Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Esta estrategia se plasma en la fijacin de los principios, objetivos y requisitos de seguridad de los sistemas y procesos de informacin que la Organizacin ha desarrollado para soportar sus sistemas y procesos organizacionales.
La Poltica de seguridad que concreta dichos principios, objetivos y requisitos en la Organizacin debe tener en cuenta dos consecuencias colaterales de la implantacin de dicha Estrategia
Internamente los usuarios de la Organizacin no deben ver la seguridad como una restriccin o un obstculo a su eficacia operacional
Externamente la Organizacin se mueve en un Entorno definido por unos condicionantes estatutarios y contractuales, con requisitos que la Organizacin debe satisfacer y en su caso renegociar con sus interlocutores
Los riesgos y salvaguardas de la Organizacin se deben revisar cuando sea adecuado y sistemticamente como una parte ms de la gestin de los cambios de la Organizacin.
La valoracin de riesgos considera, tanto la vulnerabilidad y probabilidad real de que la amenaza prevalezca frente a las salvaguardas implantadas y se materialice, como el impacto en los activos de la Organizacin que resulte de dicha vulnerabilidad. Las valoraciones de ambos componentes del riesgo dependen de factores globales como:
La naturaleza de la informacin y los sistemas de la Organizacin
El entorno donde opera el sistema. La proteccin proporcionada por las salvaguardas instaladas
Condiciones importantes para tener una buena implantacin de seguridad de los sistemas de informacin dentro de una Organizacin
- Los objetivos y las acciones en materia de Seguridad deben basarse en los objetivos y necesidades de la Organizacin. - Deber existir un apoyo visible el en compromiso de la direccin con la seguridad, as como una direccin de esta con suficiente nivel orgnico. - Deber haber una buena comprensin en la Organizacin de los niveles y riesgos en materia de seguridad dentro de la organizacin.
La infraestructura organizacional de Seguridad apoya una funcin especializada que tiene como objetivo gestionar la proteccin de los sistemas de informacin dentro de la Organizacin; es decir, alcanzar el estado de seguridad deseado y mantenerlo.
La Direccin tiene que asumir en general la necesidad de establecer una Funcin de Seguridad de los Sistemas de Informacin en la Organizacin.
Administrador Central de
Seguridad
Administradores
sectoriales
Comit multifuncional de
Seguridad
COMIT MULTIFUNCIONAL DE SEGURIDAD Constituido por representantes de las reas y funciones directivas de la Organizacin.
Cada Organizacin, sea grande o pequea, debe poder contar con la posibilidad de consultar especialistas en Seguridad de Sistemas de informacin
Las normas de Seguridad de los Sistemas de Informacin de la Organizacin establecen las reglas y las responsabilidades de su proteccin. Pero la situacin y actividades de la Seguridad deben revisarse de forma independiente para asegurar que las prcticas de la Organizacin siguen estas normas y que adems son efectivas.
La Poltica de la Organizacin para la Seguridad de los Sistemas de Informacin debe servir de gua para la asignacin de funciones y responsabilidades de Seguridad en la Organizacin. Debern identificarse los papeles o roles de seguridad que ejercen personas determinadas sobre cada uno de los activos sujetos a medidas de seguridad.
Se debe definir:
Los Activos deben estar claramente identificados as como su propietario. Cada Activo debe estar protegido por los niveles de sus subestados de seguridad (autenticacin, confidencialidad, integridad, disponibilidad) bajo la responsabilidad de su propietario.
El propietario tendr bien identificados a los usuarios de los Activos y bien documentados los tipos de accesos autorizados; tendr la responsabilidad y la autoridad para iniciar acciones de sancin contra los transgresores. El administrador de Seguridad del dominio donde se ejecuten los Sistemas o se mantengan los Activos de Informacin informar al propietario sobre las autorizaciones en vigor y las anomalas en los accesos que se detecten. El depositario y los usuarios conocern claramente cules son los niveles de proteccin de cada Activo, abstenindose de utilizarlo en forma diferente a la prescrita.