1. Libros y videos
  2. Resiliencia cibernética en la empresa
  3. Gestión de la seguridad de la información
Extrait - Resiliencia cibernética en la empresa Retos, normas y buenas prácticas
Extractos del libro
Resiliencia cibernética en la empresa Retos, normas y buenas prácticas Volver a la página de compra del libro

Gestión de la seguridad de la información

Introducción

Este capítulo se basa en el tema de la gestión de la seguridad de la información, con una presentación de un SGSI y su implantación: metodología para la redacción de procesos/procedimientos/instrucciones, estructuración dentro de un sistema de gestión utilizando la herramienta Confluence (Atlassian), gestión del SGSI.

Objetivo

El objetivo de un SGSI es proteger a la organización en cuestión y mejorar esta protección en los ámbitos de la confidencialidad, la integridad y la disponibilidad de la información. La aplicación de controles de seguridad fomenta la confianza entre las partes interesadas. Por último, un SGSI sólido y eficaz garantiza el cumplimiento del marco legal (ISO/IEC 27001).

El SGSI es un marco de referencia que comprende temas obligatorios para garantizar la protección de la información, de acuerdo con los objetivos definidos previamente por la organización:

  • Directrices

  • Políticas

  • Proceso

  • Procedimientos

  • Cualquier recurso asociado (instrucciones, procedimientos operativos, documentos modelo, tutoriales, enlaces documentales externos, etc.).

Este marco debe ser adoptado por toda la organización, de lo contrario habrá problemas con la gobernanza de la organización y se reducirán los riesgos para la seguridad de la información.

Es importante aspirar a la implantación de un SGSI operativo y no de mera fachada: patrocinio sin fisuras de la dirección general (lo ideal es que la orden de implantar un SGSI provenga del más alto nivel de responsabilidad), del personal (RRH, CFO, ITD, CTO, DIRCO, Marketing, Licitaciones, etc.), de los responsables locales y de los agentes implicados (ingenieros, técnicos, auxiliares, comerciales...

Contenido de la SGSI

1. Aplicación del SGSI

La implantación de un SGSI sigue tres etapas secuenciales:

  • Etapa 1: evaluación de la madurez, para conocer la situación de la organización con respecto a la SI y los requisitos de la norma ISO IEC 27001. Esta fase crucial proporciona un inventario de la situación y un mapa de los elementos que faltan, lo que permite definir el plan de acción necesario para su corrección (plan de acción organizativo, estratégico y técnico con los recursos asociados). Esta fase suele implicar la formación previa de las partes interesadas en el SGSI, con una duración media de dos días. Se recomienda encarecidamente nombrar lo antes posible al jefe de proyecto del SGSI, a menudo el CISO, y formarlo en la aplicación de la norma ISO IEC 27001 (formación de Lead Implementor), así como a un auditor con la formación adecuada (Lead Auditor). Esta primera fase también ofrece la oportunidad de comprobar que la alta dirección respalda el proyecto y de comunicar el plan de implantación.

  • Etapa 2: implantación y funcionamiento, que permite poner en práctica el plan de implantación y hacer funcionar el SGSI. Es necesario situarse en un contexto de certificación y, por tanto, ser capaz de dar vida al SGSI durante al menos un año antes de la certificación. Esta fase debe contar...

Centrarse en el proceso de gestión de crisis

1. Presentación del proceso

El proceso de gestión de crisis es especial y particularmente crítico.

Ejemplo de proceso de gestión de crisis del SSI

Archivo de documentos

Tipo de documento

Proceso

Validación informal

Fecha :

Por :

Distribución informal

Interno

Última revisión

Fecha :

Por :

Propietario

CISO

Última grabación

Fecha :

Por :

Referencia del documento

PRSS-410-Gestión de crisis

Ubicación

Confluence

Definición de gestión de crisis

La gestión de crisis puede definirse como una situación repentina, a menudo brutal, inesperada y con consecuencias potencialmente graves para la empresa, para la que los mecanismos y reacciones habituales resultan inadecuados.

Finalidad del proceso

Gestión de las situaciones de crisis del SSI en la organización.

Objetivos del proceso

  • Movilizar los recursos y medios excepcionales necesarios para la gestión de crisis.

  • Mejorar la toma de decisiones.

  • Adaptar las respuestas a la situación.

  • Adaptar los niveles de escalada en función de la gravedad.

  • Reducir el impacto de la crisis en la organización y los clientes de la empresa.

  • Limitar el número de casos de crisis mejorando continuamente las prácticas de gestión de incidentes.

La organización debe:

  • Definir los retos y sensibilizar a los recursos sobre la gestión de crisis.

  • Planificar y anticipar escenarios y disposiciones para la gestión de crisis.

  • Cuando se produce una crisis:

  • analizar la situación y sus repercusiones,

  • organizar y coordinar acciones,

  • movilizar los conocimientos necesarios para una gestión eficaz de las crisis,

  • comunicar, tranquilizar y calmar.

  • Después de la crisis:

  • gestionar el final de la crisis y la vuelta a la normalidad,

  • tomar las medidas necesarias para conservar los rastros y registrar las acciones, 

  • recoger y archivar pruebas con fines forenses.

