Seguritecnia 340
Opinión 23 SEGURITECNIA Abril 2008 por otra, plantear medidas dentro del marco del plan de gestión de riesgos. Plan de gestión de riesgos Se generaron una serie de líneas de actuación orientada a reducir el nivel de riesgo por debajo del umbral que la Di- rección General consideró como razonable para las distin- tas áreas de actividad. Las acciones que se desarrollaron se podrían resumir en las siguientes: 1 Mejora de las infraestructuras de suministro eléctrico y climatización. 2 Depuración del código fuente. 3 Gestión de contraseñas. 4 Herramienta automatizada de análisis de inventario y gestión de vulnerabilidades. 5 Herramienta de gestión de información de seguridad (SIM/SEM). 6 Herramienta de cifrado. 7 Planes de continuidad. 8 Formación a todo el personal. C iclo de vida desarrollo de controles Elaborar Para el desarrollo de los controles que contempla la norma ISO 27002, decidimos adoptar el propio modelo del ciclo de vida PDCA de la norma ISO 27001. Así, para cada uno de los controles comenzábamos por desarrollar una planificación para el mismo, analizar cuá- les eran los requerimientos que exigían la norma de referen- cia, analizar los requerimientos de nuestro propio negocio, estudiar cuál había sido hasta ese momento la cultura den- tro de la compañía al respecto, las expectativas de nuestros clientes, de nosotros, etc. Con todo esto, desarrollábamos una primera normativa para el control. Esta normativa con- sistía típicamente en una política, un procedimiento, una o varias instrucciones técnicas, registros e indicadores. Poner en producción También desarrollamos una normativa para la puesta en producción de los controles, que se da a conocer previa- mente a todos los miembros del Comité de Seguridad, para que lo validen y hagan sus aportaciones. A continuación, se imparte la formación necesaria para poner en práctica el control al personal que lo requiera, se- gún la naturaleza del control. Monitorizar En la siguiente fase, verificamos con revisiones mensua- les si el control se está aplicando o no, el esfuerzo y la de-
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz