Politicas de Seguridad Tarea 9
Politicas de Seguridad Tarea 9
Politicas de Seguridad Tarea 9
La política de seguridad define qué es lo que desea proteger y qué espera de los usuarios
del sistema. Proporciona una base para la planificación de la seguridad al diseñar nuevas
aplicaciones o ampliar la red actual.
Cuando cree y desarrolle una política de seguridad, deberá tener claros los objetivos. Los
objetivos de seguridad entran dentro de una o más de estas categorías:
Estándares de seguridad
Esta norma se puede utilizar para apoyar la implantación del SGSI en cualquier tipo de
organización, pública o privada, de pequeño o gran porte, con o sin fines de lucro; y no
sólo en las empresas de tecnología.
Es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos
que puedan complicar la seguridad de la información de su organización. No recomienda
una metodología concreta, dependerá de una serie de factores, como el alcance real del
Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la
propia industria.
Gracias a esta norma se pueden seguir unas pautas para gestionar riesgos en Tecnologías
de la Información, tales como aquellos originados por aplicaciones en condiciones
vulnerables, sistemas operativos sin actualizaciones o tecnologías obsoletas.
La ISO 27014 admite que existe influencia del factor humano en la seguridad a través del
apoyo a la prestación de la seguridad, formación, educación y sensibilización mediante el
Consejo de Administración. El Consejo de Administración es aquella persona que es
responsable tanto en la ejecución como en el cumplimiento de la organización.
La norma ISO 27017 proporciona una guía con 37 controles en la nube basados en
ISO 27002. Además, ofrece siete nuevos controles en la nube que tratan los siguientes
puntos:
La norma ISO 27017 permite estandarizar las relaciones entre los clientes y los
proveedores de servicios en la nube mediante un modelo de análisis e intercambio común,
facilitando así su gestión. Las empresas que se ajustan a la norma ISO 27017 permiten
que los usuarios de sus servicios disfruten de unas mejores garantías de seguridad.
Al igual que la norma ISO 27017, esta norma también complementa las medidas de
seguridad establecidas por la norma ISO 27002, pero en el marco del tratamiento de
información de carácter personal. Las medidas de seguridad de la norma ISO 27018 son
relevantes en el contexto de los servicios de software (SaaS) que procesan información
personal y tienen una aplicación limitada en el caso de nuestros servicios de
infraestructura.
Entre las medidas innovadoras recogidas por la norma ISO 27018 podemos ver las
siguientes:
Con esta norma se ha creado un nuevo marco para mejorar la seguridad en internet y está
totalmente orientado a intentar garantizar un entorno seguro a través de directrices y guías
de seguridad.
La norma ISO 38500 establece los principios y el modelo básico para el Gobierno de TI
en las organizaciones. Los principios incluyen responsabilidad, estrategia, adquisición,
rendimiento, conformidad y factor humano. La norma también define tres tareas
fundamentales para la alta dirección: evaluar, dirigir y monitorear. Además, establece una
guía general de las prácticas requeridas para implementar los principios, relacionándolos
con las tareas fundamentales de la alta dirección.
Conclusión