ISO 27002.es

El portal de ISO 27002 en Español


Enlace Apadrinado

Video Info

6. Aspectos Organizativos SI

El objetivo del presente dominio es establecer la administración de la seguridad de la información, como parte fundamental de los objetivos y actividades de la organización.


Para ello se debería definir formalmente un ámbito de gestión para efectuar tareas tales como la aprobación de las políticas de seguridad, la coordinación de la implementación de la seguridad y la asignación de funciones y responsabilidades.


Para una actualización adecuada en materia de seguridad se debería contemplar la necesidad de disponer de fuentes con conocimiento y experimentadas para el asesoramiento, cooperación y colaboración en materia de seguridad de la información.


Las protecciones físicas de las organizaciones son cada vez más reducidas por las actividades de la organización requiere por parte del personal interno/externo que acceden a información desde el exterior en situación de mobilidad temporal o permanente. En estos casos se considera que la información puede ponerse en riesgo si el acceso se produce en el marco de una inadecuada administración de la seguridad, por lo que se establecerán las medidas adecuadas para la protección de la información.



Objetivo de control


Objetivo

El objetivo es el de establecer un esquema directivo de gestión para iniciar y controlar la implementación y operativa de la seguridad de la información en la organización.

6.1 Organización interna

La gerencia debería establecer de forma clara las líneas de la política de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una política de seguridad en toda la organización.


Se debería establecer una estructura de gestión con objeto de iniciar y controlar la implantación de la seguridad de la información dentro de la Organización.


El órgano de dirección debería aprobar la política de seguridad de la información, asignar los roles de seguridad y coordinar y revisar la implantación de la seguridad en toda la Organización.


Si fuera necesario, en la Organización se debería establecer y facilitar el acceso a una fuente especializada de consulta en seguridad de la información. Deberían desarrollarse contactos con especialistas externos en seguridad, que incluyan a las administraciones pertinentes, con objeto de mantenerse actualizado en las tendencias de la industria, la evolución de las normas y los métodos de evaluación, así como proporcionar enlaces adecuados para el tratamiento de las incidencias de seguridad.


Debería fomentarse un enfoque multidisciplinario de la seguridad de la información, que, por ejemplo, implique la cooperación y la colaboración de directores, usuarios, administradores, diseñadores de aplicaciones, auditores y el equipo de seguridad con expertos en áreas como la gestión de seguros y la gestión de riesgos.


Actividades de control del riesgo

6.1.1 Asignación de responsabilidades para la SI: Se deberían definir y asignar claramente todas las responsabilidades para la seguridad de la información.


6.1.2 Segregación de tareas: Se deberían segregar tareas y las áreas de responsabilidad ante posibles conflictos de interés con el fin de reducir las oportunidades de una modificación no autorizada o no intencionada, o el de un mal uso de los activos de la organización.


6.1.3 Contacto con las autoridades: Se deberían mantener los contactos apropiados con las autoridades pertinentes.


6.1.4 Contacto con grupos de interés especial: Se debería mantener el contacto con grupos o foros de seguridad especializados y asociaciones profesionales.


6.1.5 Seguridad de la información en la gestión de proyectos: Se debería contemplar la seguridad de la información en la gestión de proyectos e independientemente del tipo de proyecto a desarrollar por la organización.


Métricas asociadas

Porcentaje de funciones/unidades organizativas para las cuales se ha implantado una estrategia global para mantener los riesgos de seguridad de la información por debajo de umbrales explícitamente aceptados por la dirección.


Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y responsabilidades de seguridad de la información.

Enlaces a soluciones recomendadas

AGENCIA ESPAÑOLA PROTECCIÓN DATOS: La Agencia de Protección de Datos tiene por objetivo velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.


ANETCOM: Guía de gestión estratégica de seguridad en la empresa publicada por Anetcom.


ASIS International: Guía en inglés que analiza las responsabilidades, competencias y perfil profesional de un CSO (Chief Security Officer).


BANCO CENTRAL DE LA REPÚBLICA ARGENTINA: Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras.


BIT-Policía Nacional: La Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía de España es la Unidad policial destinada a responder a delitos en el entorno de las nuevas tecnologías: pornografía infantil, estafas y fraudes por Internet, fraudes en el uso de las comunicaciones, ataques cibernéticos, piratería...


BSA: La piratería de software es la copia o distribución no autorizada de software con copyright. Puede hacerse copiando, descargando, compartiendo, vendiendo o instalando múltiples copias en ordenadores personales o de trabajo. Lo que mucha gente no advierte o no sabe es que cuando se compra software, realmente se está comprando una licencia para usarlo, no el software en sí. Esa licencia es la que le dice cuántas veces puede instalar el software, por lo que es importante leerla. Si hace más copias del software de las permitidas por la licencia, está pirateando.


