Los 6 objetivos básicos en la seguridad de la información

Como desarrollar un plan que aborde de manera efectiva la protección de la información

Visitas: 97

El objetivo del gobierno de la seguridad de la información es desarrollar, implementar y gestionar un programa de seguridad que alcance los siguientes 6 objetivos básicos:

  1. Alineación estratégica. Alinear la seguridad de información con la estrategia de negocio para apoyar los objetivos de la organización
  2. Análisis y gestión de riesgos.
  3. Optimizar las inversiones en seguridad en apoyo a los objetivos de negocio.
  4. Utilización del conocimiento y la infraestructura de seguridad con eficiencia y efectividad.
  5. Monitorizacion y reporte de los procesos para garantizar que se alcanzan los objetivos.
  6. Emplear un enfoque de sistemas para planificar, implementar, monitorizar y gestionar la seguridad de la información.

Para que la seguridad de la información aborde de manera efectiva la protección de los activos, es fundamental una estrategia de seguridad que documente la direccion y las metas a conseguir. Posteriormente, la estrategia establece la base para implementar un gobierno efectivo de seguridad de la información. 

¿Qué es una estrategia de seguridad?

Las organizaciones empresariales desarrollan y mantienen planes estratégicos para la mayoría de las actividades que llevan a cabo. Dichos planes definen la necesidad de una acción, el impacto de esa acción en particular y las fuerzas detrás de la acción. La estrategia de seguridad en cualquier organización comienza con un análisis en profundidad de su negocio. Una estrategia de seguridad es, por lo tanto, un documento que detalla los pasos necesarios para que una organización identifique, remedie y administre los riesgos.

La estrategia de seguridad efectiva es integral y dinámica, con la elasticidad para responder a cualquier tipo de amenaza a la seguridad. El desarrollo de una estrategia de seguridad es un proceso detallado que implica evaluación inicial, planificación, implementación y monitoreo constante. También puede incluir una combinación de acciones que contrarrestan amenazas y vulnerabilidades imaginables: políticas y procedimientos, medidas de gestión de acceso, sistemas de comunicaciones, tecnologías y prácticas de integración de sistemas.

El documento de estrategia de seguridad define y prioriza las iniciativas de aseguramiento de la información y seguridad que la organización debe comenzar para mejorar la protección de la información y la tecnología relacionada. 

Organización, personas, procesos y tecnología

La parte más importante del desarrollo de una estrategia de seguridad es comprender los elementos clave de la unidad de negocios específica. Si bien es esencial comprender las amenazas y vulnerabilidades genéricas, las que pueden afectar a una organización en particular son vitales. Los estrategas de seguridad deben decidir cuánto esfuerzo, tiempo y dinero se requieren para desarrollar políticas y controles de seguridad específicos de la organización.

Es básico tener una comprensión adecuada del entorno de la organización donde se alineen los objetivos empresariales y de TI, teniendo en cuenta factores como aplicaciones, bases de datos, redes, intercambio de información y flujos de trabajo en el sistema de gestión de la información, informes, investigación y gestión de registros. 

Los roles y las responsabilidades requeridas para varios puestos dentro de IT y las empresas deben documentarse. Se debe iniciar la identificación del personal con conjuntos de habilidades relevantes, requisitos para la capacitación para mejorar o desarrollar competencias funcionales y técnicas. La conciencia sobre los conceptos de integridad, confidencialidad y privacidad es un componente esencial para cualquier estrategia de seguridad. Se deben llevar a cabo esfuerzos constantes para asegurar que la fuerza de trabajo esté adecuadamente capacitada en estos conceptos y que las personas sean plenamente conscientes de su rol y responsabilidad en el ciclo de vida de los datos de la organización.

Se debe evaluar la madurez de los procesos antes de planificar la estrategia de seguridad y se deben identificar las áreas que requieren mejoras. Se debe redactar un plan de acción que asegure que las brechas se completen mediante la implementación de controles específicos (lógicos y técnicos). Se requiere una comprensión detallada de cómo fluye la información a través del ecosistema, el tipo de clasificación de datos (si existe) y la caracterización de dichos datos, la interoperabilidad y el intercambio de información para obtener información sobre el proceso de gestión de datos.

Ciertos requisitos clave, tales como necesidades legales, regulatorias, estatutarias, comerciales y contractuales, deben identificarse y compararse con procesos, políticas y procedimientos internos. La sensibilización a través de campañas de capacitación y evaluaciones periódicas es extremadamente importante.

Las partes externas juegan un papel vital en cualquier organización. Pueden ser proveedores de servicios de internet, abogados, servicios de IT tales como desarrollo de aplicaciones, pruebas, mantenimiento, soporte de hardware, servicios administrados, proveedores de dispositivos, etc. Una estrategia de seguridad integral debe incluir pasos sobre cómo se debe evaluar a la parte externa para la seguridad y conformidad. El alcance debe incluir IT, personas e instalaciones, además de cómo se recopilan, procesan, almacenan y eliminan los datos dentro de la organización. También se deben examinar los documentos que incluyen las políticas, procedimientos, contrato o acuerdo de la organización e informar a los niveles de servicio.

El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo. (Fuente: Wikipedia)

Conclusión

La implementación de la estrategia, las pruebas y las revisiones son otras actividades que deben planificarse como parte del desarrollo. Para medir el éxito de la estrategia de seguridad, uno debe asegurarse de que las iniciativas brinden suficiente flexibilidad para ajustarse a los cambios en los entornos comerciales, legales y técnicos. Una estrategia de seguridad no es una actividad de una sola vez y, por lo tanto, las evaluaciones deben realizarse al menos trimestralmente para medir la efectividad de las iniciativas implementadas. Debe revisarse periódicamente para reflejar los cambios en la legislación, los negocios y la tecnología.

Autor

Imagen de Carlos Rodriguez Morales

Director Área Business Information Security

CAPTCHA
Esta pregunta es para comprobar si usted es un visitante humano y prevenir envíos de spam automatizado.