Empleos seguridad de la información: la gobernabilidad y la gestión del riesgo

La administración necesita estar en control de sus sistemas de seguridad de la información, los procesos y el personal. El gobierno es el enfoque que facilita este control. La gestión de riesgos es la actividad que pone de manifiesto los riesgos de la organización que debe ser tratado.

La alineación de la organización

Para la gestión de la seguridad sea eficaz y pertinente, el programa de seguridad de una organización y su misión, objetivos y metas deben estar alineados. La razón principal de esto es que seguridad debe ser un habilitador de negocios, facilitar los esfuerzos de la organización para cumplir su misión y alcanzar sus objetivos y metas.

Gestión de riesgos

Gestión de riesgos es el conjunto de actividades del ciclo de vida que identifican los riesgos y tomar las medidas adecuadas con cada uno. Estas actividades siguen:

  • Evaluación de riesgos: UN Evaluación de riesgos es una mirada de cerca a los sistemas específicos, procesos, proveedores, o quizá toda la organización. Todos los riesgos posibles son identificados, y las siguientes características clave para cada riesgo estimado:

  • Probabilidad: la probabilidad de que se realizará una amenaza dada

  • Impacto: el grado de influencia en la organización cuando la amenaza se realiza

  • esfuerzo de recuperación: el esfuerzo necesario para la organización de recuperarse de realización amenaza

  • Valor del activo: El valor del activo, si la naturaleza de la amenaza realización requiere su sustitución

  • La mitigación de los controles: Los cambios que se pueden hacer para reducir la probabilidad, de impacto o esfuerzo de recuperación

Video: Indicadores del Sistema de Gestión de Seguridad y Salud en el Trabajo

  • El tratamiento del riesgo: Cuando una evaluación de riesgos se ha completado, la administración tiene una importante tarea por delante: para tomar decisiones formales sobre qué hacer con cada riesgo identificado. Sus opciones son

  • Aceptación: La administración decide que el nivel de riesgo es aceptable, y que nada hay que hacer para reducir la probabilidad o el impacto de los riesgos identificados.

  • Mitigación: Gestión opta por implementar algo que reducirá la probabilidad, de impacto o esfuerzo de recuperación asociado con un riesgo.

  • Evitación: Gestión decide suspender la actividad asociada con el riesgo.

  • Transferir: Gestión decide transferir el riesgo a otra parte, por lo general mediante la compra de una póliza de seguro adecuada, tales como seguro de riesgo cibernético.

    Video: SGSI - 04 Estándares de Gestión de la Seguridad de la Información

    • gobierno de la seguridad

    En el contexto de seguridad de la información, la gobernabilidad significa la promulgación de políticas, normas, directrices, procedimientos y controles para asegurar que se cumplan los resultados deseados.

    • políticas: declaraciones formales que describen lo que se requieren acciones y comportamientos, y que están prohibidos, en una organización. Éstas son algunas de las declaraciones de política ejemplo:

    • Los empleados no deben compartir las credenciales de acceso con cualquier otra persona dentro o fuera de la organización.

    • Los empleados no deberán utilizar dispositivos personales para el almacenamiento, procesamiento, o la gestión de información de la compañía sin la aprobación de la gestión.

    Video: SEGURIDAD Y SALUD EN EL TRABAJO-OHSAS 18001, LEY 29783-Modulo 4

  • normas: declaraciones formales que describen cómo se llevará a cabo la política de seguridad.

  • directrices: Declaraciones que proporcionan ideas sobre cómo se pueden implementar políticas y normas.

  • Procesos y procedimientos: Paso a paso descripciones de las actividades de trabajo llevadas a cabo por diversos miembros del personal en la organización.

  • controles: casos concretos de políticas, normas y pasos clave en los procesos y procedimientos que la administración ha determinado son esenciales para el buen funcionamiento y la seguridad de los procesos de negocio y sistemas de información.

    • auditoría interna y externa

    Organizaciones en muchas industrias están sujetas a auditorías externas, así como se requiere para llevar a cabo auditorías internas. El propósito de una auditoría es evaluar la eficacia de las políticas, estándares y controles de una organización.

    Una auditoría puede o no incluir un examen de los sistemas de información, incluyendo sus configuraciones, programas y permisos de acceso.

    La clasificación de datos

    La clasificación de datos es un conjunto de normas, procedimientos y controles para garantizar el manejo adecuado de la información sensible. La clasificación de datos se implementa normalmente mediante la definición de niveles de sensibilidad, junto con explicaciones detalladas sobre el manejo permitido y requerido de datos en cada nivel.

