Política de seguridad de la información: marco y mejores prácticas

Publicado el 12 noviembre, 2020 por Rodrigo Ricardo

Definición de seguridad de la información

La información o los datos es todo lo que revela hechos sobre un objeto o sujeto que permite al receptor reaccionar positiva o negativamente hacia él. La seguridad de la información son los procesos colectivos implementados para garantizar la seguridad, integridad y privacidad de una pieza de información y datos.

Chris trabaja con Best Stocks (una empresa de corretaje de valores) en Wall Street como uno de sus operadores de bolsa. Con frecuencia está conectado a la red de la empresa que monitorea los índices del mercado de valores para cada día, así como también cierra más acuerdos en nombre de la empresa.

Durante su período de descanso, Chris inicia sesión en sus perfiles de redes sociales para charlar con amigos, revisa sus correos electrónicos personales y otros sitios web de interés, todo en el sistema informático asignado de la empresa.

En una de estas ocasiones, Chris recibió un correo electrónico supuestamente de un amigo cercano. El correo electrónico con un asunto pegadizo “acaba de ganar $ 1 millón” contenía un archivo adjunto comprimido que le pedía que lo descargara y completara los detalles.

Sin sospechar nada, Chris abrió el archivo comprimido y la pantalla de su computadora se quedó en blanco por un momento, pero volvió a encenderse. Sin que Chris lo supiera, varios de sus colegas de la oficina se conectaron a la red de la empresa al mismo tiempo y experimentaron el mismo problema. En consecuencia, Best Stocks perdió una cantidad considerable de clientes para sus empresas esa semana.

Marco de seguridad de la información (ISF)

Cuando Chris abrió ese archivo, hubo una brecha en la red de Best Stock dirigida a la base de información de la empresa. El archivo contenía un gusano o virus especializado que estaba programado para robar las contraseñas de los usuarios conectados a la red al mismo tiempo que se publicó.

Best Stocks podría haberse protegido de estos problemas si hubiera implementado alguna forma de seguridad de la información utilizando marcos de seguridad de la información certificados (ISF).

Los marcos de seguridad de la información son una colección de políticas, procedimientos y guías estandarizados, destinados a dirigir a una empresa o cualquier organización, que adopte su uso, sobre cómo proteger su hardware, software, datos, información, red, dispositivos informáticos, usuarios y clientes de posibles brechas de seguridad mediante el uso de los recursos o servicios de la empresa.

Hay tres razones principales para utilizar los marcos de seguridad de la información:

  • Asegurar el cumplimiento legal de la Ley de Protección de Datos del país de operación.
  • Garantizar a los clientes la seguridad y privacidad de sus datos personales.
  • Proteja a toda la empresa de las violaciones de seguridad de la red e invariablemente, de las violaciones de datos de la empresa.

Hay varios marcos disponibles que ayudan a abordar los problemas clave de seguridad de la información, como los populares que se enumeran a continuación:

  • Objetivos de control para la información y tecnología relacionada (COBIT): un producto de los profesionales de gobierno de TI de organizaciones independientes del proveedor. Su punto clave de enfoque es reducir los riesgos técnicos en una organización.
  • Serie ISO 27000: fue desarrollada por la Organización Internacional de Normalización y ofrece una cobertura mucho más amplia sobre los procesos de una empresa u organización. También se puede aplicar a todo tipo y tamaño de organizaciones.

Un ejemplo de política de seguridad, impulsada por la ISF mencionada anteriormente, se compone de secciones o dominios que abordan los procesos operativos o la infraestructura de la empresa de la siguiente manera:

Alcance de la política de seguridad : aborda el alcance de la cobertura del documento de la política de seguridad y define las funciones y responsabilidades para impulsar el documento en toda la organización.

Seguridad organizacional : esto aborda las necesidades de seguridad de la organización que cubren a su personal, clientes o clientes, proveedores y otros proveedores que manejan procesos clave en su nombre.

Evaluación y tratamiento de riesgos : esto ayuda a definir los riesgos potenciales y las respuestas posteriores para reducir su efecto en la organización.

Clasificación de activos : el valor de un activo determina el nivel de sofisticación que tendría su protección. Para implementar esto, los activos de la empresa, independientemente de su tamaño o uso, están clasificados y protegidos.

Seguridad de los recursos humanos : se ocupa de los procesos relacionados con la participación del personal, los procesos de incorporación y terminación.

Seguridad Física y Ambiental : Protección del edificio de la firma y accesos físicos de entrada, así como protección del medio ambiente de los peligros que pudieran tener un impacto en el propio edificio.

Gestión de comunicaciones y operaciones : esta sección aborda los canales de comunicación y operativos de la organización. Proteger cada canal según la necesidad de conocer y acceder.

Controles de acceso al sistema : aborda los requisitos y estándares para la concesión y el mantenimiento del acceso al personal en los sistemas, aplicaciones y redes.

Desarrollo y mantenimiento de sistemas: se ocupa del desarrollo de nuevos sistemas, el mantenimiento de los existentes y la evaluación de los controles de seguridad en línea con los cambios afectados en el sistema.

Incidentes de seguridad de la información : esta sección trata sobre la gestión de incidentes de seguridad, el registro y la escalada a una dirección superior.

Continuidad del negocio : esto guía a la organización sobre los requisitos que deben implementarse para garantizar que el negocio no colapse en caso de cualquier incidente o interrupción del servicio.

Cumplimiento : aborda la necesidad de cumplir con las leyes estatales o federales, ya que afecta el funcionamiento de la empresa.

Mejores prácticas del marco de seguridad de la información

Con el fin de garantizar que la ISF esté bien implementada y se alinee con las necesidades comerciales de Best Stocks, las siguientes mejores prácticas definidas por los organismos profesionales de la industria incluyen:

Arquitectura de seguridad de la información empresarial: La arquitectura de seguridad de la información empresarial de una empresa debe diseñarse teniendo en cuenta las necesidades comerciales de la organización que deben alinearse con ella.

Tarjetas de puntuación de seguridad de la información : mapeo de la información compleja de la organización en objetivos comerciales de alto nivel y se presenta a la alta dirección. Esto ayuda a la alta dirección a comprender plenamente la necesidad de realizar inversiones en seguridad que pueden ser necesarias para aprobar.

Función de seguridad de la información independiente: garantizar la independencia de la función de seguridad de la información en una organización le ayuda a mantener una función de seguridad funcional de supervisión objetiva en todos los departamentos, independientemente de su importancia, lo que garantiza el más alto nivel de integridad personal y profesional.

Implementación de un sistema de gestión de seguridad de la información (ISMS) alineado con el negocio : esto garantiza que la implementación de la seguridad de la información empresarial se ajuste al estándar de la industria establecido por organismos profesionales reconocidos como la familia de estándares ISO 27000.

Resumen de la lección

El marco de seguridad de la información ayuda a guiar la implementación de políticas, procedimientos y guías desarrolladas para la protección exitosa de los activos de información de una organización.

Como resultado de la implementación exitosa, los clientes tienen la seguridad de sus datos personales y privacidad y, en consecuencia, mejoran su confianza en los servicios que les brinda la organización. También ayuda a proteger a la organización de violaciones de seguridad de la red .

Articulos relacionados