INTRODUCCIÓN

0.1 ¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?

La información es un activo que, como otros activos importantes del negocio, es esencial para las actividades de la organización y, en consecuencia, necesita una protección adecuada. Esto es especialmente importante en el entorno de negocios cada vez más interconectado. Como resultado de esta interconexión creciente, la información se expone a un gran número y variedad de amenazas y vulnerabilidades (véase también OECD Guía para la seguridad de redes y sistemas de información).

La información puede existir en diversas formas. Se puede imprimir o escribir en papel, almacenar electrónicamente, transmitir por correo o por medios electrónicos, presentar en películas, o expresarse en la conversación. Cualquiera sea su forma o medio por el cual se comparte o almacena, siempre debería tener protección adecuada.

La seguridad de la información es la protección de la información contra una gran variedad de amenazas con el fin de asegurar la continuidad del negocio, minimizar el riesgo para el negocio y maximizar el retorno de inversiones y oportunidades de negocio.

La seguridad de la información se logra implementando un conjunto apropiado de controles, incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware. Los controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados, donde sea necesario, para asegurar que se cumplen los objetivos específicos de seguridad y del negocio de la organización. Esto debería hacerse en conjunto con otros procesos de gestión de negocio.

0.2 ¿POR QUÉ ES NECESARIA LA SEGURIDAD DE LA INFORMACIÓN?

La información y los procesos, sistemas y redes que la soportan son activos importantes de negocio. La definición, el logro, el mantenimiento y la mejora de la seguridad de la información pueden ser esenciales para mantener su competitividad, el flujo de caja, la rentabilidad, el cumplimiento legal y la imagen comercial.

Las organizaciones y sus sistemas y redes de información enfrentan amenazas de seguridad procedentes de una gran variedad de fuentes, incluyendo fraudes asistidos por computador, espionaje, sabotaje, vandalismo, incendios o inundaciones. Las causas de daño tales como códigos maliciosos y ataques de piratería por computador y negación del servicio se han vuelto más comunes, más ambiciosos y cada vez más sofisticados.

La seguridad de la información es importante tanto para los negocios del sector público como del privado y para proteger la infraestructura crítica. En ambos sectores, la seguridad de la información actuará como un elemento facilitador para lograr, por ejemplo, gobierno en línea (egovernment) o negocios electrónicos(e-business) y evitar o reducir los riesgos pertinentes. La interconexión de las redes públicas y privadas y compartir los recursos de información incrementan la dificultad para lograr el control del acceso. La tendencia hacia la computación distribuida también ha debilitado la eficacia del control central y especializado.

Muchos sistemas de información no se han diseñado para ser seguros. La seguridad que se puede lograr a través de los medios técnicos es limitada y debería estar soportada por una buena gestión y por procedimientos apropiados. La identificación de los controles que se deberían establecer requiere planificación y atención cuidadosa a los detalles. La gestión de la seguridad de la información requiere, como mínimo, la participación de todos los empleados de la organización. También puede requerir la participación de accionistas, proveedores, terceras partes, clientes u otras partes externas. De igual modo puede ser necesaria la asesoría especializada de organizaciones externas.

0.3 ¿CÓMO ESTABLECER LOS REQUISITOS DE SEGURIDAD?

Es esencial que la organización identifique sus requisitos de seguridad. Existen tres fuentes principales de requisitos de seguridad:

1) Una fuente se deriva de la evaluación de los riesgos para la organización, teniendo en cuenta la estrategia y los objetivos globales del negocio. A través de la evaluación de riesgos, se identifican las amenazas para los activos, se evalúan la vulnerabilidad y la probabilidad de ocurrencia y se estima el impacto potencial.

2) Otra fuente son los requisitos legales, estatutarios, reglamentarios y contractuales que debe cumplir la organización, sus socios comerciales, los contratistas y los proveedores de servicios, así como su entorno socio-cultural.

3) Una fuente adicional es el conjunto particular de principios, objetivos y requisitos del negocio para el procesamiento de la información que la organización ha desarrollado para apoyar sus operaciones.

0.4 EVALUACIÓN DE LOS RIESGOS DE SEGURIDAD

Los requisitos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. Los gastos en los controles se deben equilibrar frente a la probabilidad de daño para el negocio que resulta de las fallas en la seguridad. Los resultados de la evaluación de riesgos ayudarán a guiar y a determinar la acción de gestión adecuada y las prioridades para la gestión de los riesgos de la seguridad de la información, así como para implementar los controles seleccionados para la protección contra estos riesgos.

La evaluación de riesgos se debería repetir periódicamente para tratar cualquier cambio que pueda influir en los resultados de la evaluación de riesgos. Información adicional sobre la evaluación de los riesgos de seguridad se puede encontrar en el numeral 4.1, "Evaluación de los riesgos de seguridad".

