Beruflich Dokumente
Kultur Dokumente
Integridad: la informacin del sistema ha de estar disponible tal y como se almacen por
un agente autorizado.
Autenticidad: el sistema ha de ser capaz de verificar la identidad de sus usuarios, y los
usuarios la del sistema.
Confidencialidad: la informacin slo ha de estar disponible para agentes autorizados,
especialmente su propietario.
Posesin: los propietarios de un sistema han de ser capaces de controlarlo en todo
momento; perder este control en favor de un usuario malicioso compromete la seguridad
del sistema hacia el resto de usuarios.
Criterios
Para cubrir de forma adecuada los elementos anteriores, con el objetivo permanente de
garantizar la seguridad corporativa, una poltica se suele dividir en puntos ms concretos
a veces llamados criterios. Ellas definen las siguientes lneas de actuacin:
Seguridad organizacional. Aspectos relativos a la gestin de la seguridad dentro de la
organizacin (cooperacin con elementos externos, outsourcing, estructura del rea de
seguridad).
Clasificacin y control de activos. Inventario de activos y definicin de sus mecanismos
de control, as como etiquetado y clasificacin de la informacin corporativa.
Seguridad del personal. Formacin en materias de seguridad, clusulas de
confidencialidad, reporte de incidentes, monitorizacin de personal.
Seguridad fsica y del entorno. Bajo este punto se engloban aspectos relativos a la
seguridad fsica de los recintos donde se encuentran los diferentes recursos - incluyendo
los humanos - de la organizacin y de los sistemas en s, as como la definicin de
controles genricos de seguridad.
Gestin de comunicaciones y operaciones. Este es uno de los puntos ms interesantes
desde un punto de vista estrictamente tcnico, ya que engloba aspectos de la seguridad
relativos a la operacin de los sistemas y telecomunicaciones, como los controles de red,
la proteccin frente a malware, la gestin de copias de seguridad o el intercambio de
software dentro de la organizacin.
Controles de acceso. Definicin y gestin de puntos de control de acceso a los recursos
informticos de la organizacin: contraseas, seguridad perimetral, monitorizacin de
acceso.
Desarrollo y mantenimiento de sistemas. Seguridad en el desarrollo y las aplicaciones,
cifrado de datos, control de software.
Gestin de continuidad de negocio. Definicin de planes de continuidad, anlisis de
impacto, simulacros de catstrofes.
Requisitos legales.