Diagnostico de Norma ISO/IEC270001

5 POLÍTICA DE SEGURIDAD   –
5.1 Política de seguridad de la información:

Objetivo: Proporcionar orientación y apoyo de la dirección para la seguridad de la información, de acuerdo con los requisitos del negocio y con las regulaciones y leyes pertinentes

 

5.1.1 Documento de política de seguridad de la información

La dirección debe establecer una orientación clara de la política, alineada a los objetivos de negocio, y que demuestre su apoyo y compromiso con la seguridad de la información

Comunicación a todos los empleados y a las partes externas pertinentes

Cumplimiento de los requisitos legislativos, reguladores y contractuales

Requisitos de educación, formación y concientización en seguridad

Considerar la gestión de la continuidad del negocio bien como las consecuencias de las violaciones a la política de seguridad de la información

5.1.2 Revisión de la política de seguridad de la información

La política de seguridad de la información debe ser revisada en intervalos planificados o si se producen cambios significativos, para asegurar la continuidad de su idoneidad, adecuación y efectividad

Ejemplos de entradas para la revisión por la dirección: a) retroalimentación de las partes interesadas; b) resultados de la revisiones independientes c) estado de las acciones correctivas y preventivas d) desempeño de los procesos y conformidad con la política de seguridad de la información e) incidentes de seguridad de la información reportados

La salida de la revisión por la dirección debe incluir :

mejora del enfoque de la organización a la gestión de la seguridad de la información y a sus procesos;

mejora de los objetivos de control y de los controles;

mejora en la asignación de recursos y/o responsabilidades Se debe mantener un registro de la revisión por la dirección y obtener la aprobación de la dirección para la política revisada.

 

6 Organización de la seguridad de la información
6.1 Organización interna :

Objetivo: Gestionar la seguridad de la información dentro de la organización

6.1.1 Compromiso de la dirección con la seguridad de la información: La dirección debe aprobar activamente la seguridad dentro de la organización. Acciones de la dirección:

a)Formular, revisar y aprobar la política de seguridad de la

información

b)Revisar la efectividad de la implementación de la política de seguridad de la información

Probar una orientación clara y apoyo visible hacia

las iniciativas de seguridad de la información

Proveer los recursos necesarios para la seguridad

Apoyar planes y programas para mantener la concientización en seguridad

6.1.2 Coordinación de la seguridad de la información

Se debe involucrar la participación y colaboración de directores, administradores, TI, RH, auditores, personal de seguridad y especialistas

Evaluar la adecuación y coordinación de la implementación de los controles de seguridad de la información

Promover en forma efectiva la educación, formación y concientización en seguridad de la información a través de la organización

Evaluar los incidentes de seguridad de la información y las acciones recomendadas en respuesta a los mismos

6.1.3 Asignación de responsabilidades sobre seguridad de la información

Todas las responsabilidades de seguridad de la información deben ser claramente definidas Se recomienda a la organización:

Evaluar, identificar y definir claramente los activos y los procesos de seguridad asociados con cada sistema

Asignar la entidad responsable de cada activo o proceso de seguridad y documentar los detalles de dicha responsabilidad

Designar un propietario de cada activo de información, que se convierte así, en responsable de su seguridad cotidiana.

6.1.4 Proceso de autorización para instalaciones de procesamiento de información

Definir e implantar un proceso de autorización por parte de la dirección para nuevas instalaciones de procesamiento de información

Comprobar donde sea necesario, que el hardware y el software sean compatibles con los demás dispositivos del sistema

Obtener autorización para asegurar que se cumple con todas las políticas y requisitos de seguridad de la información

Identificar e implementarse controles cuando del uso de procesamiento de información personales o privados por ejemplo: Computadoras portátiles, computadoras de uso doméstico u otros dispositivos portátiles

6.1.5 Acuerdos de confidencialidad

Identificar y revisar con regularidad los requisitos de los acuerdos de confidencialidad o de no-divulgación

Definir la información a ser protegida (por ejemplo :información confidencial);

Definir la duración prevista del acuerdo

Tomar acciones en caso de ruptura del acuerdo.

