2.11. Gestión de las comunicaciones y operaciones
El objetivo aquí está en asegurar un correcto y seguro funcionamiento de los medios de procesamiento de la información. Para ello, hay que establecer los procedimientos de operación, detallando las personas responsables de cada uno de los pasos a seguir.
También se elaboran y documentan procedimientos de actuación por si surge cualquier tipo de incidencia, para reducir riesgos de negligencias o de un mal uso del sistema de información.
También es importante tratar la gestión de la información con terceros, indicando que las organizaciones deben mantener el nivel de seguridad apropiado de la información, además de cumplir con la entrega de los servicios, siguiendo los requerimientos descritos entre la organización y el tercero en el acuerdo de entrega del servicio.
Unos ejemplos de procedimientos operativos recomendados (tanto a nivel interno como externos) son los siguientes:
1 Control de los cambios en los medios de procesamiento de la información. Identificación y registros de cambios significativos.
2 Realización de copias de seguridad o backups, definiendo el nivel necesario de respaldo de cada información.
3 Segregación de las responsabilidades.
4 Establecer controles nuevos para solucionar incidentes de la seguridad de la información y para mejorar la seguridad.
5 Establecer una política formal que prohíba el uso de software que no esté autorizado.
6 Realizar revisiones periódicas del software.
7 Implementación de controles para garantizar la seguridad de la información en las redes.
8 Establecer acuerdos de intercambio de información con terceros.
Nota
Las responsabilidades deben estar segregadas entre distintos miembros de la organización para reducir las posibilidades de un mal uso de los activos de la entidad.
2.12. Control de acceso
Se debe establecer una serie de procedimientos formales que sirvan para asegurar el acceso del usuario autorizado y, por otro lado, evitar el acceso no autorizado a los sistemas de información de la organización.
Algunas de las medidas que se proponen son las siguientes:
1 Asegurar solo los accesos autorizados mediante el uso de identificadores (o IDs) de usuarios únicos, definiendo distintos niveles de acceso, permitiendo el uso de IDs grupales solo cuando sea estrictamente necesario.
2 Eliminar o bloquear los derechos de acceso a los usuarios que han cambiado de puesto o que han finalizado su relación contractual con la organización.
3 Controlar la asignación de claves secretas mediante un proceso de gestión formal.
4 Revisar formalmente, por parte de la gerencia, los derechos de acceso de los usuarios de modo periódico.
5 Mantener a los usuarios informados y advertidos de una correcta utilización de claves secretas y de la responsabilidad que ello conlleva.
6 Establecer políticas de escritorio limpio. Por ejemplo, la información confidencial o crítica debe ser guardada bajo llave cuando no está siendo utilizada.
7 Controlar el acceso a los servicios de redes internas y externas, evitando el acceso no autorizado a los servicios de la red.
8 Restringir el acceso a los sistemas operativos solo a los usuarios autorizados, mediante sistemas de autenticación apropiados y el registro de los usos del sistema.
9 Establecimiento y adopción de medidas de seguridad que protejan contra los riesgos de utilizar medios de computación y comunicación móvil.
10 Establecimiento y definición de procedimientos de las actividades de teletrabajo.
Actividades
1. Señale si considera adecuadas las medidas recomendadas para el control de acceso de usuarios autorizados, y proponga medidas adicionales.
2.13. Adquisición, desarrollo y mantenimiento de los sistemas de información
El diseño e implementación del sistema de información es vital para la seguridad. Por ello, es necesario garantizar que la seguridad sea una parte integral de los sistemas de información.
Para que esta garantía sea real, antes de desarrollar e implementar los sistemas de información es necesario identificar y acordar los distintos requerimientos de seguridad de cada área de la organización implicada en dicha implementación. La identificación de los requisitos de seguridad se realiza en la fase de requerimientos de un proyecto.
2.14. Gestión de incidentes de seguridad de la información
Cualquier incidente o debilidad que afecte a la seguridad de la información debe ser comunicado correctamente a los responsables del establecimiento de las medidas correctivas oportunas.
Para ello, se necesita establecer procedimientos formales de reporte en los que se especifiquen qué hay que comunicar, a quién, cómo y cuándo hay que hacerlo. Aparte, estos procedimientos deben estar en conocimiento de todos los usuarios implicados en la gestión de la información.
Con estas medidas se pretende que la organización aprenda de los errores cometidos mediante la realización de un seguimiento y supervisión de cada incidencia. Así, no solo se supervisa una rápida respuesta ante incidencias, sino que también se controla el procedimiento de resolución de las mismas y su resolución final.
2.15. Gestión de la continuidad del negocio
La gestión de la continuidad del negocio debe tener incluida la seguridad de la información, ya que cualquier fallo en la seguridad puede influir negativamente en la estabilidad de la organización y llegar a provocar auténticas debacles.
Definición
Continuidad del negocio
Conjunto de procesos de una organización que minimizan el impacto de una interrupción de la organización, para poder continuar con su actividad normal en el menor plazo posible.
Por ello, es necesario identificar los procesos críticos que afecten a la continuidad del negocio e integrar en ellos los requerimientos de gestión de la seguridad de la información, implantar controles preventivos que minimicen los riesgos y establecer medidas que permitan continuar con la actividad de la organización (asegurando que la información esté siempre disponible para los procesos comerciales) en el momento en el que se produzca cualquier incidencia.
2.16. Cumplimiento
El objetivo de este apartado consiste en evitar cualquier incumplimiento legal, estatutario, regulador o contractual, y cualquier requerimiento de seguridad.
En el uso y gestión