CLASE 21 DE FEBRERO

Hemos continuado viendo lo restante del tema 5.

Como vimos la clase anterior, seguimos tratando el SGSI. Estas políticas de seguridad implantadas en una empresa empiezan con el compromiso de la alta dirección, las cuales están en continua evolución. Las características para una buena política de seguridad son que esté documentado y sistematizado, que implique a toda la organización, que esté apoyado por la alta dirección, que establezca unas responsabilidades y que tenga unos mínimos dude seguridad.

Actualmente existentes diversas series de normas, pero las más destacadas con la serie de normas ISO/IEC 27000, formada por unos estándares para desarrollar un SGSI sistematizado.  Dentro de ellas encontramos distintas normas, como ISO 27001 que recoge la norma principal para implantar un SGSI , ISO 27006 donde encontramos los requisitos de acreditación auditores y certificadores o ISO 27005 que incluye la guía de gestión del riesgo regulado por el círculo de Deming (PDCA) integrado por los pasos de planificar, hacer lo planificado, verificar el resultado y actuar.

También se encuentran otro tipo de normas, como ITIL, COBIT Y ENS.

- ITIL: son prácticas, y la gran mayoría se dedican a la seguridad, al módulo de gestión de continuidad del negocio. Es decir, es una forma de planificar y gestionar los incidentes de seguridad según los objetivos perseguidos.

- COBIT: prácticas utilizadas también para la gestión de tecnología de la información y mantenido por ISACA, un organismo reconocido internacionalmente dedicado a esta seguridad.

- ENS: es la política de seguridad utilizada en la Administración Pública en España, que incluye los principios básicos de la seguridad, los requisitos mínimos para proteger la información y es capaz de categorizar los sistemas en alto, medio o bajo dependiendo su seguridad, poniendo conectar sólo entre los que compartan la misma posición en la jerarquía.

Con esto, dimos por finalizado el tema 5 y pasamos al tema 6, que trata también de las medidas de seguridad de la información.

Empezamos volviendo a repasar aspectos básicos relacionados con la seguridad para llegar a los activos. Éstos se definen como entidades que tienen valor en una organización y que son objeto de protección, tal y como vimos en la sesión anterior. Dentro de ellos podemos hacer una clasificación: de información, físicos, de servicios o humanos.

Continuamos con el control de los recursos humanos, donde vimos la relevancia que tienen los SGSI sobre el personal, que viene también recogido en la ISO 27002 con medidas específicas. Dentro de este bloque deben darse controles imprescindibles, como el alta y la baja de empleados, las funciones de los individuos, las obligaciones, los derechos de los usuarios, la formación y la sensibilización de éstos. Otro factor muy importante dentro de los recursos humanos, es la contratación de personal externo, como proveedores, los cuales deben ser incluidos en los controles de seguridad (control de la adquisición de productos y relación con los proveedores).

Otro punto muy importante es la selección de salvaguardas, que son sistemas de información que se adoptan según el estándar de gestión de seguridad. La selección se realiza basada en unos criterios de riesgo, gasto y valor de los activos. Encontramos distintos salvaguardas:

• Control de la seguridad física de las instalaciones: seguridad de perímetro, de zonas, control de acceso físico o seguridad de los equipos físicos.
• Control de sistemas de protección eléctrica: climatización, suelo térmico, reguladores de corriente...
• Control de emisiones electromagnéticas: control de salida de equipos y vigilancia en la red.
• Copias de seguridad: normalmente se anota una secuencia 3-2-.
• Gestión de cuentas de usuarios, identificación y autenticación, protección de datos... 

Salvaguarda, medida de seguridad