• No results found

SNPL scheme – Phase

3.1 First steps

Una vez que la organización asume la decisión de adaptar la información de la que dispone a la presente norma ISO, lo primero que ha de realizar es evaluar e identificar los principales riesgos, amenazas y vulnerabilidades a la hora de mantener, albergar y tratar la información.

39 A posterior, bien a través de trabajadores especializados, bien a través de asesoría externa, debe sentar las líneas de actuación para definir y establecer la política de gestión de seguridad que, principalmente ha de contener los siguientes extremos:

Organizativa - Legal. Han de encomendarse los roles que cada trabajador va a asumir a la hora de gestionar la información. La finalidad primordial es identificar quiénes serán los responsables de controlar y de que se cumpla la política de seguridad por parte de todos los integrantes de la organización permisos de acceso a la información, control de incidencias, gestión de los soportes informáticos, comunicaciones a través de redes, permisos de servidor, supervisión y revisión de la información.

Junto con la asignación de roles organizativos, la organización ha de dar cumplimiento a la normativa que le es imperativa, especialmente en materia de protección de datos de carácter personal, propiedad intelectual y propiedad industrial.

A modo de ejemplo limitado y conciso, respecto al presente apartado podríamos ofrecer la siguiente orientación:

a)Director de Política de Seguridad. Personal encargado de realizar, supervisar, inspeccionar, modificar las normas y reglas establecidas en la política de seguridad.

b) Director de Seguridad. Personal encargado de, en virtud de la política de seguridad establecida, asignar roles de acceso a la información, proveer de permisos y soportes informáticos, controlar la entrada y salida de información, identificación y resolución de incidencias, etc.

40 c) Personal con acceso a información. Trabajadores que disponen de acceso a la información bajo parámetros definidos para acceder y tratarla, debiendo cumplir con las directrices marcadas y originadas en la política de seguridad.

Es importante recordar que, dado que la organización está compuesta, tanto por trabajadores - personal interno y/o externo- como empresas terceras con las que se mantiene una actividad mercantil, se ha de asegurar la confidencialidad de la información que se suministre o a la que se tenga acceso, por ello es recomendable la adhesión de propios y terceros a contratos de confidencialidad /business/smb/es-es/legal/proteger_creaciones.mspx o de secreto profesional en materia de información.

d) Técnica. Una vez establecida la organización en materia de gestión de la información, se han de configurar los mecanismos o medidas que permitan asegurar eficazmente la política de seguridad. Consideramos que a través de ejemplos usted podrá comprender mejor todo esto. Supongamos que se ha establecido en la política de seguridad la realización de copias de seguridad, las cuales son gestionadas por el Director de Seguridad. Sin embargo, no se han concretado las medidas técnicas para llevar a cabo las mismas -a través de servidor interno o externos, bajo sistema integral y/o incremental, en soporte de cintas o DVD, etc.- ni el procedimiento de etiquetado -numerado, por fecha, por departamentos, por unidad, etc.-, ni el lugar donde van a albergarse -almacén externo a la organización, instalaciones de terceros, en armario ignífugo, etc.- Por tanto, la finalidad primordial es establecer las “medidas de seguridad” que se van a implantar para gestionar la información.

Así mismo, hemos de apuntar que, la normativa de protección de datos establece las medidas legales, organizativas y técnicas para proteger los sistemas de información que tratan datos

41 personales, lo que significa que una vez adecuados a las mismas disponemos de la base para poder certificar nuestra empresa a las normas ISO de Gestión de Seguridad de la Información.

En la actualidad, cada vez menos las inversiones en seguridad que realizan las empresas se están destinando exclusivamente a la compra de productos, sino que comienzan a dotar parte de su presupuesto para destinarlo a la gestión de la seguridad de la información. El concepto de seguridad ha variado, acuñándose un nuevo concepto: “seguridad gestionada”, que ha desbancado al de “seguridad informática”. Las medidas que comienzan a tomar las empresas giran en torno al nuevo concepto de gestión de la seguridad de la información. Éste tiene tres vertientes técnica, legal y organizativa, es decir un planteamiento coherente de directrices, procedimientos y criterios que permiten desde la dirección de las empresas asegurar la evolución eficiente de la seguridad de los sistemas de Información, la organización afín y sus infraestructuras. Para gestionar la seguridad de la información de una entidad se debe partir de una premisa fundamental y es que “la seguridad absoluta no existe”. Tomando como referencia esta máxima, una entidad puede adoptar alguna de las normas existentes en el mercado que establecen determinadas reglas o estándares que sirven de guía para gestionar la seguridad de la información. El presente artículo se va a centrar en una de ellas, concretamente en la norma UNE 71502 / ISO 17799.

Para que las empresas puedan ser certificadas sobre la base de estos códigos de buenas prácticas es preciso el establecimiento de una norma que establezca los criterios o especificaciones que deben reunir los sistemas de gestión de la seguridad de la información (SGSI). Nuevamente, Gran Bretaña fue la pionera publicando la BS 7799 (parte 2) que establece los criterios que debe reunir un SGSI para ser certificable. En Europa, el proceso va más lento y se espera que la ISO /IEC 17799 (Parte II) vea la luz a lo largo del 2007. En lo

42 que se refiere a España, el 23 de junio de 2003, en reunión extraordinaria del Subcomité 27 se aprobó la UNE 71502 “Especificaciones para los sistemas de gestión de la seguridad de la información”, decisión que fue ratificada por el CTN 71. Tras pasar por el correspondiente trámite de información pública y haber resuelto los comentarios el Subcomité 27 fue aprobada definitivamente por el CTN y editada definitivamente por AENOR, en febrero de 2004.

La norma básicamente comprende los siguientes aspectos.

 Política de Seguridad

 Organización de la Seguridad

 Clasificación y control de activos de información

 Gestión de la Seguridad de la información y el personal

 Seguridad física y del entorno

 Gestión de comunicaciones y operaciones

 Control de acceso

 Mantenimiento y desarrollo de sistemas

 Gestión de la Continuidad del negocio

 Conformidad

Estas 10 secciones en las que está organizada la norma se dividen a su vez en 127 controles (jurídicos, técnicos y organizativos).

A la hora de que una empresa decida guiar la gestión de la seguridad de la información sobre los postulados de esta norma en primer lugar deberá llevar a cabo una labor de consultoría tendente a que la entidad cumpla con los parámetros que fija la norma. Para ello deberá en líneas generales:

43 1. Definir el alcance del SGSI, es decir sobre qué proceso o procesos va a actuar ya que no

es necesario la aplicación de la norma a toda la entidad. 2. Identificar los activos de información

3. Realizar un análisis de riesgos, el cual determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados.

4. Selección de controles

5. Determinar, bajo el principio de proporcionalidad, las medidas correctoras a adoptar para paliar las deficiencias o anomalías detectadas.

6. Generar la documentación: Política de Seguridad, procedimientos básicos de gestión de la seguridad de la información, protocolos de actuación, registros...etc.

7. Una vez que la empresa ha realizado todas las actuaciones tendentes al cumplimiento de las recomendaciones establecidas en la norma podrá solicitar, si así lo estima conveniente, a una entidad certificadora que acredite dicho cumplimiento.