5 POLÍTICA DE SEGURIDAD –
5.1 Política de seguridad de la información:
Objetivo: Proporcionar orientación y apoyo de la dirección para la seguridad de la información, de acuerdo con los requisitos del negocio y con las regulaciones y leyes pertinentes
5.1.1 Documento de política de seguridad de la información
La dirección debe establecer una orientación clara de la política, alineada a los objetivos de negocio, y que demuestre su apoyo y compromiso con la seguridad de la información
Comunicación a todos los empleados y a las partes externas pertinentes
Cumplimiento de los requisitos legislativos, reguladores y contractuales
Requisitos de educación, formación y concientización en seguridad
Considerar la gestión de la continuidad del negocio bien como las consecuencias de las violaciones a la política de seguridad de la información
5.1.2 Revisión de la política de seguridad de la información
La política de seguridad de la información debe ser revisada en intervalos planificados o si se producen cambios significativos, para asegurar la continuidad de su idoneidad, adecuación y efectividad
Ejemplos de entradas para la revisión por la dirección: a) retroalimentación de las partes interesadas; b) resultados de la revisiones independientes c) estado de las acciones correctivas y preventivas d) desempeño de los procesos y conformidad con la política de seguridad de la información e) incidentes de seguridad de la información reportados
La salida de la revisión por la dirección debe incluir :
mejora del enfoque de la organización a la gestión de la seguridad de la información y a sus procesos;
mejora de los objetivos de control y de los controles;
mejora en la asignación de recursos y/o responsabilidades Se debe mantener un registro de la revisión por la dirección y obtener la aprobación de la dirección para la política revisada.
6 Organización de la seguridad de la información
6.1 Organización interna :
Objetivo: Gestionar la seguridad de la información dentro de la organización
6.1.1 Compromiso de la dirección con la seguridad de la información: La dirección debe aprobar activamente la seguridad dentro de la organización. Acciones de la dirección:
a)Formular, revisar y aprobar la política de seguridad de la
información
b)Revisar la efectividad de la implementación de la política de seguridad de la información
Probar una orientación clara y apoyo visible hacia
las iniciativas de seguridad de la información
Proveer los recursos necesarios para la seguridad
Apoyar planes y programas para mantener la concientización en seguridad
6.1.2 Coordinación de la seguridad de la información
Se debe involucrar la participación y colaboración de directores, administradores, TI, RH, auditores, personal de seguridad y especialistas
Evaluar la adecuación y coordinación de la implementación de los controles de seguridad de la información
Promover en forma efectiva la educación, formación y concientización en seguridad de la información a través de la organización
Evaluar los incidentes de seguridad de la información y las acciones recomendadas en respuesta a los mismos
6.1.3 Asignación de responsabilidades sobre seguridad de la información
Todas las responsabilidades de seguridad de la información deben ser claramente definidas Se recomienda a la organización:
Evaluar, identificar y definir claramente los activos y los procesos de seguridad asociados con cada sistema
Asignar la entidad responsable de cada activo o proceso de seguridad y documentar los detalles de dicha responsabilidad
Designar un propietario de cada activo de información, que se convierte así, en responsable de su seguridad cotidiana.
6.1.4 Proceso de autorización para instalaciones de procesamiento de información
Definir e implantar un proceso de autorización por parte de la dirección para nuevas instalaciones de procesamiento de información
Comprobar donde sea necesario, que el hardware y el software sean compatibles con los demás dispositivos del sistema
Obtener autorización para asegurar que se cumple con todas las políticas y requisitos de seguridad de la información
Identificar e implementarse controles cuando del uso de procesamiento de información personales o privados por ejemplo: Computadoras portátiles, computadoras de uso doméstico u otros dispositivos portátiles
6.1.5 Acuerdos de confidencialidad
Identificar y revisar con regularidad los requisitos de los acuerdos de confidencialidad o de no-divulgación
Definir la información a ser protegida (por ejemplo :información confidencial);
Definir la duración prevista del acuerdo
Tomar acciones en caso de ruptura del acuerdo.
