Esquema de documentación de la Seguridad de la Información


Hace mucho rato no publicaba nada en el blog, sin duda el que hacer del día a día nos priva de poder generar información. El presente artículo tiene como único fin poder compartir un esquema de documentación que he venido trabajando desde hace algún tiempo.

Seguramente, los profesionales que se desempeñan en rol de Oficiales de Seguridad de la información, se han hecho la pregunta muchas veces ¿Que documentación debería tener una organización en relación a las Políticas de Seguridad?, 

Pues bien, no hay una respuesta en el mercado con una solución mágica, sin embargo, creo que la siguiente imagen puede ser un punto de orientación o punto de partida para saber cual es el mapa de documentos que debemos generar.



Si se aprecia correctamente, podrán notar que en el esquema solo figura la Política de Seguridad de la Información, documento que a mi gusto debe ser de alto nivel y aprobado por la Dirección de la organización, este documento no debe ser extenso ya que debe representar el espíritu de la organización en términos de Seguridad de la Información, debe ser un documento de objetivos generales y que delega la autoridad al comité o gerencia respectiva, la cual queda encargada de implementar un adecuado ambiente de control, ambiente acorde a la cultura y necesidades de cada organización.

¿Por qué de esta manera?

Efectivamente, las políticas de seguridad de la información extensas también deben ser aprobadas por los directores de las organizaciones, sin embargo, cuando son tan detalladas nos privan de la flexibilidad de poder cambiar el ambiente de control según las necesidades de la organización, debiendo los Directores por cada cambio realizar una revisión exhaustiva, lo cual demora el cumplimiento de los objetivos estratégicos y apartan a los directores de sus responsabilidades de dirección.

Si bien, son los Directores son responsables de la revisión y de lo que sucede al interior de la organización ellos poseen todo un staff detrás los cuales son los encargados de reportar, hacer los cambios que son necesarios y dar cuenta, seguimiento y control de un adecuado Gobierno de Tecnología y de Seguridad de la Información.

En muchas recomendaciones que he leído de distintas firmas auditoras las recomendaciones son una lista de Políticas pero eso no hace match con la definición de facto de que las Políticas son definidas a alto nivel para luego caér en Planes, Procedimientos, Estándar y Guías de Uso Aceptable.

Comentarios

Publicar un comentario

Entradas populares de este blog

7 Factores Integrales de la Seguridad de la Información

Introducción La Seguridad Informática o en su concepto actual y de mayor alcance, la Seguridad de la Información se ha transformado en una necesidad para todas las organizaciones. En el transcurso de este documento se revisarán siete factores que inciden en la seguridad de la información, estos han sido definidos por un grupo de académicos y profesionales de las tecnologías de la información en Chile como los de mayor relevancia a considerar en entornos que se requiera el tratamiento de información. En el transcurso de este documento revisaremos cómo estos factores inciden dentro de un a organización, para lo cual se ha seleccionado una empresa mediana la cual cuenta aproximadamente con 900 funcionarios, más de 750 estaciones de trabajo y un número mayor a 20 servidores con distintos niveles de servicio e importancia para la empresa. El documento está dirigido a profesionales vinculados a las Tecnologías de Información, sin embargo, el lenguaje utilizado permite que cualquier pers
Leer más

Elementos de un Proceso de Prueba de Software

El Proceso de Prueba, ayuda a asegurar que todas las partes del sistema funcionen como se espera, los elementos básicos para las actividades de prueba de software de aplicación son: Plan de Prueba: Se realizan en las primeras etapas del ciclo de vida y son ajustados hasta la etapa efectiva de prueba, estos planes identifican las porciones específicas del sistema que van a ser probadas. Los planes de prueba también especifican los niveles de severidad de los problemas encontrados. El examinador o tester determina la severidad del problema identificado durante la prueba. Dependiendo del nivel de severidad del problema identificado, el mismo puede ser reparado o bien permanecer en el sistema. A menudo los problemas de presentación en la Interfaz se clasifican como de severidad más baja y pueden no ser reparados si las limitaciones de tiempo se convierten en un problema para el administrador (lider, jefe) de proyecto. El sponsor del p
Leer más

Auto Evaluación del Control (Control Self Assessment)

Imagen
La autoevaluación del control (CSA) puede definirse como una técnica de la dirección que asegura a los stakeholders (accionistas, clientes y otros) que el sistema de control interno es confiable. Asegura que los empleados estén consientes de los riesgos del negocio y que realicen revisiones proactivas periódicas de los controles. Esta es una metodología usada para revisar los objetivos clave del negocio, los riesgos involucrados en alcanzar los objetivos de la organización y los controles internos diseñados para administrar estos riesgos en un proceso colaborativo formal y documentado. En la práctica, CSA es una serie de herramientas que abarcan desde simples cuestionarios hasta talleres de facilitación diseñados para recopilar información sobre la organización, solicitándola a los que tienen conocimientos de trabajo cotidiano de un área, así como también a sus directivos. Las herramientas usadas durante un proyecto de CSA son las mismas ya sea que el proyecto sea técnico, financiero
Leer más