Politicas de Seguridad
Páginas: 12 (2903 palabras)
Publicado: 4 de junio de 2014
Definición de las políticas, organización, alcance del sistema de gestión
y concienciación
En este módulo se desglosan de manera detallada los primeros pasos que deben llevarse a cabo para
desarrollar un SGSI de acuerdo con la Norma UNE/ISO-IEC 27001: cómo se debe definir una Política
de Seguridad coherente, cuales son las principales responsabilidades que deben asignarse
internamente,cómo debe definirse el alcance del Sistema y de qué manera debe llevarse a cabo una
labor de concienciación que permita posteriormente implantar un SGSI eficaz.
El contenido de este módulo es:
1.
Alcance del SGSI.
Política de Seguridad.
Organización de la seguridad.
Concienciación.
Alcance del SGSI:
Para comenzar a diseñar el SGSI en primer lugar hay que decidir qué se quiereproteger, es decir, el
alcance que se le va a dar al sistema.
Según lo especificado por la Norma UNE/ISO-IEC 27001, los límites del SGSI deben estar definidos en
términos de las características de la organización, localización, activos y tecnologías. Esto significa
que hay que considerar qué parte de la organización va a quedar protegida por el SGSI, si es que no
se pretende abarcarla toda.Que el SGSI comprenda toda la organización o no depende sobre todo del tamaño de la misma. En
una gran empresa es raro que se intente hacer un SGSI de estas características porque el esfuerzo y
los recursos que habría que dedicarle al proyecto serían muy elevados debido a la gran cantidad de
personal involucrado y a la complejidad de las actividades que se realizan. Lo más habitual en estetipo de organizaciones es escoger un departamento o servicio relevante dentro de la misma y diseñar
e implantar un SGSI con ese alcance reducido. Una vez completado el proyecto satisfactoriamente, se
va extendiendo paulatinamente el sistema al resto
de la organización, normalmente a lo largo de varias
fases y en un periodo de tiempo importante.
En una organización pequeña sin embargo es másfactible preparar un SGSI que abarque toda la
organización, ya que su menor tamaño y el limitado
número de actividades que se realizan lo permiten. A
pesar de ello hay que valorar cuidadosamente los
recursos que van a ser necesarios para poner en
marcha y mantener el SGSI y considerar si esta
opción es posible o es más realista escoger un
alcance más reducido para empezar.
ISO 27001
No sedebe olvidar que la implantación de este tipo de sistemas debe ayudar a los procesos propios
de la empresa y no debe interferir en su desarrollo para que se lleven a cabo de la mejor manera
posible, aunque inevitablemente la organización verá modificados algunos de sus hábitos sobre todo
a nivel de gestión y del personal involucrado.
Una vez decidido si el alcance va a ser toda laorganización o sólo una parte de ella, hay que definir
claramente este alcance. Para ello deben enumerarse:
Las localizaciones físicas incluidas: oficinas, sedes, fábricas, delegaciones, etc. De manera que
queden claros los límites físicos del SGSI.
Las actividades de la organización: servicios y productos que suministra, actividades internas,
etc. Es aquí donde es importante detallarexactamente qué queda dentro del alcance y qué
queda excluido, por ejemplo, si la organización proporciona servicios de asesoría legal y
fiscal, y se ha decidido que sólo se van a considerar dentro del alcance los de asesoría fiscal.
Hay que tener en cuenta que no sería lógico excluir por ejemplo el departamento de
informática, ya que no se puede obviar que este departamento es el que manipula ygestiona
probablemente toda la información. Aunque este servicio estuviera subcontratado, hay que
tener los mecanismos para poder gestionarlo con seguridad y el SGSI debe incluir los
controles necesarios para ello.
Las tecnologías utilizadas: tipos de equipos informáticos, redes, comunicaciones, etc. En
general esta parte queda documentada con un mapa esquemático de la red de la...
y concienciación
En este módulo se desglosan de manera detallada los primeros pasos que deben llevarse a cabo para
desarrollar un SGSI de acuerdo con la Norma UNE/ISO-IEC 27001: cómo se debe definir una Política
de Seguridad coherente, cuales son las principales responsabilidades que deben asignarse
internamente,cómo debe definirse el alcance del Sistema y de qué manera debe llevarse a cabo una
labor de concienciación que permita posteriormente implantar un SGSI eficaz.
El contenido de este módulo es:
1.
Alcance del SGSI.
Política de Seguridad.
Organización de la seguridad.
Concienciación.
Alcance del SGSI:
Para comenzar a diseñar el SGSI en primer lugar hay que decidir qué se quiereproteger, es decir, el
alcance que se le va a dar al sistema.
Según lo especificado por la Norma UNE/ISO-IEC 27001, los límites del SGSI deben estar definidos en
términos de las características de la organización, localización, activos y tecnologías. Esto significa
que hay que considerar qué parte de la organización va a quedar protegida por el SGSI, si es que no
se pretende abarcarla toda.Que el SGSI comprenda toda la organización o no depende sobre todo del tamaño de la misma. En
una gran empresa es raro que se intente hacer un SGSI de estas características porque el esfuerzo y
los recursos que habría que dedicarle al proyecto serían muy elevados debido a la gran cantidad de
personal involucrado y a la complejidad de las actividades que se realizan. Lo más habitual en estetipo de organizaciones es escoger un departamento o servicio relevante dentro de la misma y diseñar
e implantar un SGSI con ese alcance reducido. Una vez completado el proyecto satisfactoriamente, se
va extendiendo paulatinamente el sistema al resto
de la organización, normalmente a lo largo de varias
fases y en un periodo de tiempo importante.
En una organización pequeña sin embargo es másfactible preparar un SGSI que abarque toda la
organización, ya que su menor tamaño y el limitado
número de actividades que se realizan lo permiten. A
pesar de ello hay que valorar cuidadosamente los
recursos que van a ser necesarios para poner en
marcha y mantener el SGSI y considerar si esta
opción es posible o es más realista escoger un
alcance más reducido para empezar.
ISO 27001
No sedebe olvidar que la implantación de este tipo de sistemas debe ayudar a los procesos propios
de la empresa y no debe interferir en su desarrollo para que se lleven a cabo de la mejor manera
posible, aunque inevitablemente la organización verá modificados algunos de sus hábitos sobre todo
a nivel de gestión y del personal involucrado.
Una vez decidido si el alcance va a ser toda laorganización o sólo una parte de ella, hay que definir
claramente este alcance. Para ello deben enumerarse:
Las localizaciones físicas incluidas: oficinas, sedes, fábricas, delegaciones, etc. De manera que
queden claros los límites físicos del SGSI.
Las actividades de la organización: servicios y productos que suministra, actividades internas,
etc. Es aquí donde es importante detallarexactamente qué queda dentro del alcance y qué
queda excluido, por ejemplo, si la organización proporciona servicios de asesoría legal y
fiscal, y se ha decidido que sólo se van a considerar dentro del alcance los de asesoría fiscal.
Hay que tener en cuenta que no sería lógico excluir por ejemplo el departamento de
informática, ya que no se puede obviar que este departamento es el que manipula ygestiona
probablemente toda la información. Aunque este servicio estuviera subcontratado, hay que
tener los mecanismos para poder gestionarlo con seguridad y el SGSI debe incluir los
controles necesarios para ello.
Las tecnologías utilizadas: tipos de equipos informáticos, redes, comunicaciones, etc. En
general esta parte queda documentada con un mapa esquemático de la red de la...
Leer documento completo
Regístrate para leer el documento completo.