Cumplir con todas las leyes y regulaciones de la jurisdicción a la cual se aplican
6.1.6 Contacto con autoridades
Mantener contactos apropiados con las autoridades relevantes : -Cumplimiento de leyes -Departamento de bomberos -Autoridades de supervisión
6.1.7 Contacto con grupos de interés especial
Mantener contactos apropiados con los grupos de interés especial u otros foros especializados en seguridad, así como asociaciones de profesionales
Incrementar el conocimiento sobre las mejores prácticas y mantenerse al día con la información relevante sobre seguridad
Obtener acceso a asesoría especializada sobre seguridad de la información
Revisar la gestión de la seguridad de la información y su implementación independientemente, a intervalos planificados, o cuando ocurran cambios significativos en la implementación de la seguridad
Realizar la revisión por individuos independientes del área a revisar, por ejemplo por el cargo de auditoría interna, un gerente independiente o una organización externa especializada en estas revisiones.
Mantener los registros de la revisión
6.2 Partes externas:
Objetivo: Mantener la seguridad de la información de la organización y de las instalaciones de procesamiento de información a las que tienen acceso las partes externas, o que son procesadas, comunicadas o gestionadas por éstas
6.2.1 Identificación de los riesgos relacionados con partes externas Se recomienda a la organización:
Identificar los riesgos para los procesos de negocio que involucran partes externas, y se recomienda implementar controles apropiados antes de otorgar el acceso.
Considerar en la identificación de los riesgos:
-Las instalaciones de procesamiento de la información a los cuales requiere acceso la parte externa
-El tipo de acceso que la parte externa tendrá a la información y a las instalaciones de procesamiento de la información
-Los controles necesarios para proteger la información que no ha sido prevista que sea accesible por las partes externas
Ejemplos de partes externas:
proveedores de servicios, como ser proveedores
de servicios de Internet (ISPs), proveedores de red,
servicio telefónico, servicios de mantenimiento y soporte
b)servicios de seguridad
contratación externa de instalaciones, por ejemplo: sistemas de TI, servicios de recolección de datos, operaciones del centro de
llamados
desarrolladores y proveedores, por ejemplo: de productos de software y de sistemas de TI
e)limpieza, abastecimiento y otros servicios de soporte contratados externamente
personal temporal, colocación de estudiantes y otros cargos de corto plazo ocasionales.
6.2.2 Tener en cuenta la seguridad cuando se trata con clientes
Tratar todos los requisitos de seguridad identificados, antes de brindarles a los clientes acceso a activos o información de la Organización. Considerar:
a)Protección de activos
b)Descripción del producto y servicio a ser provisto c)Las diferentes razones, requisitos y beneficios del acceso del cliente
d)Política de control de acceso
e)Una descripción de cada servicio que debe estar disponible
f)El nivel a alcanzar por el servicio y los niveles inaceptables del servicio
6.2.3 Tener en cuenta la seguridad en los acuerdos con terceras partes
Los acuerdos con terceros deben cubrir todos los requisitos pertinentes de seguridad de la información. Considerar:
Asegurar la concientización del usuario sobre responsabilidades y aspectos de la seguridad de la información
El reporte y la notificación y de los incidentes de seguridad de la información y las brechas de seguridad, así como violaciones de los requisitos establecidos en los acuerdos
El nivel a alcanzar por el servicio y los niveles inaceptables del servicio
El derecho al seguimiento y a revocar cualquier actividad relacionada con los activos de la organización
7 Gestión de activos
7.1 Responsabilidad sobre los activos:
Objetivo: Implementar y mantener una adecuada protección sobre los activos de la organización
7.1.1 Inventario de activos : Todos los activos deben tener un responsable y se recomienda asignar a un propietario para cada uno de ellos Esto incluye tipo de activo, formato, localización, información del respaldo, información de licencias e importancia para el negocio
Ejemplos de activos :
a) Información: archivos y bases de datos, contratos, documentación de sistemas, procedimientos operativos , planes de continuidad del negocio
b)Activos de software: software de aplicación, software de sistemas, herramientas de desarrollo y utilitarios
c)Activos físicos: computadoras, equipos de comunicaciones, medios removibles y otros equipos
d)Servicios: calefacción, iluminación, suministro de energía y aire acondicionado
e)Recursos humanos f)Intangibles
7.1.2 Propiedad de los activos: Toda la información y los activos asociados con las instalaciones de procesamiento de la información deben pertenecer a un propietario designado por la organización
7.1.3 Uso aceptable de los activos: Todos los empleados, contratistas y usuarios de terceras partes deben seguir las reglas para el uso aceptable de la información y de los activos asociados con las instalaciones de procesamiento de la información.
