Ir al contenido principal

MEDIDAS DE CONTROL DE LA ISO 27002


6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
6.1 Organización Interna 

Primero se tiene que establecer una estructura de gestión para controlar toda la implementación de la Seguridad de la Información dentro de la empresa. Tras ello, es necesario organizar las tareas que deben llevar a cabo todos los miembros, para que así se desarrolle la pertinente seguridad en todos y cada uno de los niveles.
Además, si fuese necesario y en caso de desconocimiento de alguno de los miembros de la organización, se puede llevar a cabo la contratación de un equipo experto en la materia de Seguridad de la Información, ya que tales expertos están al tanto de todos los cambios que puedan producirse en la industria de la Seguridad de la Información, así como de la evolución que puedan tener las normas relativas a dicho ámbito.
6.1.1 Asignación de Responsabilidades para la Seguridad de la Información
Es importante establecer de manera clara todas las responsabilidades de  los miembros de la organización. Como es lógico, la asignación de responsabilidades debe concordar con la política de seguridad que se ha implantado.
Si la asignación de responsabilidades no es clara, ello puede provocar la  quiebra de la empresa, pues, como ya sabemos, dentro de la misma existen una serie de activos físicos e informáticos con un gran valor económico y productivo, cuyas perdidas supondría unos costes muy elevados de reparación y reposición.
Así, en la casa de Lupe, la asignación de responsabilidades se distribuye de la siguiente manera:
  • Los padres: deberán controlar que los activos pertenecientes al domicilio (lavadora, televisión, ordenadores, impresora, etc.) funcionen correctamente, dado que dichos activos son imprescindibles para cubrir las necesidades de los miembros de la familia. Si dichos activos no funcionaran correctamente los padres deberán llevar a cabo las pertinentes acciones dirigidas a la consecución de soluciones, como reparaciones, nuevas adquisiciones, etc. Dichas soluciones se deben tomar en el marco del presupuesto de la familia, no pudiendo excederse de ello.
  • Las hijas: deben tener bajo control los activos ubicados en sus habitaciones correspondientes, como son los activos tecnológicos, muebles, etc.
  • Todos los miembros de la familia, deberán asegurar la protección de la información, evitando cualquier divulgación de informaciones de tipo familiar o personales, a todas aquellas personas que no forman parte del ámbito familiar.

6.1.2 Segregación de Tareas 

Se deben segregar las tareas para evitar la modificación no autorizada o el mal uso de los activos de la organización.
Existen una serie de posibles soluciones a este mal uso, por ejemplo, destaca la página ‘Observe it’, que captura la actividad en cualquier sesión de usuario, incluidas terminales o escritorios remotos. Además, existe una versión totalmente gratuita sin fecha de expiración que puede monitorizar un máximo de 5 servidores. Así, se garantiza que, en todo momento, los miembros de la organización sepan el uso que se está haciendo de los datos informáticos.
6.1.3 Contacto con las Autoridades 


Es necesario que la empresa mantenga los contactos necesarios con las autoridades pertinentes, como pueden ser la Agencia Española de Protección de Datos, la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía o el GDT (Guardia Civil, especializada en Delitos Informáticos), etc.
Todas estas autoridades, en caso de que sospechemos que existan delitos de carácter informático dentro de nuestra empresa, o bien que exista riesgo en nuestros activos tecnológicos o datos personales, procederán a intentar resolver dichos problemas, siempre con la mayor profesionalidad y discreción posibles.
6.1.4 Contacto con Grupos de Interés Especial 
Además de las autoridades anteriormente señaladas, existen otros grupos especializados, como por ejemplo, el ‘Anti Phishing Working Group’, una organización internacional sin ánimo de lucro que tiene como objetivo eliminar el fraude, el crimen o el robo de identidad derivado de las actividades de phishing, malware o suplantación de correo electrónico de cualquier tipo.
Casi todas las empresas que manejan activos informáticos tienen ese riesgo, por lo que es más que conveniente contactar con este tipo de grupos para solucionar el problema y asegurar la seguridad de la información de nuestra empresa.
6.1.5 Seguridad de la Información en la Gestión de Proyectos 
Por último, además de todas las medidas anteriores, se debe contemplar la seguridad de la información en la gestión de proyectos e independientemente del tipo de proyecto a desarrollar por la organización.
En cualquier caso, y aunque la empresa lleve a cabo algún proyecto que se ‘aleje’ de su ámbito de su actuación, se debe garantizar que la información sea lo suficientemente segura.
6.2 Dispositivos para Movilidad y Teletrabajo
La protección exigible debería estar en relación a los riesgos específicos que ocasionan estas formas específicas de trabajo. En el uso de la informática móvil deberían considerarse los riesgos de trabajar en entornos desprotegidos y aplicar la protección conveniente. En el caso del teletrabajo, la Organización debería aplicar las medidas de protección al lugar remoto y garantizar que las disposiciones adecuadas estén disponibles para esta modalidad de trabajo.


Debería disponer de políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos.


Por lo general, el valor de la información supera con mucho el del hardware. Asegúrese de que el nivel de protección de los equipos informáticos utilizados dentro de las instalaciones de la organización tiene su correspondencia en el nivel de protección de los equipos portátiles, en aspectos tales como antivirus, parches, actualizaciones, software cortafuegos, etc

6.2.1 Política de Uso de Dispositivos para Movilidad 

Se debería establecer una política formal y adoptar las medidas de seguridad adecuadas para la protección contra los riesgos derivados del uso de los recursos de informática móvil y las telecomunicaciones.

6.2.2 Teletrabajo 

Se debería desarrollar e implantar una política y medidas de seguridad de apoyo para proteger a la información accedida, procesada o almacenada en ubicaciones destinadas al teletrabajo.



Comentarios

Publicar un comentario

Entradas populares de este blog

DIAGRAMA DE BURBUJAS: RIESGO

A continuación se puede ver los riesgos de la Casa de Lupe de forma gráfica: 
Publicar un comentario
Leer más

TEMA 5: NORMAS, POLÍTICAS Y GESTIÓN DE LA SEGURIDAD

La Seguridad de la Información tiene por objetivo proteger el funcionamiento de un determinado negocio. Para conocer y gestionar la seguridad, con el objeto de tomar medidas que minimicen los riesgos, se utilizan los sistemas de gestión de la seguridad (SGSI). Un SGSI es un sistema cuya finalidad es asegurar la supervivencia de un negocio, para ello, se debe tener en cuenta el gasto que se invertiría en seguridad y el daño que provocaría la perdida de los activos. Para desarrollar un SGSI de forma sistematizada existe la serie de normas ISO/IEC 27000.
Publicar un comentario
Leer más

TEMA 4: PRINCIPIOS DE LA CIBERSEGURIDAD

Normalmente se utilizan diversos términos para referirse a la seguridad, como son: la Seguridad de la Información, Seguridad Informática, Seguridad en las TIC y Ciberseguridad. Sin embargo, el término Ciberseguridad incluye un rasgo diferente y especial al resto de términos, como es el ciberespacio. La Ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Las propiedades de la seguridad son: disponibilidad, integridad y confidencialidad, es el denominado Modelo CIA.
Publicar un comentario
Leer más