T1 - UD4 - Política de Seguridad, Organización de La Seguridad de La Información y Gestión de Activos

[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...
)
[MOD002658] La Seguridad de la Información
[UDI015390] Política de seguridad, organización de la seguridad de la información y gestión de activos
1. Política de seguridad de la información
La política de seguridad de la información en la empresa tiene como principal objetivo dirigir y dar
soporte a la gestión de la seguridad de la información, pero siendo coherente con los requerimientos
comerciales, las necesidades de la organización y la normativa vigente (San Martín García, 2004).
i ón
ac
rm
Fo
La dirección de la organización debería establecer de forma clara la política de seguridad de la
misma, en línea con los objetivos comerciales, demostrando su apoyo y compromiso con la seguridad
de la información a través de la emisión y mantenimiento de una política de seguridad de la

m
información en toda la organización. Además, la política de seguridad debe tener dentro de la
empresa un responsable de su mantenimiento y revisión, de acuerdo con un plan establecido

to
previamente.
So
1.1. Etapas en el desarrollo de una política de seguridad de la

información
El funcionamiento de las políticas de seguridad conlleva distintos momentos, entre los que
encontramos los esfuerzos en investigación y evaluación, la labor de codificar o escribir las políticas,
lograr que la dirección de la organización las acepte, conseguir que la aprueben, lograr que se
transmita entre el personal de la empresa, concienciar sobre la importancia de la política de
seguridad, lograr que se acate, realizar un seguimiento de la misma, garantizar su continua
actualización, suprimirla cuando se considere que ya no va a ser efectiva.
Sotom Formación
1 / 28
[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...)
Expondremos a continuación las distintas etapas en las que se desarrollará generalmente una
política de seguridad de la información:
Etapa 1. Fase de desarrollo.
Etapa 2. Fase de implementación.
Etapa 3. Fase de mantenimiento.
Etapa 4. Fase de eliminación.
ón
1.2. Características esenciales de una política de seguridad de
i
la información
ac
La política de seguridad de la información debe cumplir una serie de características esenciales,
rm
estas son (INTECO, 2010):
Redacción sencilla, facilitando así el acceso a ella de todo el personal de la organización. Debe
Fo
ser corta, precisa y de fácil comprensión.
Aprobarse por la dirección de la organización, quien es la encargada, además de dar publicidad
a la misma.
m
Debe estar disponible para su consulta siempre que se considere necesario, por lo que debe ser
de dominio público.
to
Debe actuar como referencia tanto para la resolución de conflictos, como para la resolución de
otras cuestiones relacionadas con la seguridad de la información.

So
Debe definir responsabilidades teniendo en cuenta que éstas van asociadas a la autoridad
dentro de la compañía.
Debe indicar que lo que se protege en la organización incluye tanto al personal como a la
información, así como su reputación y continuidad.
Debe señalar las normas y reglas que va a adoptar la organización y las medidas de seguridad
que serán necesarias.
1.3. Documento de política de la seguridad de la información
Sotom Formación
2 / 28
La dirección de la empresa debe establecer de forma clara las líneas de actuación, manifestando
además su apoyo y compromiso con la Seguridad mediante la elaboración de un documento de
política de Seguridad de la información (San Martín García, 2004: 25).
La dirección de la empresa u organización es la encargada de la aprobación del documento de
política de seguridad de la información. Una vez aprobado debe publicarse y ponerse en
conocimiento de todos los empleados y partes externas que se encuentren vinculadas con la
organización y cuya importancia sea relevante.
ón
En este documento debe explicar qué se debe hacer y cómo para lograr los objetivos establecidos en
la políticas. Además, debe poner de manifiesto el compromiso de la dirección de la organización con
i
la seguridad y establecer el enfoque de la organización para manejar la seguridad de la información
ac
(INTECO, 2010). rm
Fo
m
to
So
El documento de política de seguridad de la información, con carácter general, debería tener el
siguiente contenido mínimo: la definición de Seguridad de la información, sus objetivos globales, su
alcance y su importancia para la organización, así como su compromiso con la misma. También ha
de contener una descripción de las políticas, normas y requisitos de Seguridad, así como de las
responsabilidades necesarias para su cumplimiento (San Martín García, 2004: 25).
De acuerdo con lo que acabamos de exponer podemos decir que el documento de la política de
seguridad debe contener, como mínimo, enunciados relacionados con:
Sotom Formación
3 / 28
Una definición de seguridad de la información, los objetivos de la misma, el alcance previsto y
la importancia de la seguridad de la información como mecanismo agilizador del intercambio
de información.
Un apartado en el que se determine la intención de la dirección de la organización, detallando
los objetivos, los principios de seguridad de la información en línea con la estrategia y los
objetivos comerciales.
Un marco de referencia en el que se establezcan los objetivos de control y los controles,
incluyendo la estructura de la evaluación del riesgo y la gestión del riesgo.
ón
Una breve explicación de las políticas, principios, estándares y requerimientos de conformidad
de la seguridad, incluyendo:
i
ac
Conformidad con los requerimientos legislativos, reguladores y restrictivos.
Educación, capacitación y conocimiento de seguridad.

rm
Gestión de la continuidad del negocio.
Consecuencias de vulnerar la política de seguridad de la información.

