Professional Documents
Culture Documents
)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
La política de seguridad de la información en la empresa tiene como principal objetivo dirigir y dar
soporte a la gestión de la seguridad de la información, pero siendo coherente con los requerimientos
comerciales, las necesidades de la organización y la normativa vigente (San Martín García, 2004).
i ón
ac
rm
Fo
misma, en línea con los objetivos comerciales, demostrando su apoyo y compromiso con la seguridad
previamente.
So
El funcionamiento de las políticas de seguridad conlleva distintos momentos, entre los que
encontramos los esfuerzos en investigación y evaluación, la labor de codificar o escribir las políticas,
lograr que la dirección de la organización las acepte, conseguir que la aprueben, lograr que se
Sotom Formación
1 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
Expondremos a continuación las distintas etapas en las que se desarrollará generalmente una
ón
1.2. Características esenciales de una política de seguridad de
i
la información
ac
La política de seguridad de la información debe cumplir una serie de características esenciales,
rm
estas son (INTECO, 2010):
Redacción sencilla, facilitando así el acceso a ella de todo el personal de la organización. Debe
Fo
a la misma.
m
Debe estar disponible para su consulta siempre que se considere necesario, por lo que debe ser
de dominio público.
to
Debe actuar como referencia tanto para la resolución de conflictos, como para la resolución de
Debe definir responsabilidades teniendo en cuenta que éstas van asociadas a la autoridad
dentro de la compañía.
Debe indicar que lo que se protege en la organización incluye tanto al personal como a la
Debe señalar las normas y reglas que va a adoptar la organización y las medidas de seguridad
Sotom Formación
2 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
La dirección de la empresa debe establecer de forma clara las líneas de actuación, manifestando
conocimiento de todos los empleados y partes externas que se encuentren vinculadas con la
ón
En este documento debe explicar qué se debe hacer y cómo para lograr los objetivos establecidos en
i
la seguridad y establecer el enfoque de la organización para manejar la seguridad de la información
ac
(INTECO, 2010). rm
Fo
m
to
So
alcance y su importancia para la organización, así como su compromiso con la misma. También ha
de contener una descripción de las políticas, normas y requisitos de Seguridad, así como de las
De acuerdo con lo que acabamos de exponer podemos decir que el documento de la política de
Sotom Formación
3 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
de información.
los objetivos, los principios de seguridad de la información en línea con la estrategia y los
objetivos comerciales.
ón
Una breve explicación de las políticas, principios, estándares y requerimientos de conformidad
de la seguridad, incluyendo:
i
ac
Conformidad con los requerimientos legislativos, reguladores y restrictivos.
Para que la política de seguridad de la información lleve a cabo de forma efectiva su función es
necesario que la información de la misma se comunique a los usuarios de forma fácil y entendible.
So
En el siguiente cuadro veremos los aspectos más importantes del documento de seguridad:
Sotom Formación
4 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
i ón
1.4. Revisión de la política de seguridad de la información
ac
rm
Con el objetivo de conseguir que la política de seguridad de la información esté siempre actualizada,
cambios o incidencias significativas que hagan peligrar la eficiencia y efectividad de las políticas.
m
to
So
Sotom Formación
5 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
resultados obtenidos de las revisiones efectuadas por la gerencia o dirección. Deberían existir
i ón
ac
rm
Fo
m
to
So
Sotom Formación
6 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
ón
compromiso se manifestará a través de:
i
ac
Asignación de un responsable de seguridad de la información.
Sotom Formación
7 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
información, que incluya los siguientes aspectos (San Martín García, 2004: 25):
ón
Establecer un proceso de autorización de recursos para el tratamiento de la información.
i
Coordinación con las distintas organizaciones y agentes externos.
ac
Realizar revisiones y auditorías independientes.
rm
Fo
En lo relativo a la organización interna sería favorable establecer una estructura de gestión con
La organización, cuando se considere necesario, puede adoptar una serie de medidas, entre las que
So
encontramos:
información.
Sotom Formación
8 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
ón
La dirección de la organización como manifestación del compromiso que sus miembros asumen en
i
ac
materia de seguridad de la información debería:
repercusión.
