Noticias de Seguridad Informática - Segu-Info

Cargando...

viernes, 16 de julio de 2010

16:24:00

Mini-SGSI

Hay muchas organizaciones que piensan que implantar un SGSI es demasiado esfuerzo, o una tarea demasiado complicada para ellas. El problema de estas organizaciones es que acaban asumiendo que la gestión de la seguridad es algo inabordable para ellas, sin darse cuenta de que es posible aplicar unos pocos principios que permitan, sin el "esfuerzo" de montar un SGSI completo, obtener importantes mejoras en materia de seguridad con una dedicación asumible por la mayor parte de las organizaciones. La idea es, sencillamente, aplicar los principios que subyacen en una ISO 27001 y "olvidarse" de las exigencias y formalismos derivados de su cumplimiento estricto.
Las pautas que debería seguir una organización para "implantar" un "mini-SGSI" son las siguientes:

1. Nombrar a una persona (responsable de seguridad) encargada de lo siguiente:
  • Que se apliquen las medidas de seguridad definidas.
  • Que los problemas (incidentes) de seguridad se resuelvan.
2. Aplicar las siguientes medidas de seguridad informática:
  • Hacer backups al menos semanales.
  • Que todos los usuarios tengan un identificador de usuario personalizado.
  • Que las contraseñas sean robustas (al menos alfanuméricas de 8 caracteres) y se cambien trimestralmente.
  • Aplicar controles de acceso a las carpetas y aplicaciones.
  • Utilizar productos antivirus actualizados.
  • Que se realicen tareas de mantenimiento informático.
3. Aplicar las siguientes medidas de seguridad contractual:
  • Conseguir que el personal firme una cláusula de confidencialidad.
  • Incluir cláusulas de confidencialidad en los contratos con proveedores y clientes.
4. Realizar una revisión anual de la seguridad.

5. Reunir una vez al año al comité de dirección (u organismo equivalente) y al responsable de seguridad para tratar los siguientes temas:
  • Analizar los resultados de la revisión de seguridad.
  • Valorar la importancia de la disponibilidad y la confidencialidad de las actividades de negocio.
  • Analizar los problemas de seguridad potenciales que podrían tener las actividades de negocio valoradas, centrándose en las que se ha identificado que la disponibilidad y/o la confidencialidad son importantes.
  • Analizar los problemas (incidentes) de seguridad que ha habido y las soluciones adoptadas.
  • Definir, en función de los análisis y valoraciones anteriores, las nuevas medidas de seguridad que se consideren necesarias.
Siguiendo estas 5 simples pautas de actuación, cualquier organización está en condiciones de llevar a cabo una gestión eficiente y eficaz de su seguridad, y al mismo tiempo incorporará los elementos básicos sobre los que constituir, si en un futuro lo requiere, un completo sistema de gestión de la seguridad.

Fuente: INTECO

Compartir
Publicado por www.segu-info.com.ar a las 16:24:00-Permanente -
Etiquetas: , ,
Posts Relacionados:

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!

Suscribirse a: Comentarios de la entrada (Atom)

Aquí y Ahora

 
 Widget de Google 

Acerca de Segu-Info

Segu-Info es un emprendimiento personal de Lic. Cristian Borghello CISSP - MVP que brinda información sobre Seguridad de la Información desde el año 2000. Segu-Info es la Comunidad de Seguridad de la Información más grande de habla hispana. Todos los contenidos de este sitio se encuentran bajo Licencia Creative Commons a menos que se indique lo contrario. Cristian Borghello no se hace responsable del contenido o comentarios de terceros.

  ©Template desarrollado por Dicas Blogger y Adaptado por SoloE para Segu-Info - 2009