PROCESO DE LA SEGURIDAD DE INFORMACION

OBJETIVO DEL PROCESO

El objetivo del proceso es gestionar la seguridad de la información de manera eficaz para todas
las actividades del servicio.

DIAGRAMA DEL PROCESO

En el diagrama del proceso se recogen sus entradas (requisitos, recursos), actividades que
realiza el proceso, salidas (registros y evidencias) y puntos de control del proceso.

Punto de
control

Análisis de
riesgo,
incidencias de
seguridad.

REQUISITOS SERVICIOS Y PRODUCTOS

 Requisitos de seguridad y  Política de seguridad.
objetivos.
 Controles de seguridad.
 Requisitos contractuales y ACTIVIDADES
SLA firmados.  Datos de entrada para el
 Normativos y reglamentarios. plan de mejora del servicio.
 Incidencias de seguridad  Evaluar y gestionar REGISTROS
 cambios riesgos.  Política de seguridad
RECURSOS  Implantar controles de  Análisis y gestión de riesgos
 Responsable del proceso. seguridad.
 Controles de seguridad
HERRAMIENTAS  Imponer y mantener un
nivel de seguridad.  Base de datos de
 Plantillas de Documentos
 Herramientas de gestión de  Gestionar incidencias de incidencias.
riesgos y de incidencias. seguridad.
SALIDA
ENTRADA
DESCRIPCION DEL PROCESO

La disponibilidad de información es crítica para cualquier proceso. Este proceso es el que se

encarga de asegurar, lo que significa evitar daños de la información del servicio.

Para conseguirlo, los requisitos en este ámbito son:

 Tener una política de seguridad de información

 Implantar controles de seguridad
 Gestionar los cambios e incidencias de la SI

POLITICA DE LA SEGURIDAD DE INFORMACION

Para poder proteger la información adecuadamente, la organización tiene que definir las líneas
maestras que deben seguir y difundir.

En seguridad deben evitarse las ambigüedades.

No toda la información tiene el mismo grado de importancia ni necesita el mismo nivel de

protección, es decir, no es necesario ni prudente protegerlo todo en todo momento.

La política se diseñara, por tanto, teniendo en cuenta los requisitos del negocio, que en este
contexto de la gestión de servicio comprenden:

Los de los propios servicios

Los contractuales
Los de los acuerdos de nivel de servicio
Los legales y regulatorios

Para que pueda ser efectiva, esta política será definida y aprobada por la dirección.

La política estará orientada a:

 Garantizar que haya objetivos específicos para la seguridad de la información

 Controlar la gestión de los riesgos de la seguridad de la información
 Asegurar que se va a monitorizar la eficacia de la seguridad

CONTROLES DE SEGURUDAD DE LA INFORMACION

Para Proteger la información, toda organización tiene una serie de medidas de orden físico,
técnico u organizativo.

Para avanzar en esta seguridad, hay que valorar si se tiene suficiente controles.

Los controles deben estar documentados de manera que se sepa:

 Que riesgos están reduciendo

 Como se operan
 Como se mantienen

Periódicamente hay que comprobar que los controles están siendo eficaces en la reducción de
riesgo y, si no es así, hay que tomar acciones para corregir la situación. A la hora de implantar
controles no se deben olvidar aquellas relaciones con terceras partes que acceden a nuestra
información o sistema.
Las incidencias de seguridad de la información deben procesarse considerando su relevancia y
se deben contemplar como una categoría diferenciada del resto.

SINTESIS DEL PROCESO

La síntesis del proceso resume el proceso con un objetivo, aspectos claves y medidas.

Costes de la brecha de
seguridad.

Evaluar los riesgos y  Coste de resolución

INDICADORES Y MEDIDAS
ASPECTOS CLAVES planificar acciones de incidencias
para reducirlos.
Tasa de incidentes de
OBJETIVO

Implantar las acciones

Proteger los planificadas seguridad
servicios de daños a incluyendo medidas
su confidencialidad, de seguridad.  Nº de incidentes de
integridad y Monitorizar la seguridad/ Nº total
disponibilidad. seguridad tomando de incidentes
acciones con
prontitud cuando Reducción de los niveles de
ocurran incidencias. riesgos

 Nivel de riesgo