Definición e implementación (PLAN)

Plan: Establecer el SGSI

Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión.

Definir una política de seguridad que:

  • Incluya el marco general y los objetivos de seguridad de la información de la organización.
  • Considere requerimientos legales o contractuales relativos a la seguridad de la información.
  • Esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI.
  • Establezca los criterios con los que se va a evaluar el riesgo.
  • Esté aprobada por la dirección.

Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio que especifique los niveles de riesgo aceptables y unos criterios de aceptación de los riesgos.

Lo primordial de esta metodología es que los resultados obtenidos sean comparables y reproducibles.

Identificar los riesgos:

  • Identificar los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios.
  • Identificar las amenazas en relación a los activos.
  • Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
  • Identificar los impactos en la confidencialidad, disponibilidad e integridad de los activos.

Analizar y evaluar los riesgos:

  • Evaluar el impacto en el negocio de la organización de un fallo de seguridad que suponga la pérdida de confidencialidad, disponibilidad o integridad de un activo de información.
  • Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados.
  • Estimar los niveles de riesgo.
  • Determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.

 

Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:

  • Aplicar controles adecuados.
  • Aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación de los riesgos.
  • Evitar el riesgo, por ej. Mediante el cese de las actividades que lo originan.
  • Transferir el riesgosa terceros, por ej. Aseguradoras o proveedores.

Seleccionar los objetivos de control y los controles del Anexo A de la norma ISO 27001 para el tratamiento del riesgo y que cumplan con los requerimientos identificados en el proceso de evaluación y tratamiento del riesgo.

Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del SGSI.

Definir una declaración de aplicabilidad que incluya:

  • Los objetivos de control y controles seleccionados y los motivos para su elección.
  • Los objetivos de control y controles que actualmente ya están implantados.
  • Los objetivos de control y controles del Anexo A de la norma ISO 27001 excluidos y los motivos para su exclusión. Este es un mecanismo que permite, además, detectar posibles omisiones involuntarias.

Resumen:

  • Alcance
  • Objetivos
  • Compromiso
  • Clasificación
  • Análisis y gestión de riesgos
  • Elementos y agentes involucrados

Ejemplo:

Política de uso de medios por parte de usuarios

  • Cada usuario debe ser responsable de su usuario y contraseña, manteniéndola actualizada.
  • Está prohibido el uso de software ajeno a la empresa.

Política de Restricción

  • Se restringirá las IP de redes sociales a través de proxy

Política de uso de Software

  • Se filtrarán palabras que la dirección considere inadecuadas para el trabajo que se realiza en el puesto correspondiente.

Política de uso de Hardware

  • Sólo se podrá entrar al contenido compartido a través de la intranet restringiendo cualquier IP ajena a la estructura de red establecida.
  • No se podrá usar Smartphone, Tablets o cualquier dispositivo personal en la sala de reuniones.

Política de uso

  • Código de conducta (que procedimiento debe seguir el usuario)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.