Sunday, February 19, 2006

Estructura organizativa de la seguridad

Tradicionalmente, las organizaciones han adscrito siempre la figura del Responsable de Seguridad a personal técnico especializado en los aspectos técnicos de la Seguridad. No existe ninguna definición de funciones específicas de la figura del Responsable de Seguridad más allá de su caracterización legal: El Reglamento de Medidas de Seguridad de los ficheros que contengan datos automatizados de carácter personal (Real decreto 994/99, de 11 de junio) define al Responsable de Seguridad como la “persona o personas a las que el Responsable del Fichero (es decir, la organización) ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables”.

De esta definición legal sólo se puede deducir que el Responsable de Seguridad ha de ser un mero ejecutor y coordinador de las políticas definidas y establecidas por la Dirección General, que son los titulares de la “propiedad” de la información y los sujetos responsables de decidir el QUÉ hacer para proteger la información de la organización, quedando el CÓMO en manos de los expertos internos y externos especializados en los distintos ámbitos de la seguridad de la información (tecnológico, procedimental y legal). Esta visión integral contrasta con la miopía actual de la mayoría de las organizaciones y debe ser, de hecho, uno de los factores críticos de éxito para una adecuada gestión de la seguridad de la información.

Idealmente, las organizaciones deberían establecer un Comité de Seguridad de la Información, compuesto por representantes de todas las áreas funcionales y cuya misión sea la definición, comunicación efectiva a los empleados y supervisión de la política de seguridad de la información, velando por que los controles sean razonables, eficientes y aplicables al negocio de la organización. Entre sus actividades principales, podríamos destacar las siguientes:
  1. Identificación de los riesgos específicos para el negocio y estudio y evaluación de controles que especifiquen la relación riesgo-control más adecuada. Los controles implantados seguirán el doble enfoque de valoración del daño potencial de pérdida de información junto con la probabilidad de pérdida de esa información.
  2. Elaboración e implantación de la normativa de seguridad interna, habitualmente recogida en el Documento de Seguridad (aunque la aprobación de esta normativa interna debería ser siempre de Dirección General).
  3. Asignación de responsabilidades sobre seguridad: nombramiento del Responsable de Seguridad y fijación de las funciones y obligaciones de cada una de las personas con acceso a la información de la organización.
  4. Documentación y comunicación efectiva de la normativa de seguridad. Resulta fundamental todo esfuerzo por documentar la seguridad de la información, ya que es preciso que los responsables de los activos deben gestionar la seguridad de forma coordinada y teniendo como referencia un objetivo y unas prácticas comunes. Asimismo, los usuarios necesitan una normativa que puedan consultar en cualquier momento, que defina sin ambigüedades qué compromiso espera de ellos la organización en cuanto a seguridad y qué represalias pueden esperar en caso de incumplirla.
  5. Identificación y asignación de niveles de autorización (control de acceso) a la información. Aquí el principio que ha de seguirse es el de “mínimo privilegio”, según el cual el personal sólo tendrá acceso autorizado exclusivamente a aquella información que necesite para el desempeño de su trabajo.
  6. Selección de asesores especialistas en los distintos ámbitos de Seguridad de la Información.
  7. Contacto con autoridades legislativas, organismos reguladores, proveedores de servicios de información, operadores de telecomunicaciones.
  8. Garantía de revisión independiente y periódica de la Seguridad de la Información, para confirmar no sólo que los controles establecidos siguen siendo eficientes sino que están alineados con los objetivos de la organización.

0 Comments:

Post a Comment

<< Home