Se tiene que establecer una
estructura de gestión en a que iniciar y controlar toda la implementación de Seguridad
de la Información dentro de la organización.
Resulta muy conveniente organizar
los diferentes debates sobre la gestión que sean adecuados para la gerencias
para aprobar la política de seguridad de la información, asignar las
responsabilidades y coordinar toda la implementación de la seguridad en
todos los niveles de la empresa.
Si fuera necesario se debería
facilitar el acceso dentro de la organización a un equipo experto de
consultores que se encuentren especializados en Seguridad de la
Información. Ya que deben llevarse a cabo diferentes contactos con los
especiales externos en seguridad para estar al día de todas las tendencias de
la industria, la evolución de las normas y lo métodos de evaluación, además
debe tener
un punto de enlace para tratar las incidencias de seguridad.
Comité de Gestión de Seguridad de la Información:
La gerencia tiene que apoyar de
forma activa la seguridad dentro de su propia organización mediante ordenes
claras que demuestran compromiso, asignaciones explicitas y reconocimiento de
las responsabilidades de la Seguridad de la Información.
El comité debe realizar las
siguientes funciones:
- Asegurar que las metas de la seguridad de información sean identificadas, relacionadas con la exigencias de la organización y que sean integradas en procesos relevantes.
- Debe formular, revisar y aprobar la política de Seguridad de la Información.
- Se tiene que proveer de direcciones claras y un gran apoyo durante la gestión de iniciativas de seguridad.
- Tiene que facilitar todos los recursos necesarios para llevar a cabo la Seguridad de la Información en su organización.
- Se tienen que aprobar las diferentes asignaciones de roles específicos y los responsables del Sistema de Seguridad de la Información.
- Se tienen que asegurar que la implementación de los diferentes controles para la Seguridad de la Información se encuentra coordinada por la propia empresa.
Coordinación de la Seguridad de la Información:
La información obtenida de las
actividades de seguridad tienen que estar perfectamente coordinadas
por los representantes de las diferentes áreas de la organización que cuentan
con diferentes roles y funciones de trabajo.
La coordinación de la Seguridad
de la Información, ISO27001, tiene que implicar la cooperación y la
colaboración entre gerentes, clientes, administradores, diseñadores, personal
que realiza la auditoría, y habilidades especiales en áreas como son los
seguros, los recursos humanos, los trámites legales, la tecnología de la
información y la gestión del riesgo.
Asignación de responsabilidades sobre Seguridad de la Información:
Se tienen que definir de forma
clara todas las responsabilidades. Esta asignación de responsabilidades sobre Seguridad
de la Información tiene que hacerse en concordancia con la información de
la política de seguridad. Todas las responsabilidades sobre la protección de
activos individuales y las que llevan a cabo procesos de seguridad específicos
tiene que estar claramente definidas.
Se tienen que definir de una
forma clara todas las responsabilidades locales para activos físicos y de
información individualizados y los procesos de seguridad, como puede ser el
plan de continuidad del negocio.
Software ISO 27001:
El Software ISO 27001 para
la Seguridad de la Información se encuentra compuesta por diferentes
aplicaciones que, al unirlas, trabajan para que la información que manejan las
empresas no pierda ninguna de sus propiedades más importantes.
No hay comentarios:
Publicar un comentario