se debe establecer el marco de una política proporcionando una declaración concisa de lineamientos o directivas de la alta gerencia que trata el valor de los activos de información, la necesidad de seguridad y la importancia de definir una jerarquía de clases de activos confidenciales y críticos. Una vez que una política ha sido aprobada por el organismo de gobierno de la organización y por las funciones y las responsabilidades relacionadas, el programa de seguridad de la información será sustentado por lo siguiente:
- Estándares para desarrollar niveles de seguridad mínimos
- Criterios y métodos de medición
- Directrices, prácticas y procedimientos específicos
La política debe asegurar que se cumplan las leyes y regulaciones y la misma se vuelve más efectiva si está acompañada de sanciones. Las políticas y procedimientos de seguridad deben estar actualizados y deben reflejar los objetivos estrategicos del negocio, los estándares y prácticas de seguridad generalmente aceptados.
Organización
Las responsabilidades de la protección de los activos individuales deben ser definidos claramente. La política de seguridad de la información debe proporcionar una orientacióngeneral sobre la asignación de funciones y responsabilidades de seguridad en la organización y támbien, donde sea necesario, orientación detallada para los sitios específicos, activos, servicios y procesos de seguridad relacionados, tales como la planificación de la recuperación y continuidad del negocio de TI.
Concienciación y formación en seguridad de la información
Todos los empleados de una organización, y cuando corresponda, los usuarios externos deben recibir capacitación apropiada y actualizaciones periódicas para promover la concienciación y el cumplimiento de las políticas y los procedimientos de seguridad que están escritos. Para los nuevos empleados, esta capacitación debe ocurrir antes de que se les otorgue acceso a la información o a los servicios. Los diferentes mecanismos disponibles para elevar la concienciacion de seguridad incluyen los siguientes:
- Actualizaciones periódicas escritas de las politicas y procedimientos de seguridad que estan por escrito
- Capacitacion formal sobre seguridad de la informacion
- Programa interno de certificación para el personal relevante
- Declaraciones firmadas por los empleados comprometiendose a acatar la política y los procedimientos de seguridad documentados, incluyendo la obligación de no divulgación.
- Uso de diferentes medios para la distribución de material relacionado con la seguridad (por ejemplo, boletín de noticias de la compañía, pagina Web, videos, etc.)
- Cumplimiento visible de las reglas sobre seguridad y auditorías periódicas
- Ejercicios e incidentes simulados de seguridad
Monitoreo y cumplimiento
Los auditores de SI están generalmente encargados de evaluar, periódicamente, la efectividad de los programas de seguridad de la organización. Para llevar a cabo esta tarea, estos deben entender y conocer los esquemas de protección, el marco de la seguridad y los aspectos relacionados incluyendo el cumplimiento de las leyes y regulaciones aplicables.
Por ejemplo, estos aspectos pueden estar relacionados con la debida diligencia de la organización en cuanto a la seguridad y privacidad de información sensible, en particular cuando ésta se relaciona con industrias específicas (por ejemplo, las instituciones bancarias y financieras, salud, etc.)
Tratamiento y respuesta a incidentes
Un incidente de seguridad de computadoras es un evento que afecta adversamente el procedimiento del uso de los sistemas. Esto incluye perdida de confidencialidad de la información, causar inestabilidad de la integridad de la información, negación de servicio, acceso no autorizado a los sistemas, mal uso de los sistemas de información, robo y daño de los sistemas. otros incidentes incluyen ataques de virus e intrusiones por personas dentro o fuera de la organización.
Muy pronto veremos como estaremos implantando un buen "Gobierno de Seguridad de la Información". Hasta Pronto
No hay comentarios:
Publicar un comentario