Actividades del proceso

  • Fase de seguimiento

  • Fase de activación

  • Fase operativa

  • Fase de consolidación

2. Descripción del proceso

a. Fase de seguimiento

En condiciones normales de funcionamiento, la gestión de crisis proporciona un marco permanente para la toma de decisiones dentro de la organización. Además, en el marco de su función de responsable de la gestión de crisis, el responsable...

Aplicación con Confluence

Confluence es una herramienta interesante para implantar un sistema de gestión de tipo ISO. Se trata de una aplicación informática basada en web que permite redactar documentos del SGSI en forma de páginas wiki. El motor de búsqueda y numerosos plugins (flujo de trabajo, diagramas, etc.) pueden utilizarse para mejorar todo el SGSI. El producto puede instalarse en un servidor en modo on-premise (suscripción anual con un mínimo de 500 usuarios, a un coste de unos 45.000 euros al año) o puede accederse directamente en modo SaaS (más barato, empezando por 10 usuarios).

1. Carta de compromiso con la SGSI

Esta carta es fundamental. Es el documento fundacional que justifica el enfoque de calidad para lograr el SGSI. Debe estar firmada por la alta dirección, demostrando así la implicación al más alto nivel de la empresa.

Ejemplo

Archivo de documentos

Tipo de documento

Política

Validación

Fecha:

Por:

Distribución informal

Interno

Última revisión

Fecha: 6 de enero de 2023

Por: Responsable de calidad

Propietario

Director de Calidad

Última inscripción

Fecha : 28 de abril de 2023

Por: CISO

Referencia del documento

POLI-I-001-DQUAL-Política de calidad en apoyo del SGSI

Ubicación

Confluence

Índice

  • Compromiso de la alta dirección con la implantación de un SGSI.

  • Perímetro del SGSI.

  • Compromiso del Director General Adjunto de Recursos.

  • Recursos y medios comprometidos.

  • Responsabilidades.

Compromiso del Departamento de TI para implantar un SGC

Mi Linda Nube ofrece servicios soberanos de computación en nube (IaaS, PaaS, SaaS) a sus clientes corporativos y autoridades locales. Su misión principal es comercializar los servicios de su catálogo, producir los servicios y mantenerlos en condiciones operativas.

La fábrica informática, compuesta por una serie de recursos digitales (infraestructura de sistemas y redes, aplicaciones empresariales, aplicaciones ofimáticas colaborativas, sistema de visualización de datos, etc.), permite ofrecer recursos digitales por cuenta de sus clientes. En este contexto de necesidad de confianza en las herramientas digitales, el personal de Mi Linda Nube debe implantar un sistema de gestión de la calidad de sus propias actividades, orientado en particular a:

  • prestar un servicio...

Gestión de aplicaciones

En el ámbito de la gestión de las aplicaciones, es esencial implantar un mapa de aplicaciones mediante un software específico que ofrezca una visión completa de esta parte del SI:

  • Lista de aplicaciones

  • Descripción de cada aplicación

  • Funcionamiento entre aplicaciones

  • Enlace con la infraestructura (sistema, red, almacenamiento, middleware, etc.)

  • Análisis de impacto (¿cuál es el impacto si detengo una aplicación concreta?)

  • etc.

Dos documentos parecen ineludibles:

  • La ficha descriptiva de la solicitud (FDS), verdadero documento de identidad de la solicitud.

  • El Plan de Seguridad de la Aplicación (PSA), una guía metodológica en caso de caída total de la aplicación durante un periodo incierto e inicialmente largo (en caso de ciberataques). La idea es utilizar este plan para operar sin aplicación, con papel y lápices.

1. Ficha de datos de la solicitud (FDS)

Ejemplo de modelo FDS (para ser instanciado por la aplicación):

a. General

Nombre de la aplicación :

Direction:

Características principales:

 

Fecha

Editorial

 

Creación

 

Validación

 

Fecha de la última actualización

 

Fecha de la primera publicación de la aplicación

 

b. Contexto

Interesados

Descripción

DSI

 

Direcciones

 

Usuarios internos (empleados, funcionarios, etc.)

 

Usuarios externos (clientes, usuarios, etc.)

 

Proveedores de servicios

 

c. Principales riesgos

Riesgos identificados

Medidas correctoras

 

 

 

 

 

 

 

 

d. Propietarios

Actores

Descripción

Número de contacto

Gestor de aplicaciones

 

 

Desarrolladores

 

 

Gestor de proyectos informáticos

 

 

Directores funcionales

 

 

Gestor de proyectos para clientes

 

 

Contacto con proveedores de servicios (editores, revendedores, etc.)

 

 

e. Guía del usuario

 

Enlaces

Manual del usuario

 

Videotutorial para usuarios

 

Procedimientos de instalación

 

Otros documentos

...

 

Módulos de aplicación

Descripción

Enlace a otras FDS

 

 

 

 

 

 

 

 

 

f. Interacciones

Aplicaciones / interfaces asociadas

Descripción

Enlaces documentales

 

 

 

g. Contrato...