Es el proceso responsable de asegurar que la confidencialidad, integridad y disponibilidad de los activos, información, datos y servicios de TI de una organización satisfagan las necesidades acordadas del negocio. La gestión de seguridad de la información da apoyo a la seguridad del negocio y tiene un alcance más amplio que el del proveedor de servicios de TI, e incluye el manejo de documentos, acceso a las instalaciones, llamadas telefónicas, etc. para toda la organización.
El proceso de gestión de seguridad de la información asegura que los aspectos de seguridad de los servicios y todas las actividades de la gestión del servicio son gestionadas de manera apropiada, controladas y alineadas a las necesidades del negocio y de los riesgos.
Propósito
Alinear la seguridad de TI con la seguridad del negocio y asegurar que la confidencialidad, integridad y disponibilidad de los activos de la organización, la información, los datos y los servicios de TI cumplan siempre con las necesidades acordadas del negocio.
Objetivos
Proteger los intereses de quienes dependen de la información.Para la mayoría de las organizaciones los objetivos de seguridad se han cumplido cuando:
La información es observada y entregada sólo a las personas que se les otorga el derecho.
Alcance
La información es completa, confiable y disponible cuando es requerida y los Debe ser el punto focal de todos los aspectos de seguridad de TI y debe asegurar que se establezca, mantenga y aplique una política de seguridad que cubra el uso y abuso de sistemas y servicios de TI.
Actividades sistemas que la proveen deben de ser capaces de resistir ataques y reponerse de fallas.
La información está disponible y es utilizable cuando es requerida y los sistemas que la proveen pueden resistir ataques y recuperarse de fallas o prevenirlas.
Las transacciones de negocios y los intercambios de información puedan ser confiables.
Conocimiento general
Producir y revisar la política de seguridad de la información y un conjunto de políticas de soporte. Comunicar, implementar y aplicar políticas de seguridad.
Evaluar y clasificar los activos de información.
Implementar y revisar controles de seguridad.
Monitorear y gestionar las infracciones e incidentes de seguridad.
Análisis, informe y reducción del volumen e impacto de infracciones e incidentes de seguridad.
Programar revisiones de seguridad y auditorías de ingreso no permitido
Términos clave
Sistema de gestión de seguridad de la información, (ISMS) [Information Security Management System, (ISMS)]
Es el marco de trabajo de políticas, procesos, funciones, normas, directrices y herramientas que aseguran que una organización puede alcanzar sus objetivos de gestión de seguridad de la información.
Provee una base para el desarrollo de un programa rentable de seguridad de información que soporte los objetivos de la organización.
Involucra las 4 P’s personal, proceso, producto y proveedores.
Los cinco elementos dentro de este marco de trabajo son:
1. Controlar, 2. Planear, 3. Implementar, 4. Evaluar, 5. Mantener.
Diseño del servicio (SD)
Política de seguridad de la información: Es la política que rige el enfoque de la organización para la gestión de seguridad de la información.
Confidencialidad: Es un principio de seguridad que requiere que sólo las personas autorizadas puedan tener acceso a los datos.
Integridad: Es un principio de seguridad que garantiza que los datos y elementos de configuración sólo pueden ser modificados por personas y actividades autorizadas. La integridad considera todas las posibles causas de modificación, incluyendo averías en el software y hardware, eventos ambientales y la intervención humana.
No hay comentarios:
Publicar un comentario