jueves, marzo 04, 2010

ISO 27001 e ISO 27002: Dominio 6 - Organización de la Seguridad

Continuando con los Dominios del SGSI regidos por la ISO 27002 o Anexo A de la ISO 27001, hoy vamos a revisar el numeral 6 titulado Organización de la Seguridad de la Información. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen objetivos de control:


6.1 Organización Interna:
Se debe establecer una estructura de gestión para iniciar y controlar la implementación de la seguridad de la información dentro de la organización.

La dirección debería aprobar la política de seguridad de la información, asignar las funciones de seguridad, coordinar y revisar la implementación de la seguridad en toda la organización.

Si es necesario, se recomienda establecer una fuente de asesoría especializada sobre seguridad de la información y ponerla a disposición en la organización.
Es conveniente desarrollar contactos con grupos o especialistas externos en seguridad, incluyendo las autoridades pertinentes, para ir al campas de las tendencias industriales, monitorear normas y métodos de evaluación, así como proveer puntos adecuados de vínculo cuando se manejan incidentes de seguridad de la información. Se debería promover un enfoque multidisciplinario para la seguridad de la información.





6.2 Partes Externas:
Mantener la seguridad de la información y de los servicios de procesamiento de información de la organización a los cuales tienen acceso partes externas o que son procesados. comunicados o dirigidos por éstas.


La seguridad de la información y de los servicios de procesamiento de información no se deberían reducir introduciendo productos o servicios de partes externas.


Se debería controlar todo acceso a los servicios de procesamiento de información, así
como el procesamiento y comunicación de información por partes externas.

Cuando existe una necesidad del negocio de trabajar con partes externas que pueden requerir acceso a la información de la organización y a sus servicios de procesamiento de información, o de obtener o suministrar productos y servicios de o para una parte externa, se debería realizar una evaluación de riesgos para determinar las implicaciones para la seguridad y los requisitos de control. Los controles se deberían acordar y definir en un convenio con la parte externa.

Básicamente, el propósito que persigue este dominio es el siguiente:

Implantar los lineamientos para administrar y mantener la seguridad de la información en la organización, al igual que los términos de seguridad que deben ser aplicados al personal (interno y externo), que se vea involucrado directa o indirectamente con su información. Adicionalmente definir la estructura de Gestión de Seguridad y los roles y perfiles relacionados con ésta.
Ahora, entremos en detalles sobre este Dominio:


Organización Interna

Dentro de los roles definidos en el modelo normativo de seguridad de la información se encuentran definidas todas las funciones y labores relacionadas con seguridad de la información. Entre éstos podriamos encontrar:

  • El Comité de seguridad de la información es el responsable de revisar y aprobar la política de seguridad de la información.
  • El Comité de seguridad de la información es el encargado de la definición de las políticas, normas y procedimientos relacionados con la seguridad de la información e igualmente velarán por la implantación y cumplimiento de los mismos.
  • El Coordinador de Sistemas: es el responsable de asegurar el cumplimiento del esquema organizacional requerido para la labor de administración de seguridad de la información y de velar por la implantación de las medidas de administración de seguridad de la información. Igualmente es responsable de desarrollar las tareas necesarias para el mantenimiento de estas medidas.
  • Por medio de la ejecución de planes de comunicación, divulgación, entrenamiento y capacitación, se debe dar a conocer la cultura de seguridad de la información a todos los usuarios del SGSI.

Relación con terceros
  • El contenido del modelo normativo de seguridad de la información debe involucrar al personal externo a la empresa o a un tercero de la organización, que este involucrado por medio de un contrato, alianza o convenio, con el fin de asegurar la integridad, confidencialidad y disponibilidad de la información de la Organización
  • Todos los funcionarios deben cumplir las leyes y regulaciones nacionales e internacionales respecto a derechos de autor y propiedad intelectual, comercio electrónico e intercambio electrónico de datos. Personal externo a la organización o un tercero que esté involucrado debe cumplir de igual forma con estas leyes y regulaciones definidas.
  • La Organización por medio de contratos comerciales o civiles, alianzas o convenios que tenga con el personal externo y que posea acceso a la información del proyecto deberá acatar el modelo normativo de seguridad de la información. Las excepciones que se presenten deben estar totalmente documentadas, justificadas y aprobadas, y el tercero, en ningún caso podrá hacer uso de estas excepciones para violar o infringir la seguridad de la información de la Organización.
  • El acceso a los activos de información está sujeto a validación por parte del personal encargado de la seguridad de la información en la Organización, para que no se otorgue acceso a la información confidencial sin la existencia de una autorización y compromiso explícitos, los cuales deben estar respaldados por un acuerdo escrito de confidencialidad y/o de no-revelación, total ni parcial de información.
Como pueden ver, la implementación de un SGSI busca "blindar" toda posibilidad de incidentes de seguridad ya sea con los trabajadores propios de la Organización, un proveedor o agentes externos a ella que por cualquier razón deban tener acceso a la información que posea. Aquí no hay eslabones sueltos, todo va muy bien encadenado con el propósito de garantizar la seguridad con cualquier persona o entidad que se involucre con una Organización que tenga adecuadamente implementado un SGSI.

1 comentario:

Anónimo dijo...

interesante!!