4 Incidente de seguridad de la información: evento o serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.
5 Análisis del riesgo: uso sistemático de la información para identificar las fuentes y calcular el riesgo.
6 Evaluación del riesgo: proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la importancia del riesgo.
7 Gestión del riesgo: actividades para dirigir y controlar una organización con relación al riesgo.
8 Tratamiento del riesgo: proceso de selección e implementación de medidas para modificar el riesgo.
2.4. Estructura de la norma
La norma ISO/IEC 27002 contiene quince capítulos y once cláusulas de control que incluyen en total treinta y nueve categorías de seguridad principales, además de una cláusula de introducción que trata la evaluación y el tratamiento del riesgo.
Nota
Cada categoría de seguridad contiene un objetivo de control y uno o más controles que se pueden aplicar para lograr dicho objetivo.
2.5. Evaluación y tratamiento del riesgo
En este apartado se describen una serie de indicaciones para:
1 Evaluar los riesgos de seguridad de la información: donde se debe identificar, cuantificar y priorizar los riesgos en comparación con los criterios y los objetivos de la organización. En esta evaluación se tienen en cuenta tanto la magnitud del daño posible como la probabilidad de que este ocurra.
2 Tratar los riesgos de la seguridad de la información: se toman una serie de decisiones sobre si compensa aceptar los riesgos o no. Normalmente, se acepta tomar el riesgo si este es bajo o si, asumiendo los costes del tratamiento, se consigue reducirlo considerablemente.
2.6. Política de seguridad
En este apartado se presenta una serie de documentos referentes a la política de seguridad de la información y a su gestión.
La dirección de una organización debe aprobar un documento donde se recoja una política de seguridad de la información acorde con sus objetivos principales. También se debe encargar de que este documento esté a disposición de todos los empleados y de aquellos agentes externos relevantes para la organización.
Se aconseja que se realice una revisión periódica y sistemática del documento y, en general, de la política de seguridad de la información; además de realizarla también cuando ocurran cambios relevantes que puedan necesitar una modificación de política.
2.7. Organización de la seguridad de la información
Este apartado trata sobre la organización de la seguridad de la información en una organización, tanto a nivel interno como externo.
Del mismo modo que es necesario establecer una estructura organizativa que comprometa a todos los agentes internos a apoyar y garantizar la seguridad de la información, también es imprescindible mantener la seguridad de la información que es gestionada y procesada por agentes externos.
En cuanto a organización interna, es necesario el establecimiento de una estructura firme de recursos técnicos capaces de implantar y mantener un sistema seguro de gestión de información.
Todo ello necesita el respaldo y apoyo de la dirección, que será la que establezca y coordine los distintos roles de los agentes que intervengan en la seguridad.
A nivel externo, se debe asegurar que el acceso de agentes externos a la información no implique una reducción de la seguridad de la misma. Cuando sea necesario trabajar con grupos externos, habrá que realizar una evaluación del riesgo y acordar con estos grupos los controles que se llevarán a cabo para mantener la seguridad.
2.8. Gestión de activos
El objetivo de este apartado es conseguir y mantener una protección adecuada de los activos de la organización (la información es considerada como un activo intangible de la organización).
Definición
Activo de una empresa
Es cualquier bien, tangible o intangible, que pertenece a una empresa u organización.
Es necesario que la organización realice un inventario de todos sus activos. En este inventario, los activos deben estar correctamente identificados en un documento elaborado para ello y, además, deben ser identificados los propietarios de cada uno de ellos (cuya responsabilidad sobre los archivos también debe quedar reflejada en esta documentación).
En cuanto a la información, para asegurar un nivel de protección óptimo, hay que clasificarla según el grado de confidencialidad e importancia que tenga, permitiendo asignar un nivel de protección adicional a aquella información cuya importancia o confidencialidad sea mayor.
2.9. Seguridad ligada a los recursos humanos
Se establecen una serie de controles, que debe aplicar la organización para mantener la seguridad de la información, que prevengan un uso inadecuado de la información por parte de los empleados antes de trabajar en la empresa, durante su período de trabajo y una vez se ha extinguido su contrato de trabajo con la misma.
Para ello, se pone una especial atención a la necesidad de establecer una serie de obligaciones contractuales que comprometan a todos los empleados, contratistas, proveedores y demás usuarios a cumplir con unos compromisos, funciones y responsabilidades.
También se establece como control fundamental la definición y documentación específica de cada uno de los roles de los empleados y usuarios de la información, en concordancia con la política de seguridad de la organización.
2.10. Seguridad física y del entorno
Este capítulo describe una serie de controles que pueden servir para evitar el acceso físico no autorizado, daño o interferencia a las instalaciones y a la información de la organización.
Los medios físicos de procesamiento de información deben estar situados en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad y controles de entrada y salida apropiados. La información crítica y confidencial debe tener un mayor nivel de protección física ante accesos no autorizados y amenazas físicas y ambientales; por ejemplo, protección del sol directo o de exceso de polvo en oficinas con maquinaria, etc.
Aplicación práctica
En la empresa en la que trabaja le acaban de encomendar la evaluación de los distintos riesgos a los que se somete la empresa y el diseño de una serie de medidas y buenas prácticas para disminuir estos riesgos. En estos momentos se encuentra analizando los riesgos que puede haber al dejar entrar libremente a una persona externa de la organización. ¿Qué riesgo supondría este hecho? ¿Cómo lo evitaría?
SOLUCIÓN
El