Ejemplo: reglas para el uso del correo electrónico e Internet
7.2 Clasificación de la información:
7.2.1 Directrices de clasificación: La información debe ser clasificada en términos de sus requisitos legales, sensibilidad y criticidad para la organización
7.2.2 Etiquetado y manejo de la información: Los procedimientos para el etiquetado y el manejo de la información basado en el sistema de clasificación de la información, deberán ser definidos e implementados . La información debe ser clasificada en cuanto a su valor para la organización.
Ejemplo:
a)CONFIDENCIAL
b)RESERVADA
c)INTERNA
8 Seguridad ligada a los recursos humanos
8.1 Previo al empleo:
Objetivo: Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades, y que sean aptos para los roles para los cuales están siendo considerados, y para reducir el riesgo de hurto, fraude o mal uso de las instalaciones
8.1.1 Roles y responsabilidades
Los roles y responsabilidades de la seguridad de la información deben ser definidos y comunicados a los candidatos a puestos durante el proceso de pre-empleo 8.1.2 Selección
Deben ser realizadas las verificaciones de antecedentes en todos los candidatos al empleo, contratistas y usuarios de terceras partes de acuerdo con las leyes, regulaciones y normas éticas relevantes, en proporción a los requisitos del negocio, la clasificación de la información a ser accedida, y los riesgos percibidos. 8.1.3 Términos y condiciones de empleo
Los empleados, contratistas y usuarios de terceras partes deben acordar y firmar los términos y condiciones de su contrato de empleo, el cual deben declarar las responsabilidades de él y de la organización para la seguridad de la información.
8.2 Durante al empleo:
Objetivo: Asegurar que los empleados, contratistas y usuarios de terceras partes sean conscientes de las amenazas y la pertinencia de la seguridad de la información, de sus responsabilidades y obligaciones, y estén equipados para sustentar la política de seguridad de la organización en el curso de su trabajo normal, y para reducir el riesgo de errores humanos.
8.2.1 Responsabilidades de la dirección
La dirección debe solicitar a los empleados, contratistas y usuarios de terceras partes que apliquen la seguridad de acuerdo a las políticas y los procedimientos establecidos por la organización. 8.2.2 Concientización, educación y formación en seguridad de la información
Todos los empleados y, donde sea relevante, contratistas y usuarios de terceras partes deben recibir formación adecuada en concientización y actualizaciones regulares en políticas y procedimientos organizacionales, relevantes para su función laboral.
8.2.3 Proceso disciplinario
Debe ser establecido un proceso disciplinario formal para empleados que han perpetrado una violación a la seguridad.
8.3 Finalización o cambio de la relación laboral o empleo:
Objetivo: Asegurar que los empleados, contratistas o usuarios de terceras partes se desvinculen de una organización o cambien su relación laboral de una forma ordenada.
8.3.1 Responsabilidades en la desvinculación
Las responsabilidades en la desvinculación deben ser claramente definidas y atribuidas
Las responsabilidades y obligaciones contenidas en los contratos de los empleados, contratistas o terceras partes, deberán ser válidas, incluso luego del cierre de actividades
8.3.2 Devolución de activos
Empleados, contratistas y usuarios de terceras partes deben devolver todos los activos de la organización que estén en su posesión como consecuencia de la finalización de su relación laboral, contrato o acuerdo.