Cumplir con todas las leyes y regulaciones de la jurisdicción a la cual se aplican

6.1.6 Contacto con autoridades

Mantener contactos apropiados con las autoridades relevantes : -Cumplimiento de leyes -Departamento de bomberos -Autoridades de supervisión

6.1.7 Contacto con grupos de interés especial

Mantener contactos apropiados con los grupos de interés especial u otros foros especializados en seguridad, así como asociaciones de profesionales

Incrementar el conocimiento sobre las mejores prácticas y mantenerse al día con la información relevante sobre seguridad

Obtener acceso a asesoría especializada sobre seguridad de la información

Revisar la gestión de la seguridad de la información y su implementación independientemente, a intervalos planificados, o cuando ocurran cambios significativos en la implementación de la seguridad

Realizar la revisión por individuos independientes del área a revisar, por ejemplo por el cargo de auditoría interna, un gerente independiente o una organización externa especializada en estas revisiones.

Mantener los registros de la revisión

 

6.2 Partes externas:

Objetivo: Mantener la seguridad de la información de la organización y de las instalaciones de procesamiento de información a las que tienen acceso las partes externas, o que son procesadas, comunicadas o gestionadas por éstas

6.2.1 Identificación de los riesgos relacionados con partes externas Se recomienda a la organización:

Identificar los riesgos para los procesos de negocio que involucran partes externas, y se recomienda implementar controles apropiados antes de otorgar el acceso.

Considerar en la identificación de los riesgos:

-Las instalaciones de procesamiento de la información a los cuales requiere acceso la parte externa

-El tipo de acceso que la parte externa tendrá a la información y a las instalaciones de procesamiento de la información

-Los controles necesarios para proteger la información que no ha sido prevista que sea accesible por las partes externas

Ejemplos de partes externas:

proveedores de servicios, como ser proveedores

de servicios de Internet (ISPs), proveedores de red,

servicio telefónico, servicios de mantenimiento y soporte

b)servicios de seguridad

contratación externa de instalaciones, por ejemplo: sistemas de TI, servicios de recolección de datos, operaciones del centro de

llamados

desarrolladores y proveedores, por ejemplo: de productos de software y de sistemas de TI

e)limpieza, abastecimiento y otros servicios de soporte contratados externamente

personal temporal, colocación de estudiantes y otros cargos de corto plazo ocasionales.

6.2.2 Tener en cuenta la seguridad cuando se trata con clientes

Tratar todos los requisitos de seguridad identificados, antes de brindarles a los clientes acceso a activos o información de la Organización. Considerar:

a)Protección de activos

b)Descripción del producto y servicio a ser provisto c)Las diferentes razones, requisitos y beneficios del acceso del cliente

d)Política de control de acceso

e)Una descripción de cada servicio que debe estar disponible

f)El nivel a alcanzar por el servicio y los niveles inaceptables del servicio

6.2.3 Tener en cuenta la seguridad en los acuerdos con terceras partes

Los acuerdos con terceros deben cubrir todos los requisitos pertinentes de seguridad de la información. Considerar:

Asegurar la concientización del usuario sobre responsabilidades y aspectos de la seguridad de la información

El reporte y la notificación y de los incidentes de seguridad de la información y las brechas de seguridad, así como violaciones de los requisitos establecidos en los acuerdos

El nivel a alcanzar por el servicio y los niveles inaceptables del servicio

El derecho al seguimiento y a revocar cualquier actividad relacionada con los activos de la organización

 

7 Gestión de activos

7.1 Responsabilidad sobre los activos:

Objetivo: Implementar y mantener una adecuada protección sobre los activos de la organización

7.1.1 Inventario de activos : Todos los activos deben tener un responsable y se recomienda asignar a un propietario para cada uno de ellos Esto incluye tipo de activo, formato, localización, información del respaldo, información de licencias e importancia para el negocio

Ejemplos de activos :

a) Información: archivos y bases de datos, contratos, documentación de sistemas, procedimientos operativos , planes de continuidad del negocio

b)Activos de software: software de aplicación, software de sistemas, herramientas de desarrollo y utilitarios

c)Activos físicos: computadoras, equipos de comunicaciones, medios removibles y otros equipos

d)Servicios: calefacción, iluminación, suministro de energía y aire acondicionado

e)Recursos humanos f)Intangibles

7.1.2 Propiedad de los activos: Toda la información y los activos asociados con las instalaciones de procesamiento de la información deben pertenecer a un propietario designado por la organización

7.1.3 Uso aceptable de los activos: Todos los empleados, contratistas y usuarios de terceras partes deben seguir las reglas para el uso aceptable de la información y de los activos asociados con las instalaciones de procesamiento de la información.

Ejemplo: reglas para el uso del correo electrónico e Internet

 

7.2 Clasificación de la información:

 

7.2.1 Directrices de clasificación: La información debe ser clasificada en términos de sus requisitos legales, sensibilidad y criticidad para la organización

7.2.2 Etiquetado y manejo de la información: Los procedimientos para el etiquetado y el manejo de la información basado en el sistema de clasificación de la información, deberán ser definidos e implementados . La información debe ser clasificada en cuanto a su valor para la organización.

Ejemplo:

a)CONFIDENCIAL

b)RESERVADA

c)INTERNA

 

8 Seguridad ligada a los recursos humanos

8.1 Previo al empleo:

Objetivo: Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades, y que sean aptos para los roles para los cuales están siendo considerados, y para reducir el riesgo de hurto, fraude o mal uso de las instalaciones

8.1.1 Roles y responsabilidades

Los roles y responsabilidades de la seguridad de la información deben ser definidos y comunicados a los candidatos a puestos durante el proceso de pre-empleo 8.1.2 Selección

Deben ser realizadas las verificaciones de antecedentes en todos los candidatos al empleo, contratistas y usuarios de terceras partes de acuerdo con las leyes, regulaciones y normas éticas relevantes, en proporción a los requisitos del negocio, la clasificación de la información a ser accedida, y los riesgos percibidos. 8.1.3 Términos y condiciones de empleo

Los empleados, contratistas y usuarios de terceras partes deben acordar y firmar los términos y condiciones de su contrato de empleo, el cual deben declarar las responsabilidades de él y de la organización para la seguridad de la información.

 

8.2  Durante al empleo:

Objetivo: Asegurar que los empleados, contratistas y usuarios de terceras partes sean conscientes de las amenazas y la pertinencia de la seguridad de la información, de sus responsabilidades y obligaciones, y estén equipados para sustentar la política de seguridad de la organización en el curso de su trabajo normal, y para reducir el riesgo de errores humanos.

8.2.1 Responsabilidades de la dirección

La dirección debe solicitar a los empleados, contratistas y usuarios de terceras partes que apliquen la seguridad de acuerdo a las políticas y los procedimientos establecidos por la organización. 8.2.2 Concientización, educación y formación en seguridad de la información

Todos los empleados y, donde sea relevante, contratistas y usuarios de terceras partes deben recibir formación adecuada en concientización y actualizaciones regulares en políticas y procedimientos organizacionales, relevantes para su función laboral.

8.2.3 Proceso disciplinario

Debe ser establecido un proceso disciplinario formal para empleados que han perpetrado una violación a la seguridad.

 

8.3 Finalización o cambio de la relación laboral o empleo:

Objetivo: Asegurar que los empleados, contratistas o usuarios de terceras partes se desvinculen de una organización o cambien su relación laboral de una forma ordenada.

8.3.1 Responsabilidades en la desvinculación

Las responsabilidades en la desvinculación deben ser claramente definidas y atribuidas

Las responsabilidades y obligaciones contenidas en los contratos de los empleados, contratistas o terceras partes, deberán ser válidas, incluso luego del cierre de actividades

8.3.2 Devolución de activos

Empleados, contratistas y usuarios de terceras partes deben devolver todos los activos de la organización que estén en su posesión como consecuencia de la finalización de su relación laboral, contrato o acuerdo.

