Gestión De La Seguridad De La Información
El propósito de la práctica de gestión de seguridad de la información es proteger la información que necesita la organización para llevar a cabo su negocio. Esto incluye comprender y gestionar los riesgos para la confidencialidad, la integridad y la disponibilidad de la información, así como otros aspectos de la seguridad de la información, como la autenticación (garantizar que alguien sea quien dice ser) y el no repudio (garantizar que alguien no pueda negar que tomaron una acción). La seguridad requerida se establece mediante políticas, procesos, comportamientos, gestión de riesgos y controles, que deben mantener un equilibrio entre:
Prevención Asegurar que no se produzcan incidentes de seguridad.
Detección Detección rápida y confiable de incidentes que no se pueden prevenir.
Corrección Recuperación de incidentes después de su detección.
También es importante lograr un equilibrio entre proteger a la organización del daño y permitirle innovar. Los controles de seguridad de la información que son demasiado restrictivos pueden hacer más daño que bien, o pueden ser eludidos por personas que intentan hacer el trabajo más fácilmente. Los controles de seguridad de la información deben considerar todos los aspectos de la organización y alinearse con su apetito por el riesgo. La gestión de la seguridad de la información interactúa con todas las demás prácticas. Crea controles que cada práctica debe considerar al momento de planificar cómo se realizará el trabajo. También depende de otras prácticas para ayudar a proteger la información. La gestión de la seguridad de la información debe ser impulsada desde el nivel más alto de la organización, con base en requisitos de gobierno y políticas organizacionales claramente entendidos. La mayoría de las organizaciones cuentan con un equipo de seguridad de la información dedicado, que lleva a cabo evaluaciones de riesgos y define políticas, procedimientos y controles. En entornos de alta velocidad, la seguridad de la información se integra tanto como sea posible en el trabajo diario de desarrollo y operaciones, cambiando la confianza en el control del proceso hacia la verificación de condiciones previas como la experiencia y la integridad. La seguridad de la información depende de manera crítica del comportamiento de las personas en toda la organización. El personal bien capacitado y que presta atención a las políticas de seguridad de la información y otros controles puede ayudar a detectar, prevenir y corregir incidentes de seguridad de la información. El personal mal capacitado o insuficientemente motivado puede ser una gran vulnerabilidad. e requieren muchos procesos y procedimientos para respaldar la gestión de la seguridad de la información. Éstos incluyen:
Un proceso de gestión de incidentes de seguridad de la información
Un proceso de gestión de riesgos
Un proceso de revisión y auditoría de control
Un proceso de gestión de identidad y acceso
Gestión de eventos
Procedimientos para pruebas de penetración, escaneo de vulnerabilidades, etc.
Procedimientos para administrar cambios relacionados con la seguridad de la información, como cambios en la configuración del firewall.