Fo
Una definición de las responsabilidades generales y específicas para la gestión de la seguridad
de la información en la que se incluya el reporte de incidentes de seguridad de la información.

m
Referencias a la documentación que fundamenta la política.

to
Para que la política de seguridad de la información lleve a cabo de forma efectiva su función es
necesario que la información de la misma se comunique a los usuarios de forma fácil y entendible.
So
En el siguiente cuadro veremos los aspectos más importantes del documento de seguridad:
Sotom Formación
4 / 28
i ón
1.4. Revisión de la política de seguridad de la información
ac
rm
Con el objetivo de conseguir que la política de seguridad de la información esté siempre actualizada,
deberán establecerse intervalos de revisión y también efectuar revisiones cuando se produzcan

Fo
cambios o incidencias significativas que hagan peligrar la eficiencia y efectividad de las políticas.
m
to
So
Un aspecto importante es la designación por parte de la organización de un responsable de política
de seguridad que se asegure de: desarrollar, revisar y evaluar la política de seguridad.
Sotom Formación
5 / 28
La revisión de la política de seguridad de la información deberían tomar en consideración los
resultados obtenidos de las revisiones efectuadas por la gerencia o dirección. Deberían existir
procedimientos de revisión gerencial, incluyendo un cronograma o el periodo de la revisión.
i ón
ac
rm
Fo
m
to
So
Sotom Formación
6 / 28
2. Organización de la seguridad de la información
La organización de la seguridad de la información consiste en el diseño de una estructura de
administración dentro de la organización que establezca la responsabilidad de los grupos en ciertas
áreas de la seguridad y un proceso de respuesta en caso de que se produzcan incidentes.
La dirección de la organización o empresa debe apoyar de forma clara la seguridad de la
información dentro de la organización, demostrando su compromiso y vinculación clara. Este
ón
compromiso se manifestará a través de:
La creación de un comité de seguridad interdisciplinario.
i
ac
Asignación de un responsable de seguridad de la información.
Aprobación del documento de políticas de seguridad de la información.
Velar por el cumplimiento de las políticas de seguridad de la información.

rm
Asignación de responsabilidades asociadas a la seguridad de la información.
Fo
m
to
So
Sotom Formación
7 / 28
3. Organización interna de la seguridad de la información
Es necesario establecer en la empresa una estructura de gestión para implantar la seguridad de la
información, que incluya los siguientes aspectos (San Martín García, 2004: 25):
Crear un comité de seguridad interdisciplinario e interfuncional.
Asegurar la coordinación entre todas las áreas de la organización.
Definir y asignar las oportunas responsabilidades.
ón
Establecer un proceso de autorización de recursos para el tratamiento de la información.
Contar con ayuda y asesoramiento especializado en seguridad.
i
Coordinación con las distintas organizaciones y agentes externos.
ac
Realizar revisiones y auditorías independientes.
rm
Fo
En lo relativo a la organización interna sería favorable establecer una estructura de gestión con
objeto de iniciar y controlar la implantación de la seguridad de la información dentro de la
organización. En este sentido, la dirección de la empresa u organización debería aprobar la política

m
de seguridad de la información, asignar los roles de seguridad, coordinar y revisar la

to
implementación de la seguridad en toda la organización.
La organización, cuando se considere necesario, puede adoptar una serie de medidas, entre las que
So
encontramos:
Establecer y facilitar el acceso a una fuente especializada de consulta de seguridad de la
información.
Desarrollar contactos con especialistas o grupos de seguridad externos, incluyendo las
autoridades, a fin de mantener actualizados los sistemas de seguridad.
Fomentar un enfoque multidisciplinar para la seguridad de la información.
Sotom Formación
8 / 28
3.1. Compromiso de la dirección con la seguridad de la

información
ón
La dirección de la organización como manifestación del compromiso que sus miembros asumen en
i
ac
materia de seguridad de la información debería:
Asegurar la identificación de los objetivos de seguridad de la información, el cumplimiento de

rm
los requisitos organizacionales y la integración en los procesos más importantes o de mayor
repercusión.
Fo
En relación a la política de seguridad de la información, debería aprobar, revisar y mantener
actualizada la información.
Repasar la efectividad de la implementación de la política de seguridad de la información.

m
Dotar a la organización de los recursos necesarios para asegurar la seguridad de la
información.
to
Proveer de una dirección y un apoyo firme y claro a las iniciativas de seguridad.
Fomentar y aprobar la asignación de roles y responsabilidades específicas para la seguridad de

So
la información en toda la organización.
Llevar a cabo programas y planes para concienciar sobre la seguridad de la información.
Garantizar que la implantación de los controles de seguridad de la información sea coordinado
en el conjunto de la organización.
Cuando fuera oportuno, la dirección de la organización debería identificar las necesidades de
consultoría para la seguridad de la información, ya sea interna o externa, además debería revisar y
coordinar los resultados de la consultoría a través de la organización.
Sotom Formación
9 / 28
3.2. Coordinación de la seguridad de la información
La coordinación de la seguridad de la información debería relacionar y establecer cauces efectivos
de comunicación entre todo el personal de la organización o la empresa. Es necesario relacionar la
ón
seguridad de la información con los gerentes, los administradores, los diseñadores de aplicaciones,
auditores, personal de seguridad, aquellos con capacidades en áreas especiales como seguros, temas
i
jurídicos, recursos humanos, etc., e incluso con los usuarios.
ac
La coordinación y cooperación entre estos sujetos debería:
rm
Garantizar que las actividades de seguridad se ejecutan de conformidad con las previsiones de
la política de seguridad de la información.

