activos de la organización (la información es considerada como un activo intangible de la organización).
Definición
Activo de una empresa
Es cualquier bien, tangible o intangible, que pertenece a una empresa u organización.
Es necesario que la organización realice un inventario de todos sus activos. En este inventario, los activos deben estar correctamente identificados en un documento elaborado para ello y, además, deben ser identificados los propietarios de cada uno de ellos (cuya responsabilidad sobre los archivos también debe quedar reflejada en esta documentación).
En cuanto a la información, para asegurar un nivel de protección óptimo, hay que clasificarla según el grado de confidencialidad e importancia que tenga, permitiendo asignar un nivel de protección adicional a aquella información cuya importancia o confidencialidad sea mayor.
2.9. Seguridad ligada a los recursos humanos
Se establecen una serie de controles, que debe aplicar la organización para mantener la seguridad de la información, que prevengan un uso inadecuado de la información por parte de los empleados antes de trabajar en la empresa, durante su período de trabajo y una vez se ha extinguido su contrato de trabajo con la misma.
Para ello, se pone una especial atención a la necesidad de establecer una serie de obligaciones contractuales que comprometan a todos los empleados, contratistas, proveedores y demás usuarios a cumplir con unos compromisos, funciones y responsabilidades.
También se establece como control fundamental la definición y documentación específica de cada uno de los roles de los empleados y usuarios de la información, en concordancia con la política de seguridad de la organización.
2.10. Seguridad física y del entorno
Este capítulo describe una serie de controles que pueden servir para evitar el acceso físico no autorizado, daño o interferencia a las instalaciones y a la información de la organización.
Los medios físicos de procesamiento de información deben estar situados en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad y controles de entrada y salida apropiados. La información crítica y confidencial debe tener un mayor nivel de protección física ante accesos no autorizados y amenazas físicas y ambientales; por ejemplo, protección del sol directo o de exceso de polvo en oficinas con maquinaria, etc.
Aplicación práctica
En la empresa en la que trabaja le acaban de encomendar la evaluación de los distintos riesgos a los que se somete la empresa y el diseño de una serie de medidas y buenas prácticas para disminuir estos riesgos. En estos momentos se encuentra analizando los riesgos que puede haber al dejar entrar libremente a una persona externa de la organización. ¿Qué riesgo supondría este hecho? ¿Cómo lo evitaría?
SOLUCIÓN
El hecho de dejar entrar a cualquier persona sin ningún tipo de control pone en grave riesgo a la empresa, ya que esta persona puede acceder a información confidencial y hacer un mal uso de la misma. También puede manipular esta información libremente en perjuicio de la empresa. Para evitar estos riesgos, se recomienda establecer controles de entrada y salida (como, por ejemplo, registros de entrada y salida, establecimiento de sistemas de autenticación, etc.) de personas para que solo aquellos que estén autorizados puedan acceder a las zonas más vulnerables.
2.11. Gestión de las comunicaciones y operaciones
El objetivo aquí está en asegurar un correcto y seguro funcionamiento de los medios de procesamiento de la información. Para ello, hay que establecer los procedimientos de operación, detallando las personas responsables de cada uno de los pasos a seguir.
También se elaboran y documentan procedimientos de actuación por si surge cualquier tipo de incidencia, para reducir riesgos de negligencias o de un mal uso del sistema de información.
También es importante tratar la gestión de la información con terceros, indicando que las organizaciones deben mantener el nivel de seguridad apropiado de la información, además de cumplir con la entrega de los servicios, siguiendo los requerimientos descritos entre la organización y el tercero en el acuerdo de entrega del servicio.
Unos ejemplos de procedimientos operativos recomendados (tanto a nivel interno como externos) son los siguientes:
1 Control de los cambios en los medios de procesamiento de la información. Identificación y registros de cambios significativos.
2 Realización de copias de seguridad o backups, definiendo el nivel necesario de respaldo de cada información.
3 Segregación de las responsabilidades.
4 Establecer controles nuevos para solucionar incidentes de la seguridad de la información y para mejorar la seguridad.
5 Establecer una política formal que prohíba el uso de software que no esté autorizado.
6 Realizar revisiones periódicas del software.
7 Implementación de controles para garantizar la seguridad de la información en las redes.
8 Establecer acuerdos de intercambio de información con terceros.
Nota
Las responsabilidades deben estar segregadas entre distintos miembros de la organización para reducir las posibilidades de un mal uso de los activos de la entidad.
2.12. Control de acceso
Se debe establecer una serie de procedimientos formales que sirvan para asegurar el acceso del usuario autorizado y, por otro lado, evitar el acceso no autorizado a los sistemas de información de la organización.
Algunas de las medidas que se proponen son las siguientes:
1 Asegurar solo los accesos autorizados mediante el uso de identificadores (o IDs) de usuarios únicos, definiendo distintos niveles de acceso, permitiendo el uso de IDs grupales solo cuando sea estrictamente necesario.
2 Eliminar o bloquear los derechos de acceso a los usuarios que han cambiado de puesto o que han finalizado su relación contractual con la organización.
3 Controlar la asignación de claves secretas mediante un proceso de gestión formal.
4 Revisar formalmente, por parte de la gerencia, los derechos de acceso de los usuarios de modo periódico.
5 Mantener a los usuarios informados y advertidos de una correcta utilización de claves secretas
