lunes, 31 de marzo de 2014

Gobierno de la Seguridad de la Información

El marco de Gobierno de la Seguridad de la Información es el sistema mediante el cual se dirigen y controlan las actividades de seguridad de la información de la organización.

La Gobernanza de la seguridad busca alinear los objetivos y estrategias para la seguridad de la información con los objetivos y estrategias del negocio
… teniendo en cuenta la legislación vigente, regulaciones y contratos
… mediante la guía e implementación de una aproximación basada en riesgos
… soportada por un sistema de control interno.

Los principios que establece la norma ISO 27014 establecen una buena base para la implementación de los procesos de gobierno de la seguridad de la información:

1. Establecer responsabilidad con respecto a la seguridad de la información en toda la organización. En este sentido:
  • ¿La seguridad de la información se gestiona a un nivel de la organización que permita la toma de decisiones?
  • ¿Las actividades asociadas a la seguridad lógica y física se realizan de forma coordinada?.
  • ¿La responsabilidad y rendición de cuentas con respecto a la seguridad se establece a través del ciclo completo de las actividades de la organización incluidos terceros?.

2. Adoptar una aproximación basada en el riesgo. En este sentido:
  • ¿Las decisiones se toman en función del riesgo?.
  • El nivel aceptable de seguridad ¿se basa en el apetito al riesgo de la organización?, ¿se incluye en él la posible pérdida de ventaja competitiva, riesgos de cumplimiento y responsabilidad, interrupciones operativas, pérdida financiera y daño a la reputación?.
  • ¿Se asignan los recursos apropiados para implementar la gestión de riesgos en la organización?.

3. Establecer la dirección de las decisiones de inversión en seguridad de la información. En este sentido:
  • ¿La estrategia de inversiones en seguridad de la información se establece en función de los resultados de negocio alcanzados?.
  • ¿Las inversiones en seguridad se integran con los procesos generales existentes para las inversiones y gastos de la organización?.

4. Asegurar conformidad con los requerimientos internos y externos. En este sentido:
  • ¿Se garantiza que las políticas y prácticas son conformes con la regulación y legislación existente, con los compromisos y contratos de la organización y con otros requerimientos internos o externos?.
  • ¿Se realizan auditorías de seguridad independientes?.

5. Fomentar un entorno positivo respecto de la seguridad. En este sentido:
  • A la hora de implementar la gobernanza de la seguridad, ¿se tiene en cuenta el comportamiento humano, incluyendo la evolución de las necesidades de las partes interesadas?
  • ¿Se exige, promueve y apoya la coordinación de las actividades de las partes interesadas para alcanzar una dirección coherente de la seguridad (educación, formación y programas de concienciación)?.

6. Revisar el rendimiento en relación a los resultados de negocio. En este sentido:
  • ¿La aproximación tomada para proteger la información es adecuada al propósito de apoyar la organización proporcionando niveles acordados de seguridad de la información?.
  • ¿Se mantiene la seguridad en los niveles requeridos para alcanzar los requerimientos actuales y futuros del negocio?.
  • ¿Se evalúa la seguridad en relación a su impacto en el negocio y no sólo en base a la eficacia y eficiencia de los controles?.

El modelo para la implementación del gobierno de la seguridad de la información, según la norma ISO 27014 es el siguiente:




3 comentarios:

Javier Cao Avellaneda dijo...

Nunca está de mas referenciar la fuente. Entre el texto publicado y el colgado por el Gobierno Peruano en http://www.ongei.gob.pe/docs/ISO_27001_2013.pdf no hay muchas diferencias, incluido el gráfico.

David Ortega dijo...

Javier, desconocía esta publicación. Mi fuente fue únicamente la ISO 27014.

David Ortega dijo...

Javier, desconocía esta publicación. Mi fuente fue únicamente la ISO 27014.