Fo
Concretar el proceso y la forma en que deben tratarse las no conformidades.
Constituir las metodologías y los procesos adecuados para conseguir la seguridad de la
información.
m
Determinar aquellas variaciones o cambios que son relevantes en las amenazas y la exposición
de la información y los medios de procesamiento de información ante las amenazas.

to
Evaluar la idoneidad de los controles de seguridad de la información y coordinar la
implementación de los mismos.

So
Fomentar la creación de cauces de educación, captación y conocimiento de la seguridad de la
información en toda la organización.
Evaluar y analizar la información recibida del análisis, monitoreo y revisión de los incidentes de
la información, y recomendar las acciones apropiadas en como respuesta a los incidentes de
seguridad de la información que han sido identificados.
3.3. Asignación de responsabilidad de seguridad de la
Sotom Formación
10 / 28
información
La asignación de responsabilidades de la seguridad de la información debería realizarse en
concordancia con la política de seguridad de la información. Debiendo definir de forma clara y
ón
expresa las responsabilidades para la protección de los activos individuales y llevar a cabo los
específicos procesos de seguridad.
i
Cuando se considere oportuno y necesario, debería completarse esta responsabilidad con una
ac
aclaración más detallada de la forma en que se debería hacer y cómo, para lograr los objetivos
establecidos, en locales y medios de procesamiento de información específicos. Debiendo delimitarse

rm
claramente las responsabilidades locales para la protección de activos y llevar a cabo procesos de
seguridad específicos, como el procedimiento de continuidad del negocio.

Fo
Los sujetos a los que se les hayan asignado responsabilidades relacionadas con la seguridad, estarán
capacitados para delegar estas funciones en otros, sin perjuicio de que la responsabilidad por el
buen funcionamiento de esta tarea les sigue correspondiendo, debiendo determinar si cualquier
m
tarea delegada ha sido realizada correctamente.
En la asignación de responsabilidades, es necesario tener en cuenta:

to
La necesidad de identificar y definir los activos y procesos de seguridad de cada sistema

So
particular.
Designar la entidad responsable de cada activo o proceso de seguridad y documentar los
detalles de esta responsabilidad.
Definir y documentar de forma clara los niveles de autorización.
Las principales responsabilidades que se deberán asignar son (INTECO, 2010):
El responsable de seguridad, es la persona que se va a encargar de coordinar todas las
actuaciones en materia de seguridad dentro de la empresa.
Sotom Formación
11 / 28
El comité de dirección, que estará formado por los directivos de la empresa y que tendrá las
máximas responsabilidades y aprobará las decisiones de alto nivel relativas al sistema.
El Comité de gestión, que controlará y gestionará las acciones de la implantación del sistema
colaborando muy estrechamente con el responsable de seguridad de la entidad. Este comité
tendrá potestad para asumir las decisiones de seguridad y estará formado por personal de los
diferentes departamentos involucrados en la implantación del sistema.
ón
3.4. Autorización de procesos para facilidades procesadoras de
la información
i
ac
rm
En este sentido, es importante tener en cuenta:
Fo
El gerente responsable de la seguridad de la información será quien conceda las
correspondientes autorizaciones.
m
Es necesario realizar un chequeo o análisis tanto de software como de hardware a fin de
asegurar la compatibilidad con otros componentes del sistema.

to
La utilización de facilidades o mecanismos agilizadores del procesamiento de la información
pueden acarrear nuevas vulnerabilidades y hacer necesaria la aplicación de nuevos controles.

So
3.5. Acuerdos de confidencialidad para la protección de la

información
En cuanto a los acuerdos de confidencialidad se deberían identificar y revisar de forma regular los
acuerdos en aquellos requisitos de confidencialidad o no divulgación que contemplan las
necesidades de protección de la información de la organización.
A fin de identificar los requerimientos de los acuerdos de confidencialidad o no divulgación, es
Sotom Formación
12 / 28
necesario tener en cuenta los siguientes elementos:
Definición de la información que se va a proteger.
Tiempo esperado de duración del acuerdo, incluyendo aquellos casos en los que podría ser
necesaria la confidencialidad de forma indefinida.
Acciones que sería necesario llevar a cabo una vez que finalizan los acuerdos.
Régimen de responsabilidad y funciones de los firmantes, a fin de evitar la divulgación de
información no autorizada.
ón
Establecer la relación entre la información confidencial, la propiedad de la información, los
secretos comerciales y de propiedad intelectual o industrial.
i
El uso permitido de la información confidencial.
ac
Consecuencias del incumplimiento de los acuerdos de confidencialidad y no divulgación.
rm
3.6. Contacto con las autoridades y con grupos de interés
especial en los incidentes de seguridad
Fo
m
to
Las organizaciones o empresas deberían contar con procedimientos que especifiquen cuándo y con
qué autoridades contactar si tuviera lugar algún incidente de seguridad de la información.

So
Algunos ejemplos de autoridades con las que mantener contacto pueden ser:
Dirección General de la Guardia Civil. Existe una unidad especializada para perseguir los
delitos informáticos.
Agencia Española de Protección de Datos. Tiene por objeto velar por el cumplimiento de la
legislación sobre protección de datos.
CCN-CERT. Es la Capacidad de Respuesta a Incidentes de Seguridad de la Información Centro
Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI).
BSA. La Business Software Aliance es una asociación comercial sin ánimo de lucro creada para
Sotom Formación
13 / 28
defender los objetivos del sector del software y de sus socios de hardware.
INTECO. El Instituto Nacional de Tecnologías de la Comunicación, S.A. se crea principalmente
para desarrollar proyectos innovadores en el ámbito de la tecnología de la comunicación.
Los contactos con organismos reguladores son también de utilidad para procurar una anticipación y
preparación para posibles cambios en la legislación y efectividad de los servicios públicos, de
emergencia, de salud y seguridad, etc.
ón
Podemos señalar otros supuestos, como aquellos en los que las organizaciones son atacadas desde
Internet, por lo que parece lógico pensar que podrían necesitar que terceras personas externas a la
i
organización, como son operadores de telecomunicaciones o proveedores de servicios de Internet,
ac
tomen alguna acción de respuesta frente a estos ataques.
Para procurar una efectiva organización interna de la seguridad de la información es necesario el

rm
contacto con grupos de interés especial, foros de seguridad especializados y asociaciones
profesionales.
Fo
Tener contacto o formar parte de grupos con interés especial es productivo para la empresa, ya que:
Permite la actualización de la información de seguridad que sea relevante y favorece el

m
conocimiento sobre prácticas más efectivas.
Asegura que los procesos de seguridad de la información estarán completos y actualizados.

to
Agiliza la recepción de avisos relativos a alertas, ataques y vulnerabilidades.
Proporciona vínculos adecuados para la resolución o asesoramiento con incidentes

So
relacionados con la seguridad de la información.
3.7. Revisión independiente de la seguridad de la información
Al menos una vez al año, o cada vez que ocurra algún cambio, es necesario realizar una revisión de
la seguridad de la información. Así, las políticas de seguridad de la información, normas, controles,
estándares, formatos y procedimientos, deben ser revisados periódica y planificadamente por un
ente independiente o consultor externo o por un área independiente de sistemas.
Sotom Formación
14 / 28
La revisión independiente es un proceso necesario para asegurar la continuidad, idoneidad,
eficiencia y efectividad del enfoque de la organización para manejar la seguridad de la información.
Es necesario que los resultados obtenidos con la revisión se pongan en conocimiento de la dirección
de la organización, se registren y se mantengan los registros de los mismos.
Cuando los resultados obtenidos con la revisión indiquen que el enfoque y la implementación de la
organización para tratar la seguridad de la información no son adecuados o no cumplen las
ón
previsiones de la política de calidad, la dirección de la organización deberá plantear las oportunas
acciones correctivas.
i
ac
rm
Fo
m
to
So
Sotom Formación
15 / 28
4. Grupos o personas externas: el control de acceso a terceros
Al plantear la organización de la seguridad de la información hay que tener en cuenta la relación
que puede existir o existe con terceras partes que pueden acceder a la información en algún
momento.
El objetivo de este control es el de mantener la seguridad de la información y los medios de
procesamiento de información que son tratados, procesados o comunicados por sujetos o grupos
ón
externos a la organización. El hecho de que un tercero externo a la organización pueda manejar la
información de esta, no quiere decir que tenga que disminuir la seguridad de la información.
i
Existen distintos tipos de terceros, con carácter general podemos diferenciar:
ac
Personal de mantenimiento y soporte hardware y software.
rm
Personal de limpieza, catering, guardia de seguridad, otros servicios de soporte terciarizados.
Pasantías de estudiantes, prácticas y otras designaciones contingentes de corto plazo.
Consultores, auditores, etc.

Fo
Con carácter previo al tratamiento o manejo de los datos por los terceros ajenos a la información, es
necesario realizar una evaluación del riesgo, a fin de determinar las implicaciones en la seguridad
m
de la información y en los mecanismos de control.

to
Es un presupuesto necesario el deber de controlar el acceso de terceros a los dispositivos de
tratamiento de información de la empresa, teniendo en cuenta las siguientes medidas (San Martín
So
García, 2004: 25):
Identificar los riesgos del acceso de terceros analizando los tipos de acceso susceptibles de
producirse, los motivos existentes y el personal subcontratado.
Tratamiento de la seguridad en relación a los clientes.
Establecer los requisitos de seguridad con terceros mediante contratos formales, de acuerdo
con las políticas de seguridad de la empresa.
A continuación analizaremos con un poco más de detalle estas medidas.
Sotom Formación
16 / 28
4.1. Identificación de los riesgos de seguridad relacionados con

personas externas
En este punto sería oportuno llevar a cabo una evaluación del riesgo a fin de identificar los posibles
riesgos para la información y los medios de procesamiento de la información de la organización a
raíz de procesos comerciales que involucran a grupos externos, debiendo implementar la adopción
de controles adecuados con carácter previo a la concesión del acceso.
ón
A este respecto es también aconsejable no conceder el acceso hasta que no se haya firmado un
contrato en el que se definan los términos y condiciones necesarias para el acceso y el contrato en el
que se pacte la relación laboral. Además es importante asegurar que el grupo externo está al tanto
i
ac
de sus obligaciones y que acepta las responsabilidades que se derivan del acceso a la información.
rm
4.2. Tratamiento de la seguridad de la información en las
relaciones con los clientes
Fo
m
to
En las relaciones con los clientes, antes de proporcionar acceso a la información, será oportuno
considerar los siguientes términos relativos a la seguridad de la información:

So
Protección de activos.
Descripción del producto o servicio.
Razones, requerimientos y beneficios del acceso de los clientes a la información.
Determinar la política de control de acceso.
Acuerdos de comunicación e investigación de las inexactitudes de la información y de los
incidentes de seguridad.
Descripción detallada de los servicios que deberían estar disponibles.
Niveles de aceptabilidad del servicio.
Obligaciones de la organización y del cliente.
Sotom Formación
17 / 28
Responsabilidades legales y medidas para el aseguramiento de su cumplimiento.
Derechos de propiedad intelectual, industrial, de autor y protección de cualquier trabajo
cooperativo.
4.3. Tratamiento de la seguridad de la información en acuerdos

con terceros
ón
Los acuerdos o contratos con terceros en los que se encuentran afectados el acceso, procesamiento,
comunicación o manejo de información y los medios para realizarlo, deben recogerse en los mismos.
i
ac
Estos acuerdos o contratos deberían asegurar que no existen malos entendidos entre la organización
o empresa y la otra parte interviniente.

rm
Los acuerdos no son tasados e inmutables, sino que pueden cambiar en función de las diferentes
organizaciones y tipos de terceras personas. Es este motivo por el que se deben incluir todos los
riesgos identificados y requerimientos de seguridad en los acuerdos.

Fo
Si la gestión de la seguridad de la información se realiza de forma externa, los acuerdos deberían
recoger la forma en que estos sujetos externos garantizarán el mantenimiento de la seguridad

m
adecuada.
to
So
Sotom Formación
18 / 28
5. Clasificación y control de activos de seguridad de la

información
Las organizaciones poseen información que deben proteger frente a riesgos y amenazas para
asegurar el correcto funcionamiento de su negocio.
Esta información imprescindible para las empresas es lo que se ha denominado activo de seguridad
de la información. La protección de estos activos constituye el objetivo fundamental de todo Sistema
ón
de Gestión de la Seguridad de la Información (INTECO, 2010).
Con el fin de asegurar y mantener una adecuada protección sobre los activos de la organización, es
i
ac
necesario llevar a cabo las siguientes medidas (San Martín García, 2004):
Asignación de responsabilidades.
rm
Clasificación de la información.
Todos los activos deberán ser inventariados y contar con un propietario nombrado.
Fo
Los propietarios deberán identificar todos los activos y asignar la responsabilidad por el
mantenimiento de los controles apropiados. La implementación de controles específicos puede ser

m
delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo responsable de
la protección apropiada de los activos.

to
So
Sotom Formación
19 / 28
6. Responsabilidad por los activos de seguridad de la

información
El objetivo que persigue la asignación de responsabilidad sobre los activos es el de alcanzar y
mantener una adecuada protección de los objetivos de la organización.
Se debe adjudicar un propietario y un responsable para todos los activos importantes en la empresa,
elaborando previamente un inventario de activos. Este inventario deberá incluir los distintos tipos de
ón
activos diferenciados en función de su naturaleza (INTECO, 2010):
Activos de servicios: son los procesos de negocio de la organización, pueden ser de carácter
i
ac
externo, o bien de carácter interno, como por ejemplo la gestión de nóminas.
Activos de datos o información: son aquellos que se tratan dentro de la organización.

rm
Frecuentemente constituyen el núcleo del sistema, mientras que el resto de activos suelen
darle soporte de almacenamiento, manipulación, etc.
Aplicaciones de software y equipos informáticos: herramientas de desarrollo, aplicaciones de

Fo
gestión, programas de cálculo, o directamente ordenadores.
Activos de personal: este es uno de los principales activos. Se incluye en este grupo el personal
interno, subcontratado, los clientes, etc.

m
Redes de comunicaciones: dan soporte a la organización para la transmisión de la información.
Las redes pueden ser propias o subcontratadas a terceros.

to
Soportes de información: los soportes físicos permiten el almacenamiento de la información
durante un largo periodo de tiempo.

So
Equipamiento auxiliar: es el que da soporte a los sistemas de información, con activos que no
se han incluido en ninguno de los grupos anteriores. Como ejemplos podemos citar los equipos
de copistería, impresión, destrucción de documentación, alumbrado, climatización o
calefacción, entre otros.
Instalaciones: es el lugar donde se alojan los sistemas de información, como edificios, locales,
oficinas, vehículos, etc.
Activos intangibles: es necesario tener en cuenta activos como estos, ya que influyen tanto
como los anteriores. Son por ejemplo la imagen o la reputación de una empresa.
Sotom Formación
20 / 28
6.1. Inventario de los activos de seguridad de la información
Cada activo debe identificarse de forma clara. Debe acordarse y documentarse el propietario y
clasificación de los activos, así como la ubicación de los mismos.
El inventario de los activos debe incluir toda la información necesaria para poder recuperarse frente
a algún ataque, como puede ser el tipo de activo, el formato, ubicación, información de respaldo,
información de licencias y valor comercial.
ón
6.2. Propiedad de los activos de seguridad de la información
i
ac
Toda la información y los activos asociados con los medios de procesamiento de información deben
ser propiedad de una parte designada por la organización.

rm
Llegados a este punto es necesario precisar que con el término propietario se identifica a una
persona o entidad que cuenta con la autorización de la dirección para ser responsable de controlar
la producción, desarrollo, mantenimiento, uso y seguridad de los activos. Utilizar la palabra

Fo
propietario no puede hacernos pensar que esta persona tenga en realidad algún derecho de
propiedad sobre el activo.

m
Es necesario designar a un propietario para cada recurso de información, debiendo:

to
Identificarse claramente los distintos recursos y procesos de seguridad relacionados con cada
uno de los sistemas.

So
Designar al responsable de cada recurso o proceso de seguridad, debiendo además
documentarse los detalles de esta responsabilidad.
Definir y documentar de forma clara los niveles de autorización.
El propietario del activo, es el responsable de que:
La información y los activos asociados con los medios de procesamiento de la información son
clasificados de forma apropiada.
De forma periódica las restricciones y clasificaciones de acceso sean revisadas y definidas,
Sotom Formación
21 / 28
teniendo en cuenta las políticas de control de acceso aplicables.
6.3. Uso aceptable de los activos de seguridad de la

información
Se deben identificar, documentar e implementar reglas para el uso aceptable de la información y los
activos asociados con los medios del procesamiento de la información.
ón
Todos los empleados, contratistas y terceros deberán seguir las reglas para el uso aceptable de la
información y los activos asociados con los medios de procesamiento de la información, incluyendo:
i
ac
Reglas para la utilización del correo electrónico e Internet.
Lineamientos para el uso de dispositivos móviles, especialmente para el uso fuera del local de
rm
la organización.
Fo
Además, los sujetos antes mencionados y que usan o tiene acceso a los servicios activos de la
organización deberán conocer los límites que tienen que respetar en el uso de la información y los
activos asociados con los medios y recursos del procesamiento de la información de la organización.
m
to
So
Sotom Formación
22 / 28
7. Clasificación de la información
La información debe clasificarse para establecer la necesidad, prioridades y grado de protección que
va a requerir; en función de su grado de criticidad y sensibilidad, mediante las siguientes medidas
(San Martín García, 2004):
Elaborar guías de clasificación para catalogar los activos por su valor e importancia para la
organización.
ón
Marcar y tratar los activos físicos y electrónicos de información en función de su naturaleza:
copia, almacenamiento, destrucción, transmisión por correo ordinario, electrónico o fax,
i
transmisión por telefonía fija, móvil o equipos de respuesta automática, etc.
ac
rm
Fo
Como hemos visto, los activos de información se deben clasificar de acuerdo a la sensibilidad y
criticidad de la información que contienen; o bien, de acuerdo con la funcionalidad que tienen
m
asignada y recogida en función a ello, con el objeto de señalar cómo ha de ser tratada y protegida
dicha información.
to
Normalmente, la información, pasado un tiempo, pierde esta criticidad, por ejemplo en el caso de
que la información se haga pública, por ello es necesario tener en cuenta estos aspectos, puesto que
So
la clasificación en exceso en ocasiones puede traducirse en gastos innecesarios para las
organizaciones o empresas.
Los criterios de clasificación han de prever y contemplar el hecho de que la clasificación de un ítem
de información determinado no necesariamente debe mantenerse invariable y que puede cambiar.
La información puede adoptar formas muy diversas, pudiendo ser almacenada, transmitida, impresa
o escrita en papel. Pero cada una de estas formas debe disponer de todas las medidas necesarias
para permitir la confidencialidad, integridad y disponibilidad de la información.
Sotom Formación
23 / 28
7.1. Lineamientos de clasificación de la información
La información debería clasificarse atendiendo a su valor, requisitos legales o reglamentarios,
sensibilidad y grado crítico para la organización.
Los lineamientos de clasificación, esto es, la descripción de qué y cómo hacer algo, deben incluir
protocolos para la clasificación inicial y la reclasificación a lo largo del tiempo, en concordancia con
alguna política predeterminada de control de acceso.
ón
Pautas de clasificación:
i
Considerar las necesidades de la empresa con respecto a la distribución (uso compartido) o
ac
restricción de la información e incidencia de dichas necesidades en las actividades de la
organización.
rm
La información deja de ser sensible o crítica después de cierto periodo de tiempo.
La clasificación por exceso puede traducirse en gastos innecesarios para la organización.

