Las políticas de seguridad de la información tienen como objetivo proporcionar directrices que soporten y orienten el proceso de seguridad de la información en la organización. Para ello debe existir un documento con las políticas de seguridad de la información que debe:
• Expresar el enfoque de la organización para manejar y controlar la seguridad de la información que posee.
• Dicho documento debe ser aprobado por la gerencia de la organización y debe asegurarse su comunicación a todos los empleados de la organización.
• Este documento debe incluir las reglas , normas y procedimientos que regulan la forma en que una organización previene, protege y maneja los riesgos de daño sobre: 1) Los sistemas de soporte general y los elementos físicos asociados con estos (computadores, dispositivos de interconexión, edificación, impresoras, discos, cables, entre otros). 2) El software y la información almacenada en tales sistemas y 3) Los usuarios del sistema.
Por tanto se debe hacer una revisión y evaluación periódica de las políticas, para asegurar su adecuación a las expectativas en cuanto se refiere a seguridad de la información en la organización.
Dentro de esta política de revisión y evaluación periódica, esta como pieza principal, asignar un responsable quien se encargue del mantenimiento y revisión de acuerdo a un proceso predefinido que debe:
• Ejecutarse periódicamente para evaluar la efectividad en cuanto a: a) la naturaleza, cantidad e impacto de los incidentes reportados y b) el costo e impacto de los controles sobre la efectividad del negocio.
• Ejecutarse cada vez que ocurra un evento que afecte la seguridad de la información, nuevas vulnerabilidades, cambios en la infraestructura técnica u organizacional y ocurrencia de un incidente de seguridad significativo.
He aquí la importancia de la ISO/IEC 17799, donde podemos ampliar lo relativo a dichas políticas de seguridad.
Código para la práctica dela gestión de la seguridad de la información
No hay comentarios:
Publicar un comentario