Gestión de la seguridad de la información

Controles que una organización requiere para la seguridad de TI

La gestión de la seguridad de la información ( ISM ) define y gestiona los controles que una organización necesita implementar para garantizar que está protegiendo de forma sensata la confidencialidad , la disponibilidad y la integridad de los activos frente a amenazas y vulnerabilidades . El núcleo de la ISM incluye la gestión de riesgos de la información , un proceso que implica la evaluación de los riesgos que una organización debe afrontar en la gestión y protección de los activos, así como la difusión de los riesgos a todas las partes interesadas adecuadas . ^[1] Esto requiere pasos adecuados de identificación y valoración de activos, incluida la evaluación del valor de la confidencialidad , la integridad , la disponibilidad y el reemplazo de los activos. ^[2] Como parte de la gestión de la seguridad de la información, una organización puede implementar un sistema de gestión de la seguridad de la información y otras mejores prácticas que se encuentran en las normas ISO/IEC 27001 , ISO/IEC 27002 e ISO/IEC 27035 sobre seguridad de la información . ^{[3] [4]}

Gestión y mitigación de riesgos

En esencia, gestionar la seguridad de la información significa gestionar y mitigar las distintas amenazas y vulnerabilidades a los activos, al mismo tiempo que se equilibra el esfuerzo de gestión invertido en las amenazas y vulnerabilidades potenciales midiendo la probabilidad de que realmente ocurran. ^{[1] [5] [6]} Un meteorito que se estrella contra una sala de servidores es sin duda una amenaza, por ejemplo, pero un responsable de seguridad de la información probablemente no se esforzará mucho en prepararse para esa amenaza. Del mismo modo, la gente no tiene por qué empezar a prepararse para el fin del mundo sólo por la existencia de un banco de semillas global . ^[7]

Una vez realizada la identificación y valoración adecuadas de los activos, ^[2] la gestión de riesgos y la mitigación de los riesgos para esos activos implica el análisis de las siguientes cuestiones: ^{[5] [6] [8]}

• Amenazas: Eventos no deseados que podrían causar la pérdida, daño o mal uso deliberado o accidental de activos de información.
• Vulnerabilidades: Qué tan susceptibles son los activos de información y los controles asociados a la explotación por una o más amenazas
• Impacto y probabilidad: La magnitud del daño potencial a los activos de información debido a amenazas y vulnerabilidades y qué tan grave es el riesgo que representan para los activos; el análisis de costo-beneficio también puede ser parte de la evaluación de impacto o estar separado de ella.
• Mitigación : Los métodos propuestos para minimizar el impacto y la probabilidad de amenazas y vulnerabilidades potenciales.

Una vez que se ha identificado una amenaza o vulnerabilidad y se ha evaluado su impacto o probabilidad en los activos de información, se puede implementar un plan de mitigación. El método de mitigación elegido depende en gran medida de en cuál de los siete dominios de tecnología de la información (TI) reside la amenaza o vulnerabilidad. La amenaza de la apatía de los usuarios hacia las políticas de seguridad (el dominio del usuario) requerirá un plan de mitigación muy diferente del que se utiliza para limitar la amenaza de sondeos y escaneos no autorizados de una red (el dominio de LAN a WAN). ^[8]

Sistema de gestión de seguridad de la información

Un sistema de gestión de seguridad de la información (SGSI) representa la recopilación de todos los elementos de seguridad de la información interrelacionados/interactuantes de una organización con el fin de garantizar que se puedan crear, implementar, comunicar y evaluar políticas, procedimientos y objetivos para garantizar mejor la seguridad de la información general de la organización. Este sistema suele estar influenciado por las necesidades, objetivos, requisitos de seguridad, tamaño y procesos de una organización. ^[9] Un SGSI incluye y presta apoyo a la gestión de riesgos y estrategias de mitigación. Además, la adopción de un SGSI por parte de una organización indica que está identificando, evaluando y gestionando sistemáticamente los riesgos de seguridad de la información y "será capaz de abordar con éxito los requisitos de confidencialidad, integridad y disponibilidad de la información". ^[10] Sin embargo, los factores humanos asociados con el desarrollo, la implementación y la práctica del SGSI (el dominio del usuario ^[8] ) también deben considerarse para garantizar mejor el éxito final del SGSI. ^[11]

Componentes de la estrategia de implementación y educación

La implementación de una gestión eficaz de la seguridad de la información (incluida la gestión y mitigación de riesgos) requiere una estrategia de gestión que tenga en cuenta lo siguiente: ^[12]

• La alta dirección debe apoyar firmemente las iniciativas de seguridad de la información, permitiendo a los responsables de seguridad de la información la oportunidad de "obtener los recursos necesarios para tener un programa de educación totalmente funcional y eficaz" y, por extensión, un sistema de gestión de la seguridad de la información.
• La estrategia y la capacitación en seguridad de la información deben integrarse y comunicarse a través de las estrategias departamentales para garantizar que todo el personal se vea afectado positivamente por el plan de seguridad de la información de la organización.
• Una " evaluación de riesgos " de capacitación y concientización sobre la privacidad puede ayudar a una organización a identificar brechas críticas en el conocimiento y la actitud de las partes interesadas hacia la seguridad.
• Los métodos de evaluación adecuados para "medir la eficacia general del programa de capacitación y concientización" garantizan que las políticas, los procedimientos y los materiales de capacitación sigan siendo pertinentes.
• Las políticas y los procedimientos que se desarrollan, implementan, comunican y aplican adecuadamente "mitigan el riesgo y garantizan no solo la reducción del riesgo, sino también el cumplimiento continuo de las leyes, regulaciones, normas y políticas aplicables".
• Los hitos y los cronogramas para todos los aspectos de la gestión de la seguridad de la información ayudan a garantizar el éxito futuro.