CCN-CERT: CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). Este servicio se creó a principios de 2007 como CERT gubernamental español y está presente en los principales foros internacionales en los que se comparte objetivos, ideas e información sobre la seguridad de forma global.


CCN: Guía de responsabilidades y funciones dentro del Esquema Nacional de Seguridad.


CITICUS: Citicus, empresa especialista en gestión del riesgo empresarial y en el cumplimiento dispone de una aplicación free para la gama de IOS de los dispositivos de Apple - iPhone, IPAD y el iPod touch.


CNI: NS/05: Seguridad en los sistemas de información y comunicaciones. Proceso de acreditación. Publicada por la Autoridad Delegada para la Seguridad de la Información Clasificada de España.


CNPIC: El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) es el órgano director y coordinador de cuantas actividades relacionadas con la protección de las infraestructuras críticas tiene encomendadas la Secretaría de Estado de Seguridad del Ministerio del Interior de España, a la que está adscrito. El principal objetivo es prestar una eficaz colaboración para mantener seguras las infraestructuras críticas españolas que proporcionan los servicios esenciales a la sociedad.


UE CERT: Inventario con direcciones de contacto de los 200 Centros de Alerta Temprana de toda la Unión Europea.


Ernst & Young: En este documento se plantea un enfoque práctico y basado en riesgos del cumplimiento con la segregación de funciones.


FFIEC: Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, sobre cómo implantar un proceso de desarrollo y adquisición de TI eficaz en una organización. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso.


GesConsultor: GesConsultor es una herramienta de pago (alquiler mensual) de gestión de SGSIs, que incluye un módulo de gestión de roles y responsabilidades del personal en materia de seguridad.


GUARDIA CIVIL - DELITOS INFORMÁTICOS: El GDT está creado para perseguir los delitos informáticos. Si Vd. identifica un problema de seguridad en la red, localiza un contenido ilícito o cree haber detectado u observado una conducta que pudiera ser delictiva, puede comunicarlo al GDT. Todo lo que en ella se recibe es tratado con la máxima discreción.


INTECO: Curso introductorio gratuito de 20h. a los Sistemas de Gestión de la Seguridad de la Información (SGSI) según la norma UNE-ISO/IEC 27001. Se dan a conocer los conceptos básicos necesarios para introducir al usuario en la gestión de la Seguridad de la Información, así como conocer la dimensión y alcance que suponen la implantación, certificación y mantenimiento de un SGSI en una organización, en base a la norma ISO/IEC 27001.


INTECO: Guía de INTECO "Quién es quién en el sector de seguridad TIC en España". Relación de los principales actores involucrados en el sector de la seguridad de la información en España que no intervienen en el intercambio comercial y que engloba desde aspec-tos como la formación, los diferentes tipos de agrupaciones, tanto de empresas como de profesionales, entes públicos o los medios de comunicación que difunden las noticias relacionadas con el sector.


INTECO - CERT: INTECO tiene encomendadas a través del Plan Avanza las misiones de sentar las bases de coordinación de distintas iniciativas públicas en torno a la seguridad informática, impulsar la investigación aplicada y la formación especializada en el ámbito de la seguridad en el uso de las TIC y convertirse en el Centro de Referencia en Seguridad Informática a nivel nacional.


INTECO-OSI: La "Oficina de Seguridad del Internauta" (OSI) es un servicio la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información puesto en marcha por INTECO, para proporcionar la información y el soporte necesarios para evitar y resolver problemas de seguridad al navegar por Internet.


INTECO: Guía de INTECO en español sobre la utilización de las tecnologías de la información en el ámbito laboral y sus consideraciones legales.


ALIANZA INTERNACIONAL DE PROTECCIÓN Y SEGURIDAD CIBERNÉTICA: Gobiernos europeos, así como empresas internacionales y agencias policiales como Interpol y Europol forman la alianza para combatir el cibercrimen globalmente. “Alianza Internacional de Protección y Seguridad Cibernética” se encarga de mejorar la aplicación de la ley internacional, así como de proteger a las empresas y sus clientes de amenazas informáticas. El financiamiento para ICSPA provendrá de los gobiernos y de la misma Unión Europea.


ISACA: La matriz de segregación de funciones ilustra las posibilidades de segregación potencial que se pueden aplicar.


ISO27001Security.com: Caso de estudio en inglés sobre el valor de negocio de ISO 27001.


Ministerio de Ciencia e Innovación: Documento de creación del comité de seguridad de la información del Ministerio de Ciencia e Innovación de España.


MISSION-MODE: 15 Apps para gestión de crisis y desastres.