Fo
actualizada la información.
información.
to
en el conjunto de la organización.
consultoría para la seguridad de la información, ya sea interna o externa, además debería revisar y
Sotom Formación
9 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
ón
seguridad de la información con los gerentes, los administradores, los diseñadores de aplicaciones,
auditores, personal de seguridad, aquellos con capacidades en áreas especiales como seguros, temas
i
jurídicos, recursos humanos, etc., e incluso con los usuarios.
ac
La coordinación y cooperación entre estos sujetos debería:
rm
Garantizar que las actividades de seguridad se ejecutan de conformidad con las previsiones de
información.
m
Determinar aquellas variaciones o cambios que son relevantes en las amenazas y la exposición
Evaluar y analizar la información recibida del análisis, monitoreo y revisión de los incidentes de
Sotom Formación
10 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
información
ón
expresa las responsabilidades para la protección de los activos individuales y llevar a cabo los
i
Cuando se considere oportuno y necesario, debería completarse esta responsabilidad con una
ac
aclaración más detallada de la forma en que se debería hacer y cómo, para lograr los objetivos
Los sujetos a los que se les hayan asignado responsabilidades relacionadas con la seguridad, estarán
capacitados para delegar estas funciones en otros, sin perjuicio de que la responsabilidad por el
buen funcionamiento de esta tarea les sigue correspondiendo, debiendo determinar si cualquier
m
particular.
Sotom Formación
11 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
El comité de dirección, que estará formado por los directivos de la empresa y que tendrá las
El Comité de gestión, que controlará y gestionará las acciones de la implantación del sistema
tendrá potestad para asumir las decisiones de seguridad y estará formado por personal de los
ón
3.4. Autorización de procesos para facilidades procesadoras de
la información
i
ac
rm
En este sentido, es importante tener en cuenta:
Fo
correspondientes autorizaciones.
m
En cuanto a los acuerdos de confidencialidad se deberían identificar y revisar de forma regular los
Sotom Formación
12 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
Tiempo esperado de duración del acuerdo, incluyendo aquellos casos en los que podría ser
Acciones que sería necesario llevar a cabo una vez que finalizan los acuerdos.
información no autorizada.
ón
Establecer la relación entre la información confidencial, la propiedad de la información, los
i
El uso permitido de la información confidencial.
ac
Consecuencias del incumplimiento de los acuerdos de confidencialidad y no divulgación.
rm
3.6. Contacto con las autoridades y con grupos de interés
especial en los incidentes de seguridad
Fo
m
to
Las organizaciones o empresas deberían contar con procedimientos que especifiquen cuándo y con
Algunos ejemplos de autoridades con las que mantener contacto pueden ser:
Dirección General de la Guardia Civil. Existe una unidad especializada para perseguir los
delitos informáticos.
Agencia Española de Protección de Datos. Tiene por objeto velar por el cumplimiento de la
BSA. La Business Software Aliance es una asociación comercial sin ánimo de lucro creada para
Sotom Formación
13 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
defender los objetivos del sector del software y de sus socios de hardware.
Los contactos con organismos reguladores son también de utilidad para procurar una anticipación y
ón
Podemos señalar otros supuestos, como aquellos en los que las organizaciones son atacadas desde
Internet, por lo que parece lógico pensar que podrían necesitar que terceras personas externas a la
i
organización, como son operadores de telecomunicaciones o proveedores de servicios de Internet,
ac
tomen alguna acción de respuesta frente a estos ataques.
profesionales.
Fo
Tener contacto o formar parte de grupos con interés especial es productivo para la empresa, ya que:
Al menos una vez al año, o cada vez que ocurra algún cambio, es necesario realizar una revisión de
Sotom Formación
14 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
Es necesario que los resultados obtenidos con la revisión se pongan en conocimiento de la dirección
Cuando los resultados obtenidos con la revisión indiquen que el enfoque y la implementación de la
ón
previsiones de la política de calidad, la dirección de la organización deberá plantear las oportunas
acciones correctivas.
i
ac
rm
Fo
m
to
So
Sotom Formación
15 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
que puede existir o existe con terceras partes que pueden acceder a la información en algún
momento.
procesamiento de información que son tratados, procesados o comunicados por sujetos o grupos
ón
externos a la organización. El hecho de que un tercero externo a la organización pueda manejar la
información de esta, no quiere decir que tenga que disminuir la seguridad de la información.
i
Existen distintos tipos de terceros, con carácter general podemos diferenciar:
ac
Personal de mantenimiento y soporte hardware y software.
rm
Personal de limpieza, catering, guardia de seguridad, otros servicios de soporte terciarizados.