Fo
7.2. Etiquetado y manejo de información

m
La información y las salidas de los sistemas que administran datos clasificados deben ser rotuladas o
marcadas según su valor y grado de sensibilidad para la organización. Se debería desarrollar e

to
implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la
información, de acuerdo con el esquema de clasificación adoptado por la organización.

So
Para el etiquetado y manejo de la información debe tenerse en cuenta:
El número de categorías de clasificación.
La responsabilidad por la definición de la clasificación debe ser asignada al propietario o
responsable asignado de la información.
Se definirán procedimientos para el rotulado y manejo de la información, de acuerdo al esquema de
clasificación previamente definido. Los procedimientos para el etiquetado o rotulado de la
información necesitan abarcar los activos de información tanto en formatos físicos como
Sotom Formación
24 / 28
electrónicos. Incorporando las siguientes actividades de procesamiento de información:
Copia.
Almacenamiento.
Transmisión por correo, fax, correo electrónico.
Transmisión oral, vía telefonía móvil o fija, correo de voz, contestadores automáticos,
videoconferencias, etc.
i ón
ac
rm
Fo
m
to
So
Sotom Formación
25 / 28
Recuerda
La política de seguridad de la información en la empresa tiene como principal objetivo dirigir y
dar soporte a la gestión de la seguridad de la información, pero siendo coherente con los
requerimientos comerciales, las necesidades de la organización y la normativa vigente.
Las políticas de seguridad de la información:
Pretenden indicar las líneas generales para conseguir los objetivos marcados sin entrar en
ón
detalles técnicos.
Deben ser conocidas por todo el personal de la organización.
El documento de política de seguridad de la información debe explicar qué se debe hacer y
i
ac
cómo para lograr los objetivos establecidos en la políticas. Además, debe poner de manifiesto el
compromiso de la dirección de la organización con la seguridad y establecer el enfoque de la
organización para manejar la seguridad de la información.

rm
Para que la política de seguridad de la información lleve a cabo de forma efectiva su función, es
necesario que la información de la misma se comunique a los usuarios de forma fácil y

Fo
entendible.
La organización de la seguridad de la información consiste en el diseño de una estructura de
administración dentro de la organización que establezca la responsabilidad de los grupos en

m
ciertas áreas de la seguridad y un proceso de respuesta en caso de que se produzcan
incidentes.
to
El objetivo que persigue la organización interna es el de gestionar la seguridad de la
información desde dentro de la organización.

So
Con carácter previo al tratamiento o manejo de los datos por los terceros ajenos a la
información, es necesario realizar una evaluación del riesgo, a fin de determinar las
implicaciones en la seguridad de la información y en los mecanismos de control.
El objetivo que persigue la asignación de responsabilidad sobre los activos es el de alcanzar y
mantener una adecuada protección de los objetivos de la organización.
Los activos de información se deben clasificar de acuerdo a la sensibilidad y criticidad de la
información que contienen o bien de acuerdo con la funcionalidad que tienen asignada y
recogida en función a ello, con el objeto de señalar cómo ha de ser tratada y protegida dicha
información.
Sotom Formación
26 / 28
Autoevaluación
1. Indica si la siguiente enunciación es verdadera o falsa: “Las políticas sientan las

bases de la seguridad constituyendo la redacción de los objetivos generales y las
implantaciones que ha llevado a cabo la organización”.
Verdadera.
ón
Falsa.
i
ac
2. Completa el espacio en blanco de la siguiente enunciación: “El
___________________________ explica qué es lo que está permitido y lo que no,
determinando los límites del comportamiento aceptable y la respuesta en caso
rm
de que exista extralimitación; e identifica los riesgos a los que está sometida la
organización”.
Fo
Documento de política de seguridad de la información.
Marco legal y jurídico de la seguridad de la información.

m
to
3. Existen tres supuestos principales en los que es imprescindible la revisión y

actualización de la política de seguridad, señale cuál de los siguientes no es uno
So
de ellos:
Después de producirse graves incidentes de seguridad.
Frente a la incorporación de nuevos clientes a nuestras bases de datos.
Después de una auditoría de sistemas infructuosa o sin éxito.
Sotom Formación
27 / 28
Frente a cambios que afectan a la estructura de la organización.
4. El responsable de seguridad es:
La persona que se va a encargar de coordinar todas las actuaciones en materia de

seguridad dentro de la empresa.
ón
La persona independiente a la empresa que se va a encargar de determinar si las
políticas de seguridad son las adecuadas para el funcionamiento de la organización.
i
ac
El encargado de comunicar a los clientes la política de seguridad de la organización.
rm
Es la persona encargada de elaborar y aprobar el documento de seguridad de la
información.
Fo
5. El objetivo que persigue la asignación de responsabilidad sobre los activos es

el de:
m
Agilizar la determinación del responsable en caso de que se produzca un hecho con

to
consecuencias dañosas para la organización.

So
Facilitar la imposición de sanciones como consecuencia de no prestar la diligencia

debida en la protección de la información.
Alcanzar y mantener una adecuada protección de los objetivos de la organización.
Equipara la regulación española en esta materia a la proveniente de la Unión

Europea.
Sotom Formación
28 / 28

T1 - UD4 - Política de Seguridad, Organización de La Seguridad de La Información y Gestión de Activos

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

T1 - UD4 - Política de Seguridad, Organización de La Seguridad de La Información y Gestión de Activos

Uploaded by

Copyright:

Available Formats

[AFO006621] Máster en Implantación, Gestión y Auditoría de Sistemas de Seguridad de Información ISO 27001-I(...

1. Política de seguridad de la información

La dirección de la organización debería establecer de forma clara la política de seguridad de la

de la información a través de la emisión y mantenimiento de una política de seguridad de la

información en toda la organización. Además, la política de seguridad debe tener dentro de la

empresa un responsable de su mantenimiento y revisión, de acuerdo con un plan establecido

1.1. Etapas en el desarrollo de una política de seguridad de la

transmita entre el personal de la empresa, concienciar sobre la importancia de la política de

seguridad, lograr que se acate, realizar un seguimiento de la misma, garantizar su continua

actualización, suprimirla cuando se considere que ya no va a ser efectiva.

política de seguridad de la información:

Etapa 1. Fase de desarrollo.

Etapa 2. Fase de implementación.

Etapa 3. Fase de mantenimiento.

Etapa 4. Fase de eliminación.

ser corta, precisa y de fácil comprensión.

Aprobarse por la dirección de la organización, quien es la encargada, además de dar publicidad

otras cuestiones relacionadas con la seguridad de la información.

información, así como su reputación y continuidad.

que serán necesarias.

1.3. Documento de política de la seguridad de la información

además su apoyo y compromiso con la Seguridad mediante la elaboración de un documento de

política de Seguridad de la información (San Martín García, 2004: 25).

La dirección de la empresa u organización es la encargada de la aprobación del documento de

política de seguridad de la información. Una vez aprobado debe publicarse y ponerse en

organización y cuya importancia sea relevante.

la políticas. Además, debe poner de manifiesto el compromiso de la dirección de la organización con

El documento de política de seguridad de la información, con carácter general, debería tener el

siguiente contenido mínimo: la definición de Seguridad de la información, sus objetivos globales, su

responsabilidades necesarias para su cumplimiento (San Martín García, 2004: 25).

seguridad debe contener, como mínimo, enunciados relacionados con:

Una definición de seguridad de la información, los objetivos de la misma, el alcance previsto y

la importancia de la seguridad de la información como mecanismo agilizador del intercambio

Un apartado en el que se determine la intención de la dirección de la organización, detallando

Un marco de referencia en el que se establezcan los objetivos de control y los controles,

incluyendo la estructura de la evaluación del riesgo y la gestión del riesgo.

Educación, capacitación y conocimiento de seguridad.

Consecuencias de vulnerar la política de seguridad de la información.

Una definición de las responsabilidades generales y específicas para la gestión de la seguridad

de la información en la que se incluya el reporte de incidentes de seguridad de la información.

Referencias a la documentación que fundamenta la política.

deberán establecerse intervalos de revisión y también efectuar revisiones cuando se produzcan

Un aspecto importante es la designación por parte de la organización de un responsable de política

de seguridad que se asegure de: desarrollar, revisar y evaluar la política de seguridad.

La revisión de la política de seguridad de la información deberían tomar en consideración los

procedimientos de revisión gerencial, incluyendo un cronograma o el periodo de la revisión.

2. Organización de la seguridad de la información

La organización de la seguridad de la información consiste en el diseño de una estructura de

administración dentro de la organización que establezca la responsabilidad de los grupos en ciertas

áreas de la seguridad y un proceso de respuesta en caso de que se produzcan incidentes.

La dirección de la organización o empresa debe apoyar de forma clara la seguridad de la

información dentro de la organización, demostrando su compromiso y vinculación clara. Este

La creación de un comité de seguridad interdisciplinario.

Aprobación del documento de políticas de seguridad de la información.

Velar por el cumplimiento de las políticas de seguridad de la información.

3. Organización interna de la seguridad de la información

Es necesario establecer en la empresa una estructura de gestión para implantar la seguridad de la

Crear un comité de seguridad interdisciplinario e interfuncional.

Asegurar la coordinación entre todas las áreas de la organización.

Definir y asignar las oportunas responsabilidades.

Contar con ayuda y asesoramiento especializado en seguridad.

objeto de iniciar y controlar la implantación de la seguridad de la información dentro de la

organización. En este sentido, la dirección de la empresa u organización debería aprobar la política