Sin consideraciones presupuestarias suficientes para todo lo mencionado anteriormente, además del dinero asignado a cuestiones estándar de normativas, TI, privacidad y seguridad, un plan/sistema de gestión de seguridad de la información no puede tener éxito pleno.

Normas pertinentes

Las normas que están disponibles para ayudar a las organizaciones a implementar los programas y controles adecuados para mitigar las amenazas y vulnerabilidades incluyen la familia de normas ISO/IEC 27000 , el marco ITIL , el marco COBIT y O-ISM3 2.0 . La familia ISO/IEC 27000 representa algunas de las normas más conocidas que rigen la gestión de la seguridad de la información y su SGSI se basa en la opinión de expertos globales. Establecen los requisitos para "establecer, implementar, desplegar, monitorear, revisar, mantener, actualizar y mejorar los sistemas de gestión de seguridad de la información". ^{[3] [4]} ITIL actúa como una colección de conceptos, políticas y mejores prácticas para la gestión eficaz de la infraestructura, el servicio y la seguridad de la tecnología de la información, y difiere de ISO/IEC 27001 en solo unos pocos aspectos. ^{[13] [14]} COBIT, desarrollado por ISACA , es un marco para ayudar al personal de seguridad de la información a desarrollar e implementar estrategias para la gestión y gobernanza de la información, minimizando al mismo tiempo los impactos negativos y controlando la seguridad de la información y la gestión de riesgos, ^{[4] [13] [15]} y O-ISM3 2.0 es el modelo de seguridad de la información tecnológicamente neutral de The Open Group para empresas. ^[16]

Véase también

• Profesional certificado en seguridad de sistemas de información
• Director de seguridad de la información
• Gestión de la información de seguridad
• Gestión de seguridad
• Gestión de riesgos

Referencias

1. Campbell, T. (2016). "Capítulo 1: Evolución de una profesión". Gestión práctica de la seguridad de la información: una guía completa para la planificación y la implementación. APress. págs. 1–14. ISBN 9781484216859.
2. Tipton, HF; Krause, M. (2003). Manual de gestión de seguridad de la información (5.ª ed.). CRC Press. págs. 810–11. ISBN 9780203325438.
3. Humphreys, E. (2016). "Capítulo 2: Familia de SGSI ISO/IEC 27001". Implementación de la norma SGSI ISO/IEC 27001:2013 . Artech House. págs. 11–26. ISBN 9781608079315.
4. Campbell, T. (2016). "Capítulo 6: Estándares, marcos, pautas y legislación". Gestión práctica de la seguridad de la información: una guía completa para la planificación y la implementación. APress. págs. 71–94. ISBN 9781484216859.
5. Watts, S. (21 de junio de 2017). "Vulnerabilidad de seguridad informática frente a amenazas frente a riesgos: ¿cuál es la diferencia?". BMC Blogs . BMC Software, Inc . Consultado el 16 de junio de 2018 .
6. Campbell, T. (2016). "Capítulo 4: Seguridad organizacional". Gestión práctica de la seguridad de la información: una guía completa para la planificación y la implementación. APress. págs. 43–61. ISBN 9781484216859.
7. Lundgren, Björn; Möller, Niklas (2019). "Definición de seguridad de la información". Ética en ciencia e ingeniería . 25 (2): 419–441. doi :10.1007/s11948-017-9992-1. ISSN  1353-3452. PMC 6450831 . PMID  29143269. 
8. Kim, D.; Solomon, MG (2016). "Capítulo 1: Seguridad de los sistemas de información". Fundamentos de la seguridad de los sistemas de información . Jones & Bartlett Learning. págs. 2–46. ISBN 9781284128239.
9. Terroza, AKS (12 de mayo de 2015). «Information Security Management System (ISMS) Overview» (PDF) . Instituto de Auditores Internos. Archivado desde el original (PDF) el 7 de agosto de 2016 . Consultado el 16 de junio de 2018 .
10. "Necesidad: La necesidad de un SGSI". Gestión de amenazas y riesgos . Agencia de la Unión Europea para la Seguridad de las Redes y de la Información . Consultado el 16 de junio de 2018 .
11. Alavi, R.; Islam, S.; Mouratidis, H. (2014). "Un marco conceptual para analizar los factores humanos del sistema de gestión de seguridad de la información (SGSI) en las organizaciones". Aspectos humanos de la seguridad de la información, la privacidad y la confianza . Apuntes de clase en informática. Vol. 8533. págs. 297–305. doi : 10.1007/978-3-319-07620-1_26 . ISBN . 978-3-319-07619-5. {{cite book}}: |journal=ignorado ( ayuda )
12. Tipton, HF; Krause, M. (2010). Manual de gestión de seguridad de la información. Vol. 3 (6.ª ed.). CRC Press. págs. 100–02. ISBN 9781420090956.
13. Kim, D.; Solomon, MG (2016). Fundamentos de la seguridad de los sistemas de información. Jones & Bartlett Learning. pág. 225. ISBN 9781284128239.
14. Leal, R. (7 de marzo de 2016). "ISO 27001 vs. ITIL: similitudes y diferencias". El blog de ISO 27001 e ISO 22301. Advisera Expert Solutions Ltd. Consultado el 16 de junio de 2018 .
15. White, SK (22 de diciembre de 2017). "¿Qué es COBIT? Un marco para la alineación y la gobernanza". CIO . IDG Communications, Inc . Consultado el 16 de junio de 2018 .
16. "Modelo de madurez de gestión de seguridad de la información abierta (O-ISM3), versión 2.0". The Open Group. 21 de septiembre de 2017. Consultado el 16 de junio de 2018 .

Enlaces externos

• ISACA
• El grupo abierto