Con carácter previo al tratamiento o manejo de los datos por los terceros ajenos a la información, es
necesario realizar una evaluación del riesgo, a fin de determinar las implicaciones en la seguridad
m
tratamiento de información de la empresa, teniendo en cuenta las siguientes medidas (San Martín
So
Identificar los riesgos del acceso de terceros analizando los tipos de acceso susceptibles de
Establecer los requisitos de seguridad con terceros mediante contratos formales, de acuerdo
Sotom Formación
16 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
En este punto sería oportuno llevar a cabo una evaluación del riesgo a fin de identificar los posibles
raíz de procesos comerciales que involucran a grupos externos, debiendo implementar la adopción
ón
A este respecto es también aconsejable no conceder el acceso hasta que no se haya firmado un
contrato en el que se definan los términos y condiciones necesarias para el acceso y el contrato en el
que se pacte la relación laboral. Además es importante asegurar que el grupo externo está al tanto
i
ac
de sus obligaciones y que acepta las responsabilidades que se derivan del acceso a la información.
rm
4.2. Tratamiento de la seguridad de la información en las
relaciones con los clientes
Fo
m
to
En las relaciones con los clientes, antes de proporcionar acceso a la información, será oportuno
Protección de activos.
incidentes de seguridad.
Sotom Formación
17 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
cooperativo.
ón
Los acuerdos o contratos con terceros en los que se encuentran afectados el acceso, procesamiento,
comunicación o manejo de información y los medios para realizarlo, deben recogerse en los mismos.
i
ac
Estos acuerdos o contratos deberían asegurar que no existen malos entendidos entre la organización
organizaciones y tipos de terceras personas. Es este motivo por el que se deben incluir todos los
adecuada.
to
So
Sotom Formación
18 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
Las organizaciones poseen información que deben proteger frente a riesgos y amenazas para
Esta información imprescindible para las empresas es lo que se ha denominado activo de seguridad
ón
de Gestión de la Seguridad de la Información (INTECO, 2010).
Con el fin de asegurar y mantener una adecuada protección sobre los activos de la organización, es
i
ac
necesario llevar a cabo las siguientes medidas (San Martín García, 2004):
Asignación de responsabilidades.
rm
Clasificación de la información.
Todos los activos deberán ser inventariados y contar con un propietario nombrado.
Fo
Los propietarios deberán identificar todos los activos y asignar la responsabilidad por el
delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo responsable de
Sotom Formación
19 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
Se debe adjudicar un propietario y un responsable para todos los activos importantes en la empresa,
elaborando previamente un inventario de activos. Este inventario deberá incluir los distintos tipos de
ón
activos diferenciados en función de su naturaleza (INTECO, 2010):
Activos de servicios: son los procesos de negocio de la organización, pueden ser de carácter
i
ac
externo, o bien de carácter interno, como por ejemplo la gestión de nóminas.
Activos de personal: este es uno de los principales activos. Se incluye en este grupo el personal
Equipamiento auxiliar: es el que da soporte a los sistemas de información, con activos que no
se han incluido en ninguno de los grupos anteriores. Como ejemplos podemos citar los equipos
Instalaciones: es el lugar donde se alojan los sistemas de información, como edificios, locales,
Activos intangibles: es necesario tener en cuenta activos como estos, ya que influyen tanto
como los anteriores. Son por ejemplo la imagen o la reputación de una empresa.
Sotom Formación
20 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
Cada activo debe identificarse de forma clara. Debe acordarse y documentarse el propietario y
El inventario de los activos debe incluir toda la información necesaria para poder recuperarse frente
a algún ataque, como puede ser el tipo de activo, el formato, ubicación, información de respaldo,
ón
6.2. Propiedad de los activos de seguridad de la información
i
ac
Toda la información y los activos asociados con los medios de procesamiento de información deben
persona o entidad que cuenta con la autorización de la dirección para ser responsable de controlar
propietario no puede hacernos pensar que esta persona tenga en realidad algún derecho de
Identificarse claramente los distintos recursos y procesos de seguridad relacionados con cada
La información y los activos asociados con los medios de procesamiento de la información son
Sotom Formación
21 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
Se deben identificar, documentar e implementar reglas para el uso aceptable de la información y los
ón
Todos los empleados, contratistas y terceros deberán seguir las reglas para el uso aceptable de la
información y los activos asociados con los medios de procesamiento de la información, incluyendo:
i
ac
Reglas para la utilización del correo electrónico e Internet.