    La intención de la clasificación de datos es la protección de la información a un nivel correspondiente a su sensibilidad. Sería un desperdicio de recursos para proteger toda la información interna, como si se tratara de alto secreto. Por otro lado, la protección de toda la información confidencial no protegería adecuadamente la información más sensible.

    seguridad del personal

    Seguridad del personal representa el conjunto de actividades relacionadas con la seguridad que tienen lugar durante todo el ciclo de vida del empleado. Estas actividades incluyen

    • Cribado: Una verificación de antecedentes para asegurar que historial de empleo, educación y licencias profesionales del candidato se verifican, y que el candidato es libre de antecedentes penales no deseados.

    • incorporación: Los documentos empleado firma, incluyendo la no divulgación, la propiedad intelectual, no competencia, el reconocimiento y la política de seguridad, documentos. Otras actividades esenciales incluyen la formación de conciencia de seguridad e instrucciones sobre otras políticas.

      Video: Plan de Acción de Seguridad y Salud en el Trabajo

    • evaluación periódica: Anual reafirmación de cumplimiento de la política de seguridad y otras políticas clave.

    • Transferencia y promoción: La finalización de las actividades de incorporación de nuevas posiciones requeridas.

    • Terminación: Devolución de todos los activos de hardware y de información, reafirmación de no divulgación, la propiedad intelectual, y otros acuerdos.

    la formación de conciencia de seguridad

    La formación de personal en las políticas de seguridad, procedimientos y la seguridad informática es una parte esencial de la defensa integral de todas las organizaciones contra los incidentes de seguridad dañinos. conocido como la formación de conciencia de seguridad, los empleados son educados sobre las políticas y prácticas de seguridad de la organización.

    Muchas leyes y regulaciones requieren la formación de conciencia de seguridad, por lo que las organizaciones en general tienen que mantener registros precisos de que ha recibido esta formación.

    Muchos programas de capacitación de sensibilización de seguridad incluyen cuestionarios, para asegurar que los empleados entiendan lo que se espera.

    otros conceptos

    Varios conceptos relacionados con la seguridad son parte del vocabulario de todos los profesionales de la seguridad. Estos conceptos que guían sobre los problemas de seguridad de gestión adecuados que encontrará:

    • Tríada CIA: confidencialidad, integridad, y disponibilidad - los tres pilares de la seguridad. Todo lo que la profesión de InfoSec hace para proteger los activos de una organización y la información se reduce a estos.

    • Defensa en profundidad: Una estrategia para proteger los activos importantes rodeándolos de defensas por capas. Un intruso tendría que derrotar a varios defensas para alcanzar con éxito el activo protegido.

    • Punto único de fallo: Sistemas o equipos en los que un componente clave tiene ninguna copia de seguridad o la ruta alternativa. El cortafuegos es un punto único de fallo debido a que todo el sistema fracasaría si el servidor de seguridad ha fallado.

    • Dejar abierta / cerrada fallar: El resultado de un control si falla.

    Artículos Relacionados
    10 Reglas esenciales para la gestión del riesgo
    Elevar el perfil de la salud y la seguridad
    De nivel de entrada puestos de seguridad de la información
    Puestos de trabajo de seguridad de la información: legal, reglamentos, las investigaciones y el cumplimiento
    Seguridad de la información cumplimiento de la normativa y la privacidad: fisma
    Seguridad de la información cumplimiento de la normativa y la privacidad: hipaa, hitech, y sarbanes-oxley
    Normas de seguridad de la información: cobit y nist 800-53
    Normas de seguridad de la información: iso 27001
    Funciones de los puestos superiores en la gestión de seguridad de la información
    Lo que hay que saber acerca de cloud security alliance (csa) para un trabajo en seguridad de la información
    Linux: 2 partes de auditorías de seguridad informática
    Linux: auditorías de seguridad informática
    Desarrollar e implementar políticas, normas de seguridad, procedimientos y directrices documentadas
    Vulnerabilidades de seguridad del sistema de gestión de base de datos
    Establecer requisitos de manipulación para asegurar los datos
    Integrar las consideraciones de riesgos de seguridad en la estrategia y la práctica de adquisición
    Marcos de control de seguridad
    ¿Cómo crear una estrategia de seguridad informática en la nube
    Cómo crear un plan de seguridad informática en la nube
    Los cinco mejores protecciones de seguridad de dispositivos móviles