Gestión de la seguridad

El marco normativo de la gestión de seguridad de un sistema de informacion viene determinado por las ISO 17799:2005 e ISO 27001:2005.
La primera de ellas proporciona recomendaciones en materia de gestión de seguridad, definiendo la seguridad como “la preservación de la confidencialidad, integridad y disponibilidad”.
Por su parte la ISO27001 especifica los requisitos para establecer e implementar el sistema de gestion de seguridad de acuerdo a las buenas practicas recogidas en la ISO-17799.

La norma ISO 17799:2005 identifica varias areas a tener en cuenta dentro de un Plan de Seguridad:

  • el analisis y gestion de riesgos
  • politica de seguridad de la organizacion
  • la gestion de activos
  • la gestion de recursos humanos
  • la seguridad fisica
  • la gestion de las comunicaciones
  • control de accesos
  • plan de continuidad del negocio

Lo principal es que el Plan de Seguridad de los sistemas de información esté en linea con la politica de seguridad de la organización. De esta menea recibira el pratrocinio de la alta gerencia.

Sin embargo , todo plan de seguridad comienza con un analisis y gestion de riesgos. Existen varias metodologias al respecto que nos permitiran la identificacion de los activos mas importantes, de las amenazas que les acechan y de cual sería el impacto en caso de materializarse. Una buena gestion de riesgos nos permitira seleccionar adecuadamente las salvaguardas y realizar una inversion en seguridad acorde a las necesidades.

La gestión de la continuidad debe ser un elemento con prioridad absoluta dentro del Plan de Seguridad de Sistemas de Información. Debe ser igualmente proporcional, y debe basarse en los resultados de las mediciones de riesgo efectuadas en el análisis de los mismos.

Un capitulo no menos importante por su imperativo legal es la proteccion de datos de caracter personal. Actualmente regulada su protección por la LOPD requiere su estricto cumplimiento, arriesgandose en caso contrario a una sanción.

Más información sobre esta materia en:

http://www.hispasec.com 
http://www.agpd.es
http://www.iso.org
Ley Organica de proteccion de datos (Ley 15/1999. de 13 de Diciembre)
Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de caracter personal.

Una respuesta a Gestión de la seguridad

  1. paranoias dice:

    Lo bonito de las ISO es que cuando las leen 50 personas, obtienen 50 conclusiones distintas, pero que demonios, hace que un montón de abogados y económistas que trabajan de consultores/auditores puedan opinar sobre un sistema de T.I. sabiendo poco más que abrir el PowerPoint… así van las T.I. en España.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: