Plan director seguridad

Plan Director

 

Plan director seguridad

El desarrollo de un Plan Director de Seguridad tiene como objeto determinar los proyectos que deben ser acometidos por la Organización a corto, medio y largo plazo para garantizar una correcta gestión de la seguridad de la información y evitar la materialización de incidentes de seguridad que podrían afectar de forma negativa a la misma. El Plan Director de Seguridad se define en base a la estrategia de negocio de la Organización y sus necesidades específicas, de modo que la identificación de procesos de negocio y activos que los soportan constituye un aspecto fundamental durante su desarrollo.

Para el desarrollo del Plan Director de Seguridad se consideran tanto los aspectos organizativos como los aspectos procedimentales, técnicos y humanos asociados con la seguridad de los sistemas de información. En el marco de su desarrollo se toma como base la Norma ISO 27002: “Código de Buenas Prácticas para la Gestión de la Seguridad de la Información” (antigua Norma ISO/IEC 17799:2005), así como todas aquellas normativas y estándares que resulten aplicables de forma específica a la organización, como la legislación vigente en materia de protección de datos de carácter personal, el estándar PCI DSS o COBIT, entre otros. Se realiza, asimismo, un análisis técnico de vulnerabilidades, mediante la realización de tests de intrusión internos y externos.

El Plan Director de Seguridad permite establecer un plan de proyectos a corto, medio y largo plazo, así como identificar proyectos del tipo “Quick Wins” (proyectos que requieren una escasa inversión pero que suponen una mejora significativa de la gestión de la seguridad). Para cada uno de los proyectos que constituyen el Plan Director de Seguridad se establecen las medidas concretas a adoptar, así como las prioridades de implantación, fechas, costes y recursos necesarios, con objeto de facilitar la efectiva implantación de los mismos por parte de la Organización.

Evaluación de Seguridad de los Sistemas de Información

El servicio de Evaluación de la Seguridad de los Sistemas de Información (ESSI) tiene por objeto realizar un análisis de la seguridad de los sistemas de la Organización, con objeto de determinar las acciones y medidas que deberían ser implantadas en relación a la seguridad de la información con objeto de establecer las bases para garantizar una correcta gestión de la misma. El desarrollo de la Evaluación de Seguridad se realiza tomando como base la Norma ISO/IEC 27002:2005, “Código de Buenas Prácticas para la Gestión de la Seguridad de la Información”, que establece una serie de directrices básicas para la gestión de la seguridad de la información, con el fin de garantizar la confidencialidad, integridad y disponibilidad de la información objeto de tratamiento en la Organización y evitar la materialización de incidentes que podrían afectar a la misma.

El objetivo de la Evaluación de Seguridad es conocer el nivel de seguridad que ofrecen los sistemas de información de la Organización, mediante la identificación de los controles y medidas de seguridad actualmente implantados, así como identificar y seleccionar los controles que deberían ser implantados para reducir los riesgos de una posible pérdida de confidencialidad, integridad o disponibilidad de la información. Como resultado de la Evaluación de la Seguridad se obtiene un Plan de Acción en el que se detallan los controles y medidas de seguridad que resulta necesario implantar para garantizar una correcta gestión de la seguridad de la información por parte de la Organización.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s