NIST: Guía NIST SP800-100 de seguridad de la información para gerentes (en inglés).


OBSERVE IT: Solución software que captura la actividad en cualquier sesión de usuario, incluidas terminales, escritorios remotos, Citrix, VMWare, VNC, NetOP y PC Anywhere. ObserveIT Xpress es una versión completamente free del producto ObserveIT, sin fecha de expiración. La versión free puede monitorizar un máximo de 5 servidores.


PROTECCIÓN CIVIL: Dirección General de Protección Civil y Emergencias de España.


SANS: Artículo en el que se analizan los diferentes roles relevantes a la información clave de una organización, el grado de segregación recomendado y las razones para acometer esta segregación.


SICHERHEITSTACHO: Este portal muestra estadísticas de alerta temprana mediante sensores de la red de Deutsche Telekom y partners.


SISTESEG: Ejemplo básico en español de política de organización de la seguridad de la información.


SpiceWorks: Spiceworks es una herramienta gratuita de gestión, monitorización y resolución de problemas de red, creación automática de mapas de red, helpdesk (gestión de tickets), inventario de HW y SW (descubrimiento automático, gestión de licencias...) y gestión de compras TI, entre otras funcionalidades, prevista para pequeñas y medianas empresas.



Objetivo de control


Objetivo

El objetivo es el de garantizar la seguridad de la información en el uso de recursos de informática móvil y teletrabajo.

6.2 Dispositivos para movilidad y teletrabajo

La protección exigible debería estar en relación a los riesgos específicos que ocasionan estas formas específicas de trabajo. En el uso de la informática móvil deberían considerarse los riesgos de trabajar en entornos desprotegidos y aplicar la protección conveniente. En el caso del teletrabajo, la Organización debería aplicar las medidas de protección al lugar remoto y garantizar que las disposiciones adecuadas estén disponibles para esta modalidad de trabajo.


Se debería establecer una estructura de gestión con objeto de iniciar y controlar la implantación de la seguridad de la información dentro de la Organización.


Debería disponer de políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos.


Por lo general, el valor de la información supera con mucho el del hardware.


Asegúrese de que el nivel de protección de los equipos informáticos utilizados dentro de las instalaciones de la organización tiene su correspondencia en el nivel de protección de los equipos portátiles, en aspectos tales como antivirus, parches, actualizaciones, software cortafuegos, etc.


Actividades de control del riesgo

6.2.1 Política de uso de dispositivos para movilidad: Se debería establecer una política formal y se deberían adoptar las medidas de seguridad adecuadas para la protección contra los riesgos derivados del uso de los recursos de informática móvil y las telecomunicaciones.


6.2.2 Teletrabajo: Se debería desarrollar e implantar una política y medidas de seguridad de apoyo para proteger a la información accedida, procesada o almacenada en ubicaciones destinadas al teletrabajo.


Métricas asociadas

"Estado de la seguridad en entorno portátil / teletrabajo", es decir, un informe sobre el estado actual de la seguridad de equipos informáticos portátiles (laptops, PDAs, teléfonos móviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajo móvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronósticos sobre cualquier riesgo creciente, despliegue de configuraciones seguras, antivirus, firewalls personales, etc.


Enlaces a soluciones recomendadas

Consejo Nacional Consultivo de CyberSeguridad: Informe sobre Malware en Smartphones que tiene por objeto exponer la problemática del malware en este tipo de dispositivos y desde diversos puntos de vista (aspectos técnicos, económicos e históricos).


Computerworld: Guía en inglés sobre seguridad de equipos portátiles y móviles editada por Blackberry.


ENISA: Directorio con diversas soluciones recopiladas para el acceso remoto.


Google groups iso27001security: Checklist de revisión de controles para equipos portátiles, trabajo en movilidad, teletrabajo y redes inalámbricas (inglés).


INTECO: Guía de Inteco para proteger y usar de forma segura el teléfono móvil así como en relación a aspectos de geolocalización.


NIST: Guía NIST de seguridad para teletrabajo y acceso remoto.


OSWA: La herramienta gratuita OSWA-Assistant™ sirve para hacer auditorías de seguridad de WIFI, Bluetooth y RFID.


PATRIOT NG: Patriot es una herramienta 'Host IDS' para la monitorización en tiempo real de cambios en sistemas Windows o ataques de red. Permite monitorizar el uso y acesso de escritorio remoto entre otras utilidades.


PREY Project: Prey permite mantener trazabilidad de tu teléfono o portátil en todo momento para poder encontrarlo en caso de pérdida o robo. Es una aplicación ligera, open source y de libre uso.


SME Toolkit: Plantilla con checklist y acuerdo para puesto de trabajo en el hogar (general, no centrada sólo en seguridad).