Lineamientos para el uso de dispositivos móviles, especialmente para el uso fuera del local de
rm
la organización.
Fo
Además, los sujetos antes mencionados y que usan o tiene acceso a los servicios activos de la
organización deberán conocer los límites que tienen que respetar en el uso de la información y los
activos asociados con los medios y recursos del procesamiento de la información de la organización.
m
to
So
Sotom Formación
22 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
7. Clasificación de la información
La información debe clasificarse para establecer la necesidad, prioridades y grado de protección que
Elaborar guías de clasificación para catalogar los activos por su valor e importancia para la
organización.
ón
Marcar y tratar los activos físicos y electrónicos de información en función de su naturaleza:
i
transmisión por telefonía fija, móvil o equipos de respuesta automática, etc.
ac
rm
Fo
Como hemos visto, los activos de información se deben clasificar de acuerdo a la sensibilidad y
criticidad de la información que contienen; o bien, de acuerdo con la funcionalidad que tienen
m
asignada y recogida en función a ello, con el objeto de señalar cómo ha de ser tratada y protegida
dicha información.
to
Normalmente, la información, pasado un tiempo, pierde esta criticidad, por ejemplo en el caso de
que la información se haga pública, por ello es necesario tener en cuenta estos aspectos, puesto que
So
organizaciones o empresas.
Los criterios de clasificación han de prever y contemplar el hecho de que la clasificación de un ítem
La información puede adoptar formas muy diversas, pudiendo ser almacenada, transmitida, impresa
o escrita en papel. Pero cada una de estas formas debe disponer de todas las medidas necesarias
Sotom Formación
23 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
Los lineamientos de clasificación, esto es, la descripción de qué y cómo hacer algo, deben incluir
protocolos para la clasificación inicial y la reclasificación a lo largo del tiempo, en concordancia con
ón
Pautas de clasificación:
i
Considerar las necesidades de la empresa con respecto a la distribución (uso compartido) o
ac
restricción de la información e incidencia de dichas necesidades en las actividades de la
organización.
rm
La información deja de ser sensible o crítica después de cierto periodo de tiempo.
La información y las salidas de los sistemas que administran datos clasificados deben ser rotuladas o
información necesitan abarcar los activos de información tanto en formatos físicos como
Sotom Formación
24 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
Copia.
Almacenamiento.
Transmisión oral, vía telefonía móvil o fija, correo de voz, contestadores automáticos,
videoconferencias, etc.
i ón
ac
rm
Fo
m
to
So
Sotom Formación
25 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
Recuerda
dar soporte a la gestión de la seguridad de la información, pero siendo coherente con los
Pretenden indicar las líneas generales para conseguir los objetivos marcados sin entrar en
ón
detalles técnicos.
i
ac
cómo para lograr los objetivos establecidos en la políticas. Además, debe poner de manifiesto el
entendible.
incidentes.
to
Con carácter previo al tratamiento o manejo de los datos por los terceros ajenos a la
información, es necesario realizar una evaluación del riesgo, a fin de determinar las
información que contienen o bien de acuerdo con la funcionalidad que tienen asignada y
recogida en función a ello, con el objeto de señalar cómo ha de ser tratada y protegida dicha
información.
Sotom Formación
26 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
Autoevaluación
Verdadera.
ón
Falsa.
i
ac
2. Completa el espacio en blanco de la siguiente enunciación: “El
___________________________ explica qué es lo que está permitido y lo que no,
determinando los límites del comportamiento aceptable y la respuesta en caso
rm
de que exista extralimitación; e identifica los riesgos a los que está sometida la
organización”.
Fo
de ellos:
Sotom Formación
27 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
ón
La persona independiente a la empresa que se va a encargar de determinar si las
políticas de seguridad son las adecuadas para el funcionamiento de la organización.
i
ac
El encargado de comunicar a los clientes la política de seguridad de la organización.
rm
Es la persona encargada de elaborar y aprobar el documento de seguridad de la
información.
Fo
Sotom Formación
28 / 28