Dentro de la gestión de un departamento TIC, hay que remarcar y tener presente la gestión y el control de la parte de seguridad, gracias a la siguiente ley ayuda al propósito:
ISO/IEC 27002 “Código de buenas prácticas de Gestión de la Seguridad de la Información”
La seguridad de la información es un proceso de gestión, no un proceso exclusivamente técnico.
Persigue garantizar la confidencialidad, integridad y disponibilidad.
Colabora en la prevención, reducción e incluso eliminación de los riesgos.
Permite proyectar una imagen corporativa de compromiso con la seguridad de la información.
Un SGSI consta de los siguientes módulos :
- Análisis de Riesgos
- Política de Seguridad
- Aspectos Organizativos de la Seguridad de la Información
- Gestión de Activos
- Seguridad de los RRHH
- Seguridad Física y del Entorno
- Gestión de las comunicaciones y las operaciones
- Control de Acceso
- Adquisición de los sistemas de Información, Desarrollo y Mantenimiento
- Gestión de los Incidentes de Seguridad
- Gestión de la continuidad de negocio
- Cumplimiento
Hoy nos centraremos en el Plan de Gestión de Negocio, es una fase clave para que todo el SGSI llegue a su fin.
Exactamente que es un PCN, es la respuesta prevista por la empresa a aquellas situaciones de riesgo que afectan de forma crítica al servicio a proteger.
El objetivo del PCN es Mantener el nivel de servicio en los límites definidos dentro del plan de seguridad. Se debe determinar un tiempo de recuperación que garantice la continuidad del negocio, siendo la repercusión mínima para el usuario y sobre todo recuperar la situación inicial de los sistemas lo antes posible.
Para que el PCN sea eficaz se debe realizar un análisis de las posibles amenazas que puede activar la alarmas, se debe asignar un responsable de dispositivo y se tiene que identificar que acciones de mitigacion se deben realizar y que recursos deben utilizarse, sin olvidar los tiempos de respuesta. Y finalmente se debe indicar como se deben cerrar las alarmas.
Para las personas que no estén en contacto con la terminologia que se utiliza normalmente, os indico los términos mas utilizados :
- Evento: no requiere actuación humana pero debe estar monitorizado. P.ej: introducir un password erróneo
- Tema: requiere actuación humana pero en el marco de los procedimientos habituales. P.ej: introducir un password erróneo cinco veces y bloquear la cuenta
- Incidente: requiere una actuación especial no planificada en el marco de procedimientos habituales. P.ej: caída del servicio de Active Directory
- Crisis: requiere una actuación derivada de toma de decisiones de la dirección y con los ratios de autoridad bien definidos (Incendio de un Servidor)
Una vez que hemos comentado varios términos y hemos entrado un poco en materia hablaremos sobre una parte del PCN que para mi parecer es muy complicada pero a la vez MUY importante realizar, lo remarco porque normalmente no se realizar mucho, estoy hablando de ANÁLISIS DE RIESGOS.
De un Análisis de riesgos los principales objetivos es identificar los riesgos que nos pueden suceder, de cada riesgo identificado realizaremos la descripción del nivel de servicio a mantener y el tiempo de respuesta.
Tenemos que identificar que controles realizaremos para salvaguardar la situación de crisis.
Tenemos que identificar los Activos que debemos proteger, tener muy bien identificadas las amenazas y sobretodo tenemos que tener los departamentos correspondientes implicados y los responsables.
Para acabar con este modulo os pongo un gráfico que me explicaron en el post grado de dirección de sistemas de información, creo que lo expresa muy bien.
Entradas
No hay comentarios:
Publicar un comentario