¿Qué objetivo persigue la seguridad de la información?
Seguridad de la información
El objetivo del dominio es establecer la administración de la seguridad de la información, siendo la parte fundamental de los objetivos y las actividades de la empresa.
Se debe definir de manera formal el ámbito de gestión para efectuar diferentes tareas como pueden ser la aprobación de las políticas de seguridad, la coordinación de la implantación de la seguridad y la asignación de funciones y responsabilidades.
Realizar una actualización adecuada en materia de seguridad que debe contemplar la necesidad de disponer de fuentes de conocimiento y experimentar el asesoramiento, cooperación y colaboración en materia de seguridad de la información.
Las protecciones físicas de las organizaciones son cada vez más reducidas por las actividades de la empresa que requiere por parte del personal que acceden a la información desde el exterior en situación de movilidad temporal o permanente.
En estos casos se considera que la información pude ponerse en riesgo si el acceso se produce en el marco de una inadecuada administración en la seguridad, por lo que se establecen diferentes medidas adecuadas para la protección de la información.
Organización interna
La gerencia debe establecer de forma clara las líneas de la política de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una policía de seguridad en toda la organización según la norma ISO 27001.
Se tiene que establecer una estructura de gestión con el objetivo de iniciar y controlar la implementación de la seguridad de la información dentro de la empresa.
Es necesario que el órgano de dirección debe aprobar la política de seguridad de la información, asignar roles de seguridad y coordinar y revisar la implementación de la seguridad en toda la empresa.
Si fuera necesario, en la empresa se tiene que establecer y facilitar el acceso a una fuente especializada de consulta en seguridad de la información. Deben desarrollarse contactos especializados externos de seguridad, que incluyan a las administraciones pertinentes, con objeto de mantenerse actualizado en las tendencias de la industria, la evolución de las normas y los métodos de evaluación, así como facilitar los enlaces adecuados para el tratamiento de las incidencias de seguridad.
Se tiene que fomentar un enfoque multidisciplinar de seguridad de la información, que establezca la cooperación y la colaboración de directores, usuarios, administradores, diseñadores de aplicaciones, auditores y el equipo de seguridad con expertos en áreas como la gestión de seguros y la gestión de riesgos.
Actividades de control del riesgo
- Asignación de responsabilidades para la seguridad de la información: se tiene que definir y asignar claramente todas las responsabilidades para la seguridad de la información.
- Segregación de tareas: se deben segregar tareas y las áreas de responsabilidad lo antes posible para evitar conflictos de interés con el fin de reducir las oportunidades de una modificación no autorizada o no intencionada.
- Contacto con las autoridades: se deben mantener los contactos apropiados con las autoridades pertinentes.
- Contacto con grupos de interés especial: se debe mantener el contacto con diferentes grupos o foros de seguridad que estén especializados y asociados a profesionales.
- Seguridad de la información en la gestión de proyectos: se debe contemplar la seguridad de la información en la gestión de proyectos e independientemente del tipo de proyecto a desarrollar por la empresa.
Métricas asociadas
Es el porcentaje de funciones organizativas para las cuales se ha implementado una estrategia general de mantener los riesgos de seguridad de la información por debajo de los umbrales explícitamente aceptados por la dirección.
Porcentaje de los empleados que han recibido y aceptado de manera forma las responsabilidades de seguridad de la información.
Dispositivos para movilidad y teletrabajo
La protección exigible debe estar en relación con los riesgos específicos que ocasionan otras formas de trabajo. En la utilización de la informática se deben considerar todos los riesgos de trabajar en entornos desprotegidos y aplicar la protección conveniente. En el caso del teletrabajo, la empresa tiene que aplicar las medidas de protección y garantizar que las disposiciones adecuadas que se encuentren disponibles para la modalidad de trabajo.
Se tiene que establecer una estructura de gestión con objeto de iniciar y controlar la implementación de la seguridad de la información dentro de la empresa.
Tiene que disponer de políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles, en mayor medida, de la información almacenada en ellos.
El valor de la información supera con mucho el del hardware. El nivel de protección de los equipos informáticos se utilizan dentro de los instalaciones de la empresa tiene su correspondencia en el nivel de protección de los equipos portátiles, etc.
Actividades de control del riesgo
- Política de utilización de dispositivos para la movilidad: se tiene que establecer una política formal y se deben adoptar las medidas de seguridad adecuadas para la protección contra los riesgos derivados de utilizar los recursos de informática y las telecomunicaciones.
- Teletrabajo: se tiene que desarrollar e implementar una política o medidas de seguridad de apoyo para proteger a la información accedida, procesada o almacenada en ubicaciones destinadas al teletrabajo.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.