8.3.3 Remoción de derechos de acceso
Los derechos de acceso de todo empleado, contratista o usuario de terceras partes a información e instalaciones de procesamiento de la información deben ser removidos como consecuencia de la desvinculación de su empleo, contrato o acuerdo, o ajustado cuando cambia
9 Seguridad física y del ambiente
9.1 Áreas Seguras :
Objetivo: Evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones y la información de la organización
9.1.1 Perímetro de seguridad física
9.1.2 Controles de accesos físico
9.1.3 Seguridad de oficinas, despachos e Instalaciones
9.1.4 Protección contra amenazas externas y del ambiente
Debe ser planeada e implementada la protección contra incendios, inundaciones, terremotos, explosiones, disturbios civiles, y por otras formas de desastre natural o artificial
Los equipamientos de reserva y los medio de respaldo deben estar localizados a una distancia prudente para evitar daños producto de un desastre que afecten al emplazamiento principal;
9.1.5 El trabajo en las áreas seguras
9.1.6 Áreas de acceso público, de entrega y de carga
9.2 Seguridad del equipamiento:
Objetivo: Prevenir pérdidas, daños, hurtos o comprometer los activos así como la interrupción de las actividades de la organización 9.2.1 Ubicación y protección del equipamiento
9.2.2 Elementos de soporte
Contempla otros elementos de soporte además del suministro de energía
9.2.3 Seguridad en el cableado
9.2.4 Mantenimiento del equipamiento
9.2.5 Seguridad del equipamiento fuera de las instalaciones de la organización
9.2.6 Seguridad en la reutilización o eliminación de equipos
9.2.7 Retiro de bienes
Equipamientos, información o software no deben ser retirados de su localización sin autorización previa
Se recomienda identificar aquellos empleados, contratistas y usuarios de terceras partes que tengan autoridad para permitir el retiro de activos, fuera de los locales de la organización;
10 Gestión de comunicaciones y operaciones
10.1 Procedimientos operacionales y responsabilidades:
Objetivo: Asegurar la operación correcta y segura de las instalaciones de procesamiento de información
10.1.1 Procedimientos documentados de Operación: La gestión de las pistas de auditoría y de la información del registro del sistema
10.1.2 Gestión de cambios
Planificación y pruebas de los cambios; 10.1.3 Segregación de tareas
Verificar que ninguna persona pueda tener acceso, modificar o utilizar activos sin autorización o detección.
10.1.3 Separación de los recursos para desarrollo, prueba y producción
10.2 Gestión de la entrega del servicio por terceras partes :
Objetivo: Implementar y mantener un nivel apropiado de la seguridad de la información y la entrega del servicio, acorde con los acuerdos de entrega del servicio por terceras partes
10.2.1 Entrega del servicio
Definir los requisitos de seguridad de la información con un usuario de terceras partes
Asegurar que un usuario de terceras partes tenga la capacidad de cumplimiento y planificación que garantice que los niveles de continuidad de servicios acordados sean mantenidos después de una falta de servicios o un desastre
10.2.2 Supervisión y revisión de los servicios por terceras partes
Realizar seguimiento a los niveles de desempeño de los servicios y analizar los informes
Brindar información sobre los incidentes en seguridad de la información 10.2.3 Gestión de cambios en los servicios de terceras partes
Considerar los cambios realizados por la organización (mejoras de los servicios, nuevas aplicaciones o actualizaciones)
Considerar los cambios en los servicios de usuarios de terceras partes (uso de nuevas tecnologías, nuevos productos, cambios de localización física, nuevas asociaciones)
10.3 Planificación y aceptación del sistema:
Objetivo: Minimizar el riesgo de fallos de los sistemas.
10.3.1 Gestión de la capacidad. Realizar proyecciones de los futuros requisitos de capacidad
10.3.2 Aceptación del sistema
10.4 Protección contra código malicioso y código móvil:
Objetivo: Proteger la integridad del software y de la información
10.4.1 Controles contra código malicioso
10.4.2 Controles contra código móvil
Evitar la ejecución de código móvil no autorizado
Asegurar que lo código móvil no autorizado tenga su ejecución impedida
Bloquear cualquier tipo de uso de código móvil no autorizado
Controlar los recursos disponibles para el acceso al código móvil
Definir los controles criptográficos de autenticación del código móvil
10.5 Respaldo:
Objetivo: Mantener la integridad y disponibilidad de la información y de las instalaciones de procesamiento de la información
10.5.1 Respaldo de la información
Los controles aplicados a los soportes en el sitio principal se deben ampliar para cubrir el sitio de respaldo
Los soportes de respaldo deben ser probados regularmente para asegurarse de que pueden ser confiables para el uso cuando sean necesarios
10.6 Gestión de la seguridad de red:
Objetivo: Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.
10.6.1 Controles de red
10.6.2 Seguridad de los servicios de red
Considerar los servicios de red proporcionados de manera interna o externa
Definir los niveles de servicio, hacer seguimiento regular y auditar
Asegurar la implementación de los controles por los proveedores de servicios de red
10.7 Manejo de los medios:
Objetivo: Evitar la divulgación, la modificación, la eliminación o destrucción de los activos y la interrupción de las actividades del negocio no autorizados
10.7.1 Gestión de los medios removibles
Almacenar los medios físicos de forma segura en un ambiente protegido y de acuerdo con las especificaciones del fabricante
Mantener el registro de remoción de medios físicos como pista de auditoría
10.7.2 Eliminación de los medios
Eliminar los medios de forma segura
10.7.3 Procedimientos para el manejo de la Información
10.7.4 Seguridad de la documentación de sistemas
10.8 Intercambio de información:
Objetivo: Mantener la seguridad de la información y software intercambiado dentro de una organización y con cualquier otra entidad
10.8.1 Políticas y procedimientos de intercambio de información
Formular procedimientos diseñados para proteger el intercambio de información de la intercepción, copiado, modificación, desviación, y destrucción;
Adoptar procedimientos para el uso de la comunicaciones inalámbricas tomando en consideración los riesgos particulares involucrados
Evitar dejar información sensible o critica en el equipamiento de impresión, por ejemplo, fotocopiadoras, impresoras o fax
10.8.2 Acuerdos de intercambio
10.8.3 Medio físico en transito
10.8.4 Mensajería electrónica
10.8.5 Sistemas de Información de negocio
10.9 Servicios de comercio electrónico :
Objetivo: Garantizar la seguridad de los servicios de comercio electrónico, así como su uso seguro.
10.9.1 Comercio electrónico
Considerar mecanismos de autenticación
Asegurar la confidencialidad y la integridad de cualquier orden de transacción, información de pago, detalles de dirección de envío y confirmación de recepción
10.9.2 Transacciones en línea
Contemplar el uso de firmas electrónicas
Garantizar que el camino de comunicación entre todas las partes involucradas se encuentre criptografiado.
10.9.3 Información accesible públicamente
Crear mecanismos para garantizar la integridad de la información disponible en sistemas de acceso público, con el fin de prevenir modificaciones no autorizadas
10.10 Seguimiento y control:
Objetivo: Detectar actividades de procesamiento de información no autorizadas
10.10.1 Registros de auditoría
Ejemplos: identificación (ID) de usuario, fechas, horas, y los detalles de acontecimientos claves, registros de los intentos aceptados y rechazados de acceso al sistema, archivos accedidos y la clase de acceso y activación y desactivación de sistemas de protección
10.10.2 Supervisión del uso de sistemas: Crear procedimientos para hacer seguimiento del uso de los recursos del procesamiento de información
10.10.3 Protección de la información de registros (logs): Proteger la información de los registros (log), contra falsificación y acceso no autorizado
10.10.4 Registros del administrador y operador
10.10.5 Registro de fallas
10.10.6 Sincronización de relojes
11 Control de Acceso
11.1 Requisitos de negocio para el control de acceso:
Objetivo: Controlar el acceso a la información.
11.1 Requisitos de negocio para el control de Acceso
Adoptar como premisa:“Todo está generalmente prohibido salvo que expresamente sea permitido”
Aplicar el concepto “Need do know”
11.2 Gestión del acceso de usuarios:
Objetivo: Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas de información.
11.2.1 Registro de usuarios
11.2.2 Gestión de privilegios
11.2.3 Gestión de contraseñas del usuario
11.2.4 Revisión de derechos de acceso de usuario
Realizar una revisión de los derechos de acceso de los usuarios en intervalos regulares
11.3 Responsabilidades del usuario:
Objetivo: Prevenir el acceso de usuario no autorizado, y el robo o compromiso de la información y de las instalaciones de procesamiento de la información
11.3.1 Uso de Contraseña
Orientar a los usuarios sobre mantener confidencialidad sobre las contraseñas;
Seleccionar contraseñas de calidad
Cambiar las contraseñas regularmente
11.3.2 Equipamiento desatendido por el usuario
11.3.3 Política de escritorio y pantalla limpios
Guardar la información crítica o sensible en un lugar seguro
Proteger los computadores con mecanismos de bloqueo de pantalla
Retirar inmediatamente de las impresoras documentos con información sensible o crítica
11.4 Control de acceso a la red:
Objetivo: Prevenir el acceso no autorizado a los servicios en red.
11.4.1 Políticas sobre el uso de servicios en red
11.4.2 Autenticación de usuarios para conexiones externas
11.4.3 Identificación de equipamiento en la red
11.4.4 Protección de los puertos de configuración y diagnóstico remoto
11.4.5 Separación en redes
11.4.6 Control de conexión de red
11.4.7 Control de enrutamiento de red
11.5 Control de acceso al sistema operativo:
Objetivo: Evitar el acceso no autorizado a los sistemas
operativos.
11.5.1 Procedimientos de conexión (log-on) seguros: Limitar el número de intentos fallidos de conexión,
11.5.2 Identificación y autenticación del usuario
11.5.3 Sistema de gestión de contraseñas
Crear mecanismos que obliguen a escoger contraseñas de calidad
Obligar al cambio de contraseña
Obligar al usuario a cambiar de contraseña temporalmente
Almacenar y transmitir las contraseñas de manera protegida
11.5.4 Utilización de utilitarios del sistema
11.5.5 Desconexión automática de sesiones
11.5.6 Limitación del tiempo de conexión
11.6 Control del acceso a las aplicaciones y a la información
Objetivo: Evitar el acceso no autorizado a la información contenida en los sistemas de aplicación.
11.6.1 Restricciones del acceso a la información
11.6.2 Aislamiento de sistemas sensibles
11.7 Informática móvil y trabajo remoto
Objetivo: Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y trabajo remoto
11.7.1 Informática y comunicaciones móviles
Considerar los requisitos de protección física, controles de acceso, copias de seguridad y protección antivirus.
Cuidados con los recursos en lugares desprotegidos
11.7.2 Trabajo remoto
12 Adquisición, desarrollo y mantenimiento de los sistemas de información
12.1 Requisitos de seguridad de los sistemas de información
Objetivo: Asegurar que la seguridad es parte integral de los sistemas de información.
12.1.1 Análisis y especificación de los requisitos de seguridad
12.2 Procesamiento correcto en las aplicaciones
Objetivo: Prevenir errores, pérdida, modificación no autorizada o mal uso de información en aplicaciones.
12.2.1 Validación de datos de entrada
12.2.2 Control de procesamiento interno
12.2.3 Integridad del mensaje
12.2.4 Validación de los datos de salida
12.3 Controles criptográficos
Objetivo: Proteger la confidencialidad, autenticidad e integridad de la información por medios criptográficos.
12.3.1 Política sobre el empleo de controles criptográficos
12.3.2 Gestión de claves
12.4 Seguridad de los archivos del sistema
Objetivo: Garantizar la seguridad de los archivos del sistema
12.4.1 Control de software en producción
12.4.2 Protección de datos de prueba del sistema
12.4.3 Control de acceso al código fuente de programas
12.5 Seguridad en los procesos de desarrollo y soporte
Objetivo: Mantener la seguridad del software de aplicación e información
12.5.1 Procedimientos de control de cambio
12.5.2 Revisión técnica de aplicaciones después de cambios del sistema operativo
12.5.3 Restricciones sobre cambios a paquetes de Software
12.5.4 Fuga de Información
12.5.5 Desarrollo externo de software
12.6 Gestión de vulnerabilidad técnica
Objetivo: Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicadas
12.6.1 Control de vulnerabilidades técnicas
13 Gestión de incidentes de la Seguridad de la Información Status: NO se tiene en el XXXX
13.1 Reporte de debilidades y eventos de seguridad de la información:
Objetivo: Asegurar que las debilidades y eventos de seguridad de la información asociados a sistemas de información son comunicados de manera de permitir tomar acciones correctivas a tiempo
13.1.1 Reportando eventos de seguridad de la información
Comunicar a los empleados, contratistas y usuarios de partes externas la responsabilidad que ellos tienen de notificar cualquier evento de seguridad de la información, lo más rápido posible
Capacitar a los empleados, contratistas y usuarios de partes externas en los procedimientos de notificación de incidentes de seguridad de la información
Alertar a los empleados, contratistas y usuarios de partes externas para no tomar ninguna acción propia e informar de manera inmediata el evento al punto designado de contacto
Crear un proceso disciplinario formal para tratar con los empleados, contratistas y usuarios de partes externas que cometan violaciones a la seguridad de la información
13.1.2 Notificación de las debilidades de seguridad
Ejemplos de incidentes de seguridad de la información:
-Robo o pérdida de computadores portátiles, pendrives, hardware o token
–Notebooks sin asistencia técnica y sin fijación del cable
-Sesión de trabajo no atendida (sin el usuario presente) y sin estar bloqueada
-Claves y contraseñas de acceso compartidas o expuestas
-Individuos circulando sin identificación
-Falla en el control de acceso físico (instalaciones) y en la lógica de seguridad electrónica)
-Información reservada expuesta en el escritorio, fotocopiadoras, basuras o impresoras
-Publicación no autorizada de información reservada
-Uso de la información y los recursos de la compañía para beneficios personales
-Uso indebido de correo electrónico, sobretodo cadenas de mensajes
-Uso indebido del servicio de internet, sobretodo para acceder a los sitios no entorno de trabajo
-Instalación de un sistema de aplicación no autorizado
-Intentos (exitoso o fallido) de lograr acceso no autorizado a la información
13.2 Gestión de incidentes y mejoras de seguridad de la información:
Objetivo: Asegurar que un enfoque consistente y eficaz se aplica a la gestión de los incidentes de seguridad de la información.
13.2.1 Responsabilidades y procedimientos
Elaborar procedimientos de gestión para asegurar una respuesta rápida, eficaz, y ordenada a los incidentes de seguridad de la información ØAnalizar e identificar la causa de un incidente
Implementar la acción correctiva para prevenir su repetición 13.2.2 Aprendiendo de los incidentes de seguridad de la información
Analizar el incidente de seguridad de la información teniendo en cuenta la mejora de los controles existentes o la implementación de controles adicionales
13.2.3 Recolección de evidencia . Recolectar y retener las evidencias, asegurando su calidad y completud
14 Gestión de la continuidad del negocio
14.1 Aspectos de seguridad de la información en la gestión de la continuidad del negocio:
Objetivo: Contrarrestar interrupciones a las actividades del negocio y proteger los procesos críticos del negocio contra los efectos de fallas importantes en los sistemas de información o contra desastres, y asegurar su restauración oportuna.
14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del Negocio
14.1.2 Continuidad del negocio y evaluación de riesgos
14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información
14.1.4 Estructura para la planificación de la continuidad del negocio
14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio
15 Cumplimiento
15.1 Cumplimiento de los requisitos legales:
Objetivo: Evitar los incumplimientos de cualquier ley, estatuto, regulación u obligación contractual, y de cualquier requisito de seguridad
15.1.1 Identificación de la legislación aplicable
15.1.2 Derechos de propiedad intelectual
15.1.3 Protección de los registros de la Organización
15.1.4 Protección de los datos y privacidad de la información personal
15.1.5 Prevención del uso inadecuado de las instalaciones de procesamiento de la información
15.2 Cumplimiento de la política y las normas de seguridad, y cumplimiento técnico
Objetivo: Asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.
15.2.1 Cumplimiento de las políticas y normas de Seguridad
15.2.2 Verificación del cumplimiento técnico
15.3 Consideraciones sobre la auditoría de sistemas de información
Objetivo: Maximizar la efectividad de, y reducir al mínimo la interferencia desde o hacia, el proceso de auditoría del sistema de información
15.3.1 Controles de auditoría de sistemas de Información
15.3.2 Protección de las herramientas de auditoría de sistemas de información
Nota: la fuente de este documento es la Norma ISO/IEC 270001 publicada por Coguanor del Ministerio de Economia en el 2010. Para mayor información: www.mineco.gob.gt