SEGURIDAD

Procedimientos de Seguridad en la Información

Los procedimientos de seguridad en la información son todos aquellos que muestran como implementar las políticas, estándares, mejores prácticas y guías enfocadas a garantizar la seguridad en la información, son transversales a las tecnologías, áreas o personas que se involucren. Su objetivo es delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad. El diseño de cada procedimiento debe estar planteado de modo que permita implementar uno o varios controles de seguridad informática, y que tenga aplicabilidad en las distintas áreas o procesos de una organización. Estos son algunos ejemplos de procedimientos implementables:

  1. Para recursos humanos:
    1. Procedimiento de capacitación y sensibilización del personal
    2. Procedimiento de ingreso y desvinculación del personal
  2. Para gestión de activos:
    1. Procedimiento de identificación y clasificación de activos
  3. Para control de acceso
    1. Procedimiento de gestión de usuarios y contraseñas
  4. Para seguridad física y del entorno:
    1. Procedimiento de control de acceso físico
    2. Procedimiento de retiro de activos
  5. Para seguridad de las operaciones:
    1. Procedimiento de gestión de cambios
    2. Procedimiento de separación de ambientes
  6. Para seguridad de las comunicaciones:
    1. Procedimiento de aseguramiento de servicios en la red
  7. Para relaciones con los proveedores:
    1. Procedimiento para el tratamiento de la seguridad en los acuerdos con los proveedores
  8. Para adquisición, desarrollo y mantenimiento de sistemas de información:
    1. Procedimiento adquisición, desarrollo y mantenimiento de software
    2. Procedimiento de control software
  9. Para gestión de incidentes de seguridad de la información:
    1. Procedimiento de gestión de incidentes de seguridad de la información
  10. Para aspectos de seguridad de la información de la gestión de continuidad de negocio:
    1. Procedimiento de gestión de la continuidad de negocio
SEGURIDAD

Roles en la Seguridad en la Información

Los roles o funciones que desempeñan las personas dentro de la Seguridad de la Información se deben identificar fácilmente dentro de un Sistema de Gestión de Seguridad Informática, y corresponden al nivel de compromiso de cada miembro de la organización para lograr la meta de preservar la seguridad informática. Por ejemplo:

  1. Dirección General: Responsable de la dirección estratégica dentro de la seguridad informática y la implementación de un SGSI. Es quien asigna recursos y responsabilidades y verifica y aprueba las directrices de la seguridad en la información.
  2. Nivel directivo: Aplican las directrices de la dirección. Se encargan de liderar y apoyar la implementación de las políticas y directrices dentro de cada una de las áreas correspondientes. También asignan roles y responsabilidades de Seguridad en la Información en cada una de las áreas y gestionan los recursos asignados.
  3. Oficial de Seguridad de la Información: Es el encargado de velar por la estructura de los procesos que velan por la seguridad en a información. Se encarga de levantar activos, de analizar los riesgos, de definir el plan de contingencia, de actualizar y difundir las políticas de seguridad en la información.
  4. Comité Operativo de Seguridad de la Información: Esta integrado por los delegados de cada área, y son los encargados de validar la documentación asociada a la seguridad en la información, fomentar las buenas practicas de seguridad, y participar en las jornadas de implementación de SGSI.
  5. Propietario Activo: Es el funcionario activo, responsable de los distintos activos de la información, y es el encargado de aplicar los controles, políticas y directrices de seguridad establecidos para cada uno de los activos.
  6. Custodio del activo: Es el funcionario a quien se le asigna un activo para ser usado en su labor diaria. Es el encargado directo de la aplicación de los controles, y de reportar inmediatamente los incidentes que se presenten.
  7. Responsable del riesgo: Es un rol asumido por el dueño del proceso. Es quien debe conocer la valoración del riesgo, así como efectuar el seguimiento permanente a la aplicación de los controles de los riesgos.