Professional Documents
Culture Documents
FACULTAD DE INGENIERÍA
TEMA:
RESUMEN
CONSULTA
AUTOR:
RIOBAMBA- ECUADOR
2017
Errores comunes en la implantación de un SGSI
SGSI
Por ello, para que la empresa consultora pueda hacer un buen análisis de riesgos va a
requerir colaboración por parte del cliente para identificar los riesgos, analizarlos y
valorarlos, seleccionar las opciones para su tratamiento, y para implantar el plan de
tratamiento de riesgos con el que se pretende mitigar el nivel de riesgo detectado.
Tampoco hay que dejar de lado que la organización ya dispondrá en muchas ocasiones
de controles de seguridad que en ocasiones serán suficientes, y en otras será necesario
ampliar.
Si bien los consultores deben invertir muchas horas en darle forma el sistema, la
organización debe invertir bastantes horas en proporcionarles la información que
necesitan para hacer un buen diseño y en ejecutar las tareas que se identifiquen como
necesarias para llevar a cabo su implantación, la implantación del SGSI será
inversamente proporcional al trabajo que hasta ese momento haya realizado en la
gestión de su seguridad. En ocasiones ese esfuerzo será significativo, y en otras, más
bien poco.
El error más común es que no integramos a todos los departamentos es por ello que
puede ser uno de los mejores SGSI, pero si no saben como funciona o si nunca les
indicamos a cada uno de los departamentos vamos a tener problemas
Todos deben ser conscientes de qué papel juegan ellos en el SGSI implantado, cómo
de crítica es para el negocio la información con la que trabajan a diario y de qué modo
debe cambiar su forma de manejarla para garantizar que se encuentra debidamente
protegida. Por supuesto, se les debe preguntar, explicar y escuchar, antes de decidir los
controles que se van a implantar y que les va a afectar, ya que de lo contrario se corre
el riesgo de que perciban las nuevas normativas o políticas que se van a definir en
materia por ejemplo de contraseñas, control de acceso, destrucción de información, uso
del correo electrónico, instalación de software, etc,
PÁG. 2
a partir de la nada, es adecuado para la empresa en la que se ha implantado. Eso
significa que debe ser fácilmente operable, acorde al tamaño de la organización, de su
presupuesto y de los recursos que se pueden asignar a su mantenimiento.
En cualquier caso, el reto de lograr un SGSI bien diseñado será lograr que, cuando no
lo están ya, los procesos que conlleva se integren de manera lo más transparente
posible en el funcionamiento de la organización. A veces, este es casi el punto de
partida; en otros casos, la meta está un poco más lejana.
Con esta entrada no pretendo desanimar a nadie, ni mucho menos, sólo señalar
aspectos obvios: que la implantación, y sobre todo el mantenimiento de un SGSI es una
tarea continua, del día a día, en la que se deben involucrar a varias personas de la
organización, se le debe dotar de los recursos y presupuesto necesario, y que debe
contar con el apoyo de la alta dirección para tener garantizado su éxito. Nada, desde
luego, diferente de lo que cualquiera podría esperar de un sistema de gestión, sea cual
sea.
Cosas a tener en cuenta en la implantación de un SGSI
Cuesta hacer entender a los técnicos que el SGSI “va con ellos” y que no es algo
del responsable del Sistema o del Director de Área.
En este tema es importante que tanto desde la Dirección de la organización como por
parte de la empresa consultora, se haga un esfuerzo extra en inculcar a los técnicos que
participen en el proyecto las ventajas que supone saber que, por ejemplo, ahora se
resuelven las incidencias de seguridad en 2 minutos menos de media que el mes
pasado, pero que sin embargo hay que hacer un esfuerzo extra en mejorar el proceso
de copias de respaldo ya que se han incrementado el número de fallos en un 10%.
PÁG. 3
Además de estos departamentos, también es necesario que participen en el proyecto
de forma activa miembros del área de RR.HH, por los múltiples controles que les afectan
y el papel vital que tienen en el SGSI: CV-screening de las nuevas incorporaciones,
formación en materia de seguridad según la labor que van a desempeñar, medición de
la eficacia de las acciones formativas que reciban los empleados en materia de
seguridad, mantenimiento del registro de la educación-formación-experiencia y
habilidades de los miembros de la plantilla, etc.
Por último, uno de los dominios de control que incluye la ISO 27002 es el de conformidad
legal, y ahí es dónde entra en juego el departamento legal (si existe). Es imprescindible
cumplir con la legislación vigente en materia de seguridad de la información, y en
particular con la LOPD, que suele ser la legislación “a vigilar” en este ámbito (pero no la
única).
El delito informático involucra acciones criminales que en primera instancia los países
han tratado de poner en figuras típicas, tales como: robo, fraudes, falsificaciones, estafa,
sabotaje, entre otros, por ello, es primordial mencionar que el uso indebido de las
computadoras es lo que ha creado la necesidad imperante de establecer regulaciones
por parte de la legislación.
PÁG. 4
El informe de Evolución de Incidentes de Seguridad que corresponde al año 2007,
elaborado anualmente desde 1999 por Red IRIS, determina que el incremento de
incidentes que ha habido entre el año 2006 y 2007 es el 63.32%.
1. Título Preliminar.
2. De las Firmas electrónicas, certificados de firmas electrónicas, entidades de
certificación de información, organismos de promoción de los servicios
electrónicos, y de regulación y control de las entidades de certificación
acreditadas.
3. De los servicios electrónicos, la contratación electrónica y telemática, los
derechos de los usuarios, e instrumentos públicos.
4. De la prueba y notificaciones electrónicas.
5. De las infracciones informáticas.
La Ley contiene los principios jurídicos que regirán las transmisiones de los mensajes
de datos. Se le concede pleno valor y eficacia jurídica a los mensajes de datos, tanto a
su información como a su contenido general; la interpretación de la Ley y el ejercicio de
la Propiedad Intelectual se rigen por la legislación ecuatoriana y por los tratados
internacionales incorporados al cuerpo legal ecuatoriano.
PÁG. 5
presentación de un documento escrito, procediendo de igual manera con el documento
original y la información contenida en él, siempre y cuando exista garantía de su
conservación inalterable.
Como punto esencial, se establece que la firma electrónica tendrá validez cuando conste
como un requisito de legalidad documental. Además se protege las bases de datos
creadas u obtenidas por transmisión electrónica de un mensaje de datos, concediendo
al titular de dichos datos el poder para autorizar la disposición de su información, sea
que dichos datos fueron obtenidos como usuario de un servicio o sea que fueron
obtenidos en el intercambio de mensajes de datos. Se ratifica la defensa legal mediante
el Derecho Constitucional de Habeas Data.
PÁG. 6
Bibliografía
https://www.securityartwork.es/2009/03/29/errores-comunes-en-la-
implantacion-de-un-sgsi/
https://www.securityartwork.es/2009/05/21/cosas-a-tener-en-cuenta-en-la-
implantacion-de-un-sgsi/
Guagalango Vega, R. N., & Moscoso Montalvo, P. E. (2011). Evaluación técnica de la
seguridad informática del Data Center de la Escuela Politécnica del
Ejército (Bachelor's thesis, SANGOLQUI/ESPE/2011).
Landi Diez, J. C. (2007). Introducción a la biometría informática y análisis de huella
dactilar como fuentes de autenticación en sistemas de seguridad (Bachelor's thesis).
PÁG. 7