Esquemas de Seguridad Informática

Políticas de Seguridad Criterios de las OCDE

Documento Completo de la OCDE

La OCDE considera que los elementos de las políticas son:

1) Concienciación

Los participantes deberán ser conscientes de la necesidad de contar con sistemas y redes de información seguros, y tener conocimiento de los medios para ampliar la seguridad.

El conocimiento de los riesgos y de los mecanismos disponibles de salvaguardia, es el primer paso en la defensa de la seguridad de los sistemas y redes de información. Estos sistemas y redes de información pueden verse afectados tanto por riesgos internos como externos. Los participantes deben comprender que los fallos en la seguridad pueden dañar significativamente los sistemas y redes que están bajo su control. Deben asimismo ser conscientes del daño potencial que esto puede provocar a otros derivados de la interconexión y la interdependencia. Los participantes deben tener conocimiento de las configuraciones y actualizaciones disponibles para sus sistemas, así como su lugar que ocupan dentro de las redes, las prácticas a ejecutar para ampliar la seguridad, y las necesidades del resto de los participantes.


2) Responsabilidad

Todos los participantes son responsables de la seguridad de los sistemas y redes de información.

Los participantes dependen de los sistemas y redes de información locales y globales, y deben comprender su responsabilidad en la salvaguarda de la seguridad de los sistemas y redes de información. Asimismo deben responder ante esta responsabilidad de una manera apropiada a su papel individual. Los participantes deben igualmente revisar sus propias políticas, prácticas, medidas y procedimientos de manera regular, y evaluar si éstos son apropiados en relación con su propio entorno. Aquellos que desarrollan y diseñan o suministran productos o servicios deberán elevar la seguridad de los sistemas y redes, y distribuir a los usuarios de manera apropiada información adecuada en materia de seguridad, incluyendo actualizaciones, para que éstos entiendan mejor la funcionalidad de la seguridad de sus productos y servicios, así como la responsabilidad que les corresponde en materia de seguridad.

3) Respuesta

Los participantes deben actuar de manera adecuada y conjunta para prevenir, detectar y responder a incidentes que afecten la seguridad.

Al reconocer la interconexión de los sistemas y de las redes de información, así como el riesgo potencial de un daño que se extienda con rapidez y tenga un alcance amplio, los participantes deben actuar de manera adecuada y conjunta para enfrentarse a los incidentes que afecten la seguridad. Asimismo han de compartir información sobre los riesgos y vulnerabilidades y ejecutar procedimientos para una cooperación rápida y efectiva que permita prevenir, detectar y responder a incidentes que afecten a la seguridad. Cuando sea posible, estas actuaciones habrán de suponer un intercambio de información y una cooperación transfronteriza.

4) Ética

Los participantes deben respetar los intereses legítimos de terceros.
Debido a la permeabilidad de los sistemas y de las redes de información en nuestras sociedades, los participantes necesitan reconocer que sus acciones o la falta de éstas, pueden comportar daños a terceros. Es crucial mantener una conducta ética, debiendo los participantes hacer esfuerzos por desarrollar y adoptar buenas prácticas y promover conductas que reconozcan la necesidad de salvaguardar la seguridad y respetar los intereses legítimos de terceros.

5) Democracia.

La seguridad de los sistemas y redes de información debe ser compatible con los valores esenciales de una sociedad democrática.

La seguridad debe lograrse de manera consistente con garantía de los valores reconocidos por las sociedades democráticas, incluyendo la libertad de intercambio de pensamiento e ideas, así como el libre flujo de información, la confidencialidad de la información y la comunicación y la protección apropiada de información personal, apertura y transparencia.

6) Evaluación del riesgo

Los participantes deben llevar a cabo evaluaciones de riesgo.

La evaluación del riesgo identificará las amenazas y vulnerabilidades, y debe ser lo suficientemente amplia para incluir factores internos y externos fundamentales como tecnología, factores físicos y humanos, y políticas y servicios de terceros que tengan repercusiones en la seguridad. La evaluación del riesgo permitirá determinar los niveles aceptables de seguridad y ayudar en la selección de controles apropiados para administrar el riesgo de daños potenciales a los sistemas y redes de información, en relación a la naturaleza e importancia de la información que debe ser protegida. Debido a la creciente interconexión de los sistemas de información, la evaluación del riesgo debe incluir asimismo consideraciones acerca del daño potencial que se puede causarse a terceros o que pueden tener su origen en terceras personas.



7) Diseño y realización de la seguridad.

Los participantes deben incorporar la seguridad como un elemento esencial de los sistemas y redes de información.

Los sistemas, las redes y las políticas deberán ser diseñados, ejecutados y coordinados de manera apropiada para optimizar la seguridad. Un enfoque mayor pero no exclusivo de este esfuerzo ha de encontrarse en el diseño y adopción de mecanismos y soluciones que salvaguarden o limiten el daño potencial de amenazas o vulnerabilidades identificadas. Tanto las salvaguardas técnicas como las no técnicas así como las soluciones a adoptar se hacen imprescindibles, debiendo ser proporcionales al valor de la información de los sistemas y redes de información. La seguridad ha de ser un elemento fundamental de todos los productos, servicios, sistemas y redes; y una parte integral del diseño y arquitectura de los sistemas. Para los usuarios finales el diseño e implementación de la seguridad radica fundamentalmente en la selección y configuración de los productos y servicios de sus sistemas.

8) Gestión de la Seguridad.

Los participantes deben adoptar una visión integral de la administración de la seguridad.

La gestión de la seguridad debe estar basada en la evaluación del riesgo y ser dinámica, debiendo comprender todos los niveles de las actividades de los participantes y todos los aspectos de sus operaciones. Asimismo ha de incluir posibles respuestas anticipadas a riesgos emergentes y considerar la prevención, detección y respuesta a incidentes que afecten a la seguridad, recuperación de sistemas, mantenimiento permanente, revisión y auditoría. Las políticas de seguridad de los sistemas y redes de información, así como las prácticas, medidas y procedimientos deben estar coordinadas e integradas para crear un sistema coherente de seguridad. Las exigencias en materia de gestión de seguridad dependerán de los niveles de participación, del papel que desempeñan los participantes, del riesgo de que se trate y de los requerimientos del sistema.

9) Reevaluación

Los participantes deben revisar y reevaluar la seguridad de sus sistemas y redes de información, y realizar las modificaciones pertinentes sobre sus políticas, prácticas, medidas y procedimientos de seguridad.

De manera constante se descubren nuevas amenazas y vulnerabilidades. Los participantes deberán, en este sentido, revisar y evaluar, y modificar todos los aspectos de la seguridad de manera continuada, a fin de poder enfrentarse a riesgos siempre en evolución permanente.