Sunday, February 19, 2006

Documentación de Seguridad de la Información

Al hablar de documentación de seguridad estamos haciendo alusión a la serie de documentos que reflejan el conjunto de valoraciones, actividades, prácticas, decisiones y compromisos que la organización debe afrontar con el objetivo de mantener eficazmente protegidos sus activos (tangibles o intangibles).

Por tanto, los documentos mantienen entre sí una relación jerárquica establecida en función del alcance o grado de generalidad del documento y deben adaptarse perfectamente a las particularidades y procesos de la organización, así como revisarse y actualizarse de forma periódica.
Los documentos que permiten construir la gestión de la seguridad de la información son:
  1. Política: Es un documento de alto nivel. Es decir, un documento de gran generalidad que expresa las metas y objetivos de la organización y la aplicación de estos objetivos a cada área de la organización en particular. Ejemplo: “Los propietarios de la información
    son responsables de ofrecer un entorno seguro en el cual dicha información pueda ser mantenida y procesada con integridad”
  2. Estándares: Son documentos que describen tareas, acciones, reglas o normativas de obligado cumplimiento que dotan a la política de un soporte estructural. Los estándares concretan mediante conceptos específicos el sentido “abstracto” y generalista de la política.
    Ejemplo: " Los propietarios de la información deben asegurar que sus sistemas están limpios de elementos de software destructivos (como por ejemplo virus), que impedirían su correcta operación".
  3. Guías: Son documentos generales cuyo objetivo es facilitar el cumplimiento de las metas de la política mediante la creación de las condiciones adecuadas en las que se puedan implantar los procedimientos. Ejemplo: “Debe instalarse un paquete de software que prevenga y detecte virus en los sistemas y que sea capaz de recuperar información corrompida. Aquellos usuarios que tengan acceso a los sistemas deberán asistir a una jornada de formación sobre virus con el fin de que comprendan las consecuencias de una infección y su responsabilidad a la hora de proteger la información del sistema”.
  4. Procedimientos: Son documentos que describen de forma específica y concreta cómo se implantarán la política, estándares y guías en el entorno operativo de la organización.
    Ejemplos: “Los usuarios de los sistemas no podrán instalar software de dominio público (frecuente fuente de virus) sin la autorización explícita del responsable del sistema. Los usuarios cerrarán sus estaciones de trabajo al finalizar la jornada para prevenir accesos no autorizados y posibles contaminaciones de virus. Los usuarios son responsables de informar sobre cualquier tipo de acceso no autorizado o infección de virus al comité de Protección de la Información o al Help Desk” a través del procedimiento detallado de gestión de incidencias a disposición de todos los usuarios del sistema.

0 Comments:

Post a Comment

<< Home