políticas de escritorio limpio. Por ejemplo, la información confidencial o crítica debe ser guardada bajo llave cuando no está siendo utilizada.7 Controlar el acceso a los servicios de redes internas y externas, evitando el acceso no autorizado a los servicios de la red.
8 Restringir el acceso a los sistemas operativos solo a los usuarios autorizados, mediante sistemas de autenticación apropiados y el registro de los usos del sistema.
9 Establecimiento y adopción de medidas de seguridad que protejan contra los riesgos de utilizar medios de computación y comunicación móvil.
10 Establecimiento y definición de procedimientos de las actividades de teletrabajo.
Actividades
1. Señale si considera adecuadas las medidas recomendadas para el control de acceso de usuarios autorizados, y proponga medidas adicionales.
2.13. Adquisición, desarrollo y mantenimiento de los sistemas de información
El diseño e implementación del sistema de información es vital para la seguridad. Por ello, es necesario garantizar que la seguridad sea una parte integral de los sistemas de información.
Para que esta garantía sea real, antes de desarrollar e implementar los sistemas de información es necesario identificar y acordar los distintos requerimientos de seguridad de cada área de la organización implicada en dicha implementación. La identificación de los requisitos de seguridad se realiza en la fase de requerimientos de un proyecto.
2.14. Gestión de incidentes de seguridad de la información
Cualquier incidente o debilidad que afecte a la seguridad de la información debe ser comunicado correctamente a los responsables del establecimiento de las medidas correctivas oportunas.
Para ello, se necesita establecer procedimientos formales de reporte en los que se especifiquen qué hay que comunicar, a quién, cómo y cuándo hay que hacerlo. Aparte, estos procedimientos deben estar en conocimiento de todos los usuarios implicados en la gestión de la información.
Con estas medidas se pretende que la organización aprenda de los errores cometidos mediante la realización de un seguimiento y supervisión de cada incidencia. Así, no solo se supervisa una rápida respuesta ante incidencias, sino que también se controla el procedimiento de resolución de las mismas y su resolución final.
2.15. Gestión de la continuidad del negocio
La gestión de la continuidad del negocio debe tener incluida la seguridad de la información, ya que cualquier fallo en la seguridad puede influir negativamente en la estabilidad de la organización y llegar a provocar auténticas debacles.
Definición
Continuidad del negocio
Conjunto de procesos de una organización que minimizan el impacto de una interrupción de la organización, para poder continuar con su actividad normal en el menor plazo posible.
Por ello, es necesario identificar los procesos críticos que afecten a la continuidad del negocio e integrar en ellos los requerimientos de gestión de la seguridad de la información, implantar controles preventivos que minimicen los riesgos y establecer medidas que permitan continuar con la actividad de la organización (asegurando que la información esté siempre disponible para los procesos comerciales) en el momento en el que se produzca cualquier incidencia.
2.16. Cumplimiento
El objetivo de este apartado consiste en evitar cualquier incumplimiento legal, estatutario, regulador o contractual, y cualquier requerimiento de seguridad.
En el uso y gestión de los sistemas de información pueden verse implicados requerimientos de seguridad estatutarios, reguladores y contractuales.
Para garantizar el cumplimiento de estos requerimientos y de la legislación aplicable, se recomienda consultar con asesores y profesionales legales calificados y realizar auditorías de los sistemas de información de forma periódica. Con ello, se garantiza que la gestión de la seguridad de la información esté adaptada correctamente a la normativa vigente (especialmente en temas de protección de datos de carácter personal y de propiedad intelectual).
Actividades
2. Busque y lea con más detalle la normativa ISO/IEC 27002. Señale qué capítulos considera más relevantes y por qué.
3. Metodología ITIL. Librería de infraestructuras de las tecnologías de la información
Se puede decir que la antigüedad de las tecnologías de la información (TI) es bastante notable. No obstante, su integración en los distintos procesos de gestión de las organizaciones y de los negocios ha hecho que cobren una importancia estratégica relevante e imprescindible para la buena marcha de un negocio.
Hasta hace pocos años, las tecnologías de la información y las estructuras informáticas se limitaban a dar apoyo a las distintas áreas de un negocio. Sin embargo, en la actualidad han cobrado suma importancia y en lugar de dar apoyo a las áreas de negocio han pasado a formar parte de las mismas, integrándose en ellas.
La Biblioteca de Infraestructura de Tecnologías de Información (ITIL o Information Technology Infrastructure Library) se concibe como un conjunto de buenas prácticas dirigidas a alcanzar una correcta gestión de los servicios TI.
En ella, se describen detalladamente procedimientos de gestión que servirán para:
1 Aumentar la eficiencia de las organizaciones.
2 Lograr una gestión de la calidad adecuada.
3 Disminuir los riesgos relacionados con las TI.
4 Desarrollar conjuntamente los procesos de negocio y la infraestructura de las TI.
Nota
La Biblioteca de Infraestructura de Tecnologías de Información (ITIL) se considera el estándar mundial en la gestión de servicios informáticos.
3.1. Historia de la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL)
La Biblioteca de Infraestructura de Tecnologías de la Información se desarrolló sobre 1980, aunque no fue hasta mediados de los años noventa cuando tuvo una mayor adopción y estandarización.
La iniciativa de su elaboración y desarrollo la
