Diseño de un Sistema de Gestión de Seguridad de la Información

  • Alcance: consiste en definir el alcance del sistema. Este debe determinar las partes o procesos de la organización que van a ser incluidos dentro del mismo. Se deben determinar cuáles son los procesos críticos para su organización decidiendo qué es lo quiere proteger y por dónde debe empezar.
    • Las actividades de la organización
    • Las ubicaciones físicas que van a verse involucradas
    • La tecnología de la organización y las áreas que quedarán excluidas en la implantación del sistema (hay que estimar los recursos económicos y de personal que se van a implantar y mantener en el sistema).
  • Política de Seguridad a seguir: su principal objetivo es recoger las directrices que debe seguir la seguridad de la información de acuerdo a las necesidades de la organización a la legislación vigente.
    • Debe de establecer las pautas de actuación en el caso de incidentes y definir las responsabilidades.
    • El documento debe delimitar qué se tiene que proteger, de quién y por qué.
    • Debe explicar qué es lo que está permitido y qué no; determinar los límites del comportamiento aceptable y cuál es la respuesta si estos se sobrepasan.
    • Identificar los riesgos a los que está sometida la organización.

Para que la Política de Seguridad sea un documento de utilidad en la organización y cumpla con lo establecido en la norma ISO 27001 debe cumplir los siguientes requisitos:

o   Debe de ser redactada de una manera accesible para todo el personal de la organización. (Corta, precisa y de fácil comprensión).

o   Debe ser aprobada por la dirección y publicitada por la misma.

o   Debe ser de dominio público dentro de la organización, por lo que debe estar disponible para su consulta siempre que sea necesario.

o   Debe ser la referencia para la resolución de conflictos y otras cuestiones relativas a la seguridad de la organización.

o   Debe definir responsabilidades teniendo en cuenta que éstas van asociadas a la autoridad dentro de la compañía. En función de las responsabilidades se decidirá quién está autorizado a acceder a qué tipo de información.

o   Debe de indicar que lo que se protege en la organización incluye tanto al personal como a la información, así como su reputación y continuidad.

o   Debe ser personalizada totalmente para cada organización.

o   Debe señalar las normas y reglas que van a adoptar la organización y las medidas de seguridad que serán necesarias.

 

El contenido debería incluir al menos los siguientes cinco apartados:

  1. Una definición de la seguridad de la información y sus objetivos globales, el alcance de la seguridad y su importancia como mecanismo de control que permita compartir la información.
  2. Declaración por parte de la Dirección apoyando los objetivos y principios de la seguridad de la información.
  3. Breve explicación de las políticas.
  4. Definición de responsabilidades generales y específicas, en las que se incluirán los roles pero nunca a personas concretas dentro de la organización.
  5. Referencias a documentación que puede sustentar la política.

 

La Política de Seguridad debe ser un documento completamente actualizado, por lo que debe ser revisado y modificado anualmente (el tiempo dependerá de la necesidad de la organización).

Debe revisarse y actualizarse después de grandes incidentes de seguridad, después de una auditoría del sistema sin éxito y frente a cambios que afectan a la estructura de la organización.

  • Organización de la Seguridad: se realiza la revisión de los aspectos organizativos de la entidad y la asignación de nuevas responsabilidades.

Dentro de las nuevas responsabilidades hay tres de gran importancia:

o   Responsable de Seguridad, que es la persona que se va encargar de coordinar todas las actuaciones en materia de seguridad dentro de la empresa.

o   El Comité de Dirección que está formado por los directivos de la empresa y que tendrá las máximas responsabilidades y aprobará las decisiones de alto nivel relativo al sistema.

o   Comité de Gestión, que controlará y gestionará las acciones de la implantación del sistema colaborando muy estrechamente con el responsable de seguridad de la entidad.

Este comité tendrá potestad para asumir decisiones de seguridad y está formado por personal de los diferentes departamentos involucrados en la implantación del sistema.

 

Al plantear la nueva organización de la seguridad hay que tener en cuenta la relación que se mantienen con terceras partes que pueden acceder a la información en algún momento, identificando posibles riesgos y tomando medidas al respecto.

 

  • Formación y Concienciación del Personal: es crear en la organización una cultura de seguridad.

o   La concienciación y la divulgación consiguen en que los usuarios conozcan qué actuaciones se están llevando a cabo y por qué se están realizando. Con ello se concede transparencia al proceso y se involucra al personal.

o        La formación logra que los usuarios desarrollen las nuevas actividades de acuerdo a la normativa y a los términos establecidos.

 

Ejemplo Ayuntamiento de Málaga

 

OBJETIVOS Y MISIÓN DE LA POLÍTICA DE  SEGURIDAD DE LA INFORMACIÓN

El Ayuntamiento de Málaga ha establecido un marco de gestión de la seguridad de la información según lo establecido por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, reconociendo así como activos estratégicos la información y los sistemas que la soportan.

Uno de los objetivos fundamentales de la implantación de este marco de referencia es el asentar las bases sobre las cuales los trabajadores públicos y los ciudadanos puedan acceder a los servicios en un entorno de gestión seguro, anticipándonos a sus necesidades, y preservando sus derechos.

La Política de Seguridad de la Información protege a la misma de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos del Ayuntamiento de Málaga.

La gestión de la seguridad de la información ha de garantizar el adecuado funcionamiento de las actividades de control, monitorización y mantenimiento de las infraestructuras e instalaciones generales, necesarias para la adecuada prestación de servicios, así como de la información derivada del funcionamiento de los mismos. Para ello, se establecen como objetivos generales en materia de seguridad de la información los siguientes:

  1. Contribuir desde la gestión de la seguridad de la información a cumplir con la misión y objetivos establecidos por el Ayuntamiento de Málaga.
  2. Disponer de las medidas de control necesarias para el cumplimiento de los requisitos legales que sean de aplicación como consecuencia de la actividad desarrollada, especialmente en lo relativo a la protección de datos de carácter personal y a la prestación de servicios a través de medios electrónicos.
  3. Asegurar el acceso, integridad, confidencialidad, disponibilidad, autenticidad, trazabilidad de la información y la prestación continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.
  4. Proteger los recursos de información del Ayuntamiento de Málaga y la tecnología utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información.

Esta Política de Seguridad asegura un compromiso manifiesto de las máximas Autoridades del Ayuntamiento de Málaga, para la difusión, consolidación y cumplimiento de la presente Política.

ALCANCE

Esta Política se aplica a todos los Departamentos Municipales del Ayuntamiento de Málaga, entendiendo por Departamentos Municipales a sus Direcciones Generales, Organismos Autónomos, Sociedades Municipales con mayoría de capital social municipal y demás entes que decida la Junta de Gobierno Local; a sus recursos y a los procesos afectados por el Real Decreto 3/2010, ya sean internos o externos vinculados a la entidad a través de contratos o acuerdos con terceros.

Etiquetado con:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*