Madrid, 15 de Septiembre de 2005
Cómo abordar la Seguridad en los Sistemas de Información
Todos conocemos infinidad de ejemplos desde virus, ataques desde Internet o fallos de seguridad física (recordemos el caso de Iberia el 8 de Noviembre del 2002, en el que se produjo un incendio por sobrecarga en La Muñoza (Madrid), su central a nivel mundial, que provocó retrasos de todos sus vuelos, paralización de las operaciones de facturación y embarque, … )
¿Qué soluciones tenemos? Ante todo, entender que la Seguridad es un proceso, no un producto.
En este proceso, se utilizan medidas de varios tipos: desde adoptar políticas y procedimientos, implantar medidas técnicas con productos, gestionar todos los incidentes de seguridad y auditorías contínuas.
Debe ser abordada de manera global: diagnóstico inicial de la seguridad, plan director de seguridad y abordar proyectos parciales.
El Plan Director de Seguridad:
Las fases de un plan director de seguridad son:
Fase 1: Diagnóstico de la situación
- Conocer la organización, áreas funcionales y procesos de negocio
- Identificar activos, realizar entrevistas
- Evaluar la seguridad de comunicaciones, sistemas, aplicaciones
Fase 2: Análisis de riesgos
- Análisis de las amenazas y vulnerabilidades
- Identificación, cálculo y clasificación de riesgos
Fase 3: Grado de cumplimiento UNE/ISO 17799
- Informe de cumplimiento de cada uno de los 10 capítulos
Fase 4: Plan de proyectos de seguridad
- Agrupar las vulnerabilidades y definir proyectos a acometer
- Clasificar y valorar proyectos a corto, medio y largo
Fase 5: Gestión de los riesgos
- Disminuir con proyectos, externalizar con seguros o asumir.