Por una mejor gestión de la seguridad de la información

Alexandra Rodríguez Directora de Normalización INTECO

La norma INTE/ISO 27002 es una norma internacional que establece guías y principios generales para iniciar, implantar, mantener y mejorar la gestión de la seguridad de la información en una organización. Los objetivos señalados en esta norma internacional proporcionan orientaciones generales sobre las metas comúnmente aceptadas para la gestión de la seguridad de la información.

La norma INTE/ISO 27002 se encuentra estructurada en 14 capítulos que describen las áreas que se deben considerar para garantizar la seguridad de la información de las que se dispone. Esta norma recomienda un total de 114 controles, si bien no hace falta cumplirlos todos, sí  hay que tenerlos en cuenta y considerar su posible aplicación.

Los objetivos de control y los controles de esta norma internacional están pensados para ser implementados a fin de alcanzar los requisitos identificados por una evaluación del riesgo.  

Evaluación de los riesgos de seguridad

Los requisitos de seguridad se identifican mediante una evaluación metódica de los riesgos, donde el gasto en controles debería ser equilibrado con respecto al impacto potencial de las fallas de seguridad en los negocios.

Los resultados de esta evaluación ayudarán a orientar y a determinar una adecuada acción gerencial y las prioridades para gestionar los riesgos de seguridad de la información y la implementación de los controles seleccionados para proteger contra dichos riesgos.

La evaluación del riesgo debería repetirse periódicamente para tratar cualquier cambio que pudiera influenciar los resultados de la evaluación del riesgo.

Selección de controles

Una vez identificados  los requisitos y los riesgos de seguridad, deberían elegirse e implantarse los controles apropiados que aseguren la reducción de los riesgos a un nivel aceptable.

Los controles pueden elegirse de la norma INTE/ISO 17002 o de otro conjunto de controles, o pueden diseñarse unos  nuevos  para cubrir adecuadamente necesidades específicas. La selección depende de una decisión organizacional basada en los criterios para la aceptación, las opciones para el tratamiento y el acercamiento a la gestión general del riesgo aplicado a la organización, y debería también estar conforme a toda la legislación y regulaciones nacionales e internacionales.

Punto de partida de la seguridad de la información

Un cierto número de controles pueden ser un buen punto de partida para implementar la seguridad de la información. Estos están basados en requisitos legislativos esenciales o que se consideran práctica habitual de la seguridad de la información.

Los controles que se consideran esenciales para una organización desde un punto de vista legislativo comprenden: protección de los datos y la privacidad de la información de carácter personal, protección de los registros de la organización y los derechos de la propiedad intelectual.

Los que se consideran práctica habitual son: la documentación de la política de seguridad de la información, la asignación de responsabilidades de seguridad, la toma de conciencia, formación y capacitación en seguridad de la información, el correcto procesamiento de las aplicaciones, la gestión de la vulnerabilidad técnica, la gestión de la continuidad del negocio y la gestión de incidentes de seguridad de la información y mejoramiento.

Estos controles pueden aplicarse a la mayoría de las organizaciones y en la mayoría de los ambientes.

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR