Política de Seguridad del SGSI (aclaraciones y repaso)
El documento de política de seguridad tiene como misión servir para dirigir y dar soporte a la gestión de la seguridad de la información de acuerdo con los objetivos establecidos, la legislación y regulaciones existentes. (Manual de Seguridad)
Forman el manual de seguridad:
- Alcance del SGSI: ámbito de la organización que queda sometido al SGSI. Se debe incluir una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas, prestando especial atención en aquellos casos en los que el ámbito de influencia del SGSI considere una parte menor de la organización como delegaciones, divisiones, áreas, procesos o tareas concretas.
- Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.
- Metodología de evaluación de riesgos: descripción de cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado.
- Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada.
- Plan de tratamiento del riesgo: documento que define las acciones para reducir, prevenir, transferir o asumir los riesgos de seguridad de la información e implantar los controles necesarios para proteger la misma.
- Declaración de aplicabilidad (SOA -Statement of Applicability-): documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.
- Procedimientos: procedimientos que regulan cómo se realizan, gestionan y mantienen los documentos del manual de seguridad.
1) Política: Define los objetivos a cumplir.
- Qué: objetivo, requisito o regulación que se quiere satisfacer o cumplir (lo que hay que lograr).
- Quién: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible).
- Cómo: descripción de las actividades que darán con la consecución del objetivo o requisito (lo que haya que hacer para conseguirlo).
Las preguntas cuándo y dónde muchas veces no tienen por qué ser respondidas aunque suelen ser tratadas en los procedimientos.
Ejemplo:
- Uso
- Contenido
- Restricciones de Red
- Mantenimiento Hardware
- Actualización de Software
- Gestión de Perfiles
- Calidad de Datos
- Copia de Seguridad
- Plan de Contingencia
- Formación
- Concienciación
- Procedimiento de Investigación de Incidente
- Auditoría
- Política de análisis de incidente
- Política de cumplimientos legales
- Política para cuerdo de servicios
- Uso de conducta de usuario
- Etc.
2) Procedimientos: Detalla los procesos a seguir para cumplir los objetivos. Además son documentos que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información y describen cómo medir la efectividad de los controles.
Ejemplo:
- Entrevista
- Verificación
- Screener
- Gestión del histórico de incidencia
- Entrega de formación y actualización a los usuarios
- Creación de TIPS
3) Tareas a seguir/Instrucciones/checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.
4) Registro/Evidencias: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.
Ejemplo:
| Política | Procedimiento | Tareas a realizar |
| Protección del servidor web de la organización contra accesos no autorizados | Actualización del software del servidor web |
|
| Revisión de los registros de actividad en el servidor |
|