8.3.3 Remoción de derechos de acceso

Los derechos de acceso de todo empleado, contratista o usuario de terceras partes a información e instalaciones de procesamiento de la información deben ser removidos como consecuencia de la desvinculación de su empleo, contrato o acuerdo, o ajustado cuando cambia

 

9 Seguridad física y del ambiente

9.1 Áreas Seguras :

Objetivo: Evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones y la información de la organización

9.1.1 Perímetro de seguridad física

9.1.2 Controles de accesos físico

9.1.3 Seguridad de oficinas, despachos e Instalaciones

9.1.4 Protección contra amenazas externas y del ambiente

Debe ser planeada e implementada la protección contra incendios, inundaciones, terremotos, explosiones, disturbios civiles, y por otras formas de desastre natural o artificial

Los equipamientos de reserva y los medio de respaldo deben estar localizados a una distancia prudente para evitar daños producto de un desastre que afecten al emplazamiento principal;

9.1.5 El trabajo en las áreas seguras

9.1.6 Áreas de acceso público, de entrega y de carga

 

9.2 Seguridad del equipamiento:

Objetivo: Prevenir pérdidas, daños, hurtos o comprometer los activos así como la interrupción de las actividades de la organización 9.2.1 Ubicación y protección del equipamiento

9.2.2 Elementos de soporte

Contempla otros elementos de soporte además del suministro de energía

9.2.3 Seguridad en el cableado

9.2.4 Mantenimiento del equipamiento

9.2.5 Seguridad del equipamiento fuera de las instalaciones de la organización

9.2.6 Seguridad en la reutilización o eliminación de equipos

9.2.7 Retiro de bienes

Equipamientos, información o software no deben ser retirados de su localización sin autorización previa

Se recomienda identificar aquellos empleados, contratistas y usuarios de terceras partes que tengan autoridad para permitir el retiro de activos, fuera de los locales de la organización;

 

10 Gestión de comunicaciones y operaciones

10.1 Procedimientos operacionales y responsabilidades:

Objetivo: Asegurar la operación correcta y segura de las instalaciones de procesamiento de información

10.1.1 Procedimientos documentados de Operación: La gestión de las pistas de auditoría y de la información del registro del sistema

10.1.2 Gestión de cambios

Planificación y pruebas de los cambios; 10.1.3 Segregación de tareas

Verificar que ninguna persona pueda tener acceso, modificar o utilizar activos sin autorización o detección.

10.1.3 Separación de los recursos para desarrollo, prueba y producción

 

10.2 Gestión de la entrega del servicio por terceras partes :

Objetivo: Implementar y mantener un nivel apropiado de la seguridad de la información y la entrega del servicio, acorde con los acuerdos de entrega del servicio por terceras partes

10.2.1 Entrega del servicio

Definir los requisitos de seguridad de la información con un usuario de terceras partes

Asegurar que un usuario de terceras partes tenga la capacidad de cumplimiento y planificación que garantice que los niveles de continuidad de servicios acordados sean mantenidos después de una falta de servicios o un desastre

10.2.2 Supervisión y revisión de los servicios por terceras partes

Realizar seguimiento a los niveles de desempeño de los servicios y analizar los informes

Brindar información sobre los incidentes en seguridad de la información 10.2.3 Gestión de cambios en los servicios de terceras partes

Considerar los cambios realizados por la organización (mejoras de los servicios, nuevas aplicaciones o actualizaciones)

Considerar los cambios en los servicios de usuarios de terceras partes (uso de nuevas tecnologías, nuevos productos, cambios de localización física, nuevas asociaciones)

 

10.3 Planificación y aceptación del sistema:

Objetivo: Minimizar el riesgo de fallos de los sistemas.

10.3.1 Gestión de la capacidad. Realizar proyecciones de los futuros requisitos de capacidad

10.3.2 Aceptación del sistema

 

10.4 Protección contra código malicioso y código móvil:

Objetivo: Proteger la integridad del software y de la información

10.4.1 Controles contra código malicioso

10.4.2 Controles contra código móvil

Evitar la ejecución de código móvil no autorizado

Asegurar que lo código móvil no autorizado tenga su ejecución impedida

Bloquear cualquier tipo de uso de código móvil no autorizado

Controlar los recursos disponibles para el acceso al código móvil

Definir los controles criptográficos de autenticación del código móvil

 

10.5 Respaldo:

Objetivo: Mantener la integridad y disponibilidad de la información y de las instalaciones de procesamiento de la información

10.5.1 Respaldo de la información

Los controles aplicados a los soportes en el sitio principal se deben ampliar para cubrir el sitio de respaldo

Los soportes de respaldo deben ser probados regularmente para asegurarse de que pueden ser confiables para el uso cuando sean necesarios

 

10.6 Gestión de la seguridad de red:

Objetivo: Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.

10.6.1 Controles de red

10.6.2 Seguridad de los servicios de red

Considerar los servicios de red proporcionados de manera interna o externa

Definir los niveles de servicio, hacer seguimiento regular y auditar

Asegurar la implementación de los controles por los proveedores de servicios de red

 

10.7 Manejo de los medios:

Objetivo: Evitar la divulgación, la modificación, la eliminación o destrucción de los activos y la interrupción de las actividades del negocio no autorizados

10.7.1 Gestión de los medios removibles

Almacenar los medios físicos de forma segura en un ambiente protegido y de acuerdo con las especificaciones del fabricante

Mantener el registro de remoción de medios físicos como pista de auditoría

10.7.2 Eliminación de los medios

Eliminar los medios de forma segura

10.7.3 Procedimientos para el manejo de la Información

10.7.4 Seguridad de la documentación de sistemas

 

10.8 Intercambio de información:

Objetivo: Mantener la seguridad de la información y software intercambiado dentro de una organización y con cualquier otra entidad

10.8.1 Políticas y procedimientos de intercambio de información

Formular procedimientos diseñados para proteger el intercambio de información de la intercepción, copiado, modificación, desviación, y destrucción;

Adoptar procedimientos para el uso de la comunicaciones inalámbricas tomando en consideración los riesgos particulares involucrados

Evitar dejar información sensible o critica en el equipamiento de impresión, por ejemplo, fotocopiadoras, impresoras o fax

10.8.2 Acuerdos de intercambio

10.8.3 Medio físico en transito

10.8.4 Mensajería electrónica

10.8.5 Sistemas de Información de negocio

 

10.9 Servicios de comercio electrónico :

Objetivo: Garantizar la seguridad de los servicios de comercio electrónico, así como su uso seguro.

10.9.1 Comercio electrónico

Considerar mecanismos de autenticación

Asegurar la confidencialidad y la integridad de cualquier orden de transacción, información de pago, detalles de dirección de envío y confirmación de recepción

10.9.2 Transacciones en línea

Contemplar el uso de firmas electrónicas

Garantizar que el camino de comunicación entre todas las partes involucradas se encuentre criptografiado.

10.9.3 Información accesible públicamente

Crear mecanismos para garantizar la integridad de la información disponible en sistemas de acceso público, con el fin de prevenir modificaciones no autorizadas

 

10.10 Seguimiento y control:

Objetivo: Detectar actividades de procesamiento de información no autorizadas

10.10.1 Registros de auditoría

Ejemplos: identificación (ID) de usuario, fechas, horas, y los detalles de acontecimientos claves, registros de los intentos aceptados y rechazados de acceso al sistema, archivos accedidos y la clase de acceso y activación y desactivación de sistemas de protección

10.10.2 Supervisión del uso de sistemas: Crear procedimientos para hacer seguimiento del uso de los recursos del procesamiento de información

10.10.3 Protección de la información de registros (logs): Proteger la información de los registros (log), contra falsificación y acceso no autorizado

10.10.4 Registros del administrador y operador