0.5 SELECCIÓN DE CONTROLES

Una vez se han identificado los requisitos y los riesgos de seguridad y se han tomado las decisiones para el tratamiento de los riesgos, es conveniente seleccionar e implementar los controles para garantizar la reducción de los riesgos hasta un nivel aceptable. Los controles se pueden seleccionar a partir de este documento, de otros grupos de controles o se pueden diseñar controles nuevos para satisfacer necesidades específicas, según sea adecuado. La selección de los controles de seguridad depende de las decisiones de la organización basadas

En los criterios para la aceptación del riesgo, el tratamiento del riesgo y el enfoque general para la gestión del riesgo aplicado en la organización, y debería estar sujeta a toda la legislación y todos los reglamentos nacionales e internacionales pertinentes.

Algunos de los controles en esta norma se pueden considerar como principios guía para la gestión de la seguridad de la información y aplicables a la mayoría de las organizaciones. Éstos se explican con más detalle bajo el encabezado "Punto de partida para la seguridad de la información".

Información adicional sobre la selección de controles y otras opciones de tratamiento de riesgos se puede encontrar en el numeral 4.2 "Tratamiento de los riesgos de seguridad".

0.6 PUNTO DE PARTIDA PARA LA SEGURIDAD DE LA INFORMACIÓN

Algunos controles se pueden considerar un buen punto de partida para la implementación de la seguridad de la información. Ellos se basan en requisitos legales esenciales o se consideran una práctica común para la seguridad de la información.

Los controles considerados esenciales para una organización desde el punto de vista legislativo incluyen, dependiendo de la legislación que se aplique, los siguientes:

a) protección de datos y privacidad de la información personal (véase el numeral 15.1.4);

b) protección de los registros de la organización (véase el numeral 15.1.3);

c) derechos de propiedad intelectual (véase el numeral 15.1.2).

Los controles que se consideran una práctica común para la seguridad de la información incluyen los siguientes:

a) documento de la política de seguridad de la información (véase el numeral 5.1.1);

b) asignación de responsabilidades para la seguridad de la información (véase el numeral 6.1.3);

c) educación, formación y concientización sobre la seguridad de la información (véase el numeral 8.2.2);

d) procesamiento correcto en las aplicaciones (véase el numeral 12.2);

e) gestión de la vulnerabilidad técnica (véase el numeral 12.6);

f) gestión de la continuidad del negocio (véase el numeral 14);

g) gestión de los incidentes de seguridad de la información y las mejoras (véase el numeral 13.2).

Estos controles se aplican a la mayoría de las organizaciones y en la mayoría de los entornos.

Es conveniente observar que aunque todos los controles en esta norma son importantes y se deberían tener presentes, la pertinencia de cualquier control se debería determinar a la luz de los riesgos específicos que enfrenta la organización. Por lo tanto, aunque el enfoque anterior se

Considera un buen punto de partida, no reemplaza la selección de controles con base en una evaluación de riesgos.

0.7 FACTORES CRÍTICOS PARA EL ÉXITO

La experiencia ha demostrado que los siguientes factores son críticos para la implementación exitosa de la seguridad de la información dentro de la organización:

a) políticas, objetivos y actividades de seguridad de la información que reflejen los objetivos del negocio;

b) un enfoque y un marco de trabajo para implementar, mantener, monitorear y mejorar la seguridad de la información, que sean consistentes con la cultura de la organización;

c) soporte y compromiso visibles en todos los niveles de la organización;

d) una buena comprensión de los requisitos de la seguridad de la información, la evaluación de riesgos y la gestión del riesgo;

e) mercadeo eficaz de la seguridad de la información para todos los directores, empleados y otras partes para lograr la concientización;

f) distribución de guías sobre la política y las normas de seguridad de la información a todos los directores, empleados y otras partes;

g) provisión de fondos para actividades de gestión de la seguridad de la información;

h) formación, educación y concientización adecuadas;

i) establecimiento de un proceso eficaz para la gestión de los incidentes de la seguridad de la información,

j) implementación de un sistema de medición1) que se utilice para evaluar el desempeño en la gestión de la seguridad de la información y retroalimentar sugerencias para la mejora.

0.8 DESARROLLO DE DIRECTRICES PROPIAS

Este código de práctica se puede considerar como un punto de partida para el desarrollo de directrices específicas de la organización. No todos los controles ni directrices en este código de práctica se pueden aplicar. Además, se pueden requerir controles y directrices adicionales que no se incluyen en esta norma. Cuando se desarrollan documentos que contienen directrices o controles adicionales puede ser útil incluir referencias cruzadas a numerales de esta norma que faciliten la verificación del cumplimiento por parte de auditores y socios de negocios.