|
|
|
|
|
 |
Caracteristicas de la Seguridad en las TICs. |
 |
 | |
|
|
|
|
|
|
|
|
|
|
|
La política de seguridad puede contener principios específicos para algunos servicios en los que la seguridad de la información sea especialmente crítica.
También, puede incluir aspectos convenientes sólo a ciertos equipos, como pueden ser ordenadores personales.
Entrando ya en los contenidos de la política de seguridad, ésta debe comenzar postulando que la información es un activo más del organismo y cuáles son las características a priorizar de este activo: la confidencialidad (impedir la divulgación no autorizada); la integridad (impedir la modificación no autorizada) y la disponibilidad (impedir la retención no autorizada). Se deben tratar, al menos, los siguientes aspectos:
Organizativos:
Se deben definir las responsabilidades de los empleados, y el papel que desempeñan éstos, en la protección de la información y las líneas de dependencia funcionales a este respecto. Igualmente, se debe crear una estructura departamental específica, responsable de coordinar y controlar en todo el organismo la seguridad de la información.
De Personal:
Se deben contemplar aquí, sobre todo, los aspectos de concienciación y formación en seguridad.
Igualmente, se deben tratar los aspectos sancionadores, caso de incurrir en negligencias, las políticas de contratación y el empleo de personal externo cuando sea preciso. Todo ello bajo la perspectiva de la seguridad.
De Procedimiento:
La política de seguridad se debe considerar como una referencia obligada en todo el ciclo de vida de los sistemas de información. Así, la seguridad de las T.I. debe ser tenida en cuenta en el desarrollo de todas las aplicaciones (estableciendo el modo de hacer esto), en la adquisición de equipos físicos y lógicos (incluyendo cláusulas específicas en los contratos), en la instalación y mantenimiento de éstos, etc.
Así mismo, se debe definir la manera de mantener y cambiar, en su caso, estos procedimientos.
Clasificación de la información:
La información debe ser clasificada de acuerdo con su sensibilidad e importancia para la organización, ya que no es posible esperar que los directivos y trabajadores mantengan un absoluto control sobre toda la información que manejan; así pues, es necesario que conozcan: primero, qué informaciones son consideradas más sensibles y, segundo, cómo se deben manejar y proteger estas informaciones.
La implantación de esta clasificación suele encontrar resistencia en el personal, que acusa el incremento de trabajo que supone. Es por tanto imprescindible una operación de "venta" a los empleados de este sistema; así como limitar al máximo las informaciones tipificadas en el más alto nivel.
Así mismo, se considerará la manera de desclasificar, etiquetar, almacenar, acceder, destruir y reproducir las informaciones según dicho nivel de clasificación.
Manejo de incidentes:
Se establecerá un registro de incidentes de la seguridad de la información, que capacite a los departamentos para analizar las tendencias, prever incidentes futuros y concentrar los recursos de seguridad de la manera más eficiente.
Análisis de riesgos:
Se especificará el método para analizar los riesgos de la información, así como para definir riesgos máximos asumibles.
Auditoría:
Se establecerá la extensión y periodicidad de las auditorías de seguridad internas y externas. En los reportes finales de las auditorías deberá siempre establecerse la elaboración de un Plan de Medidas para la solución de los problemas encontrados. Según la extensión y ambición con que se aborde la política de seguridad, se pueden afrontar más o menos temas, aunque los anteriores deberían considerarse los mínimos a contemplar. |
|
|
|
|
|
|
|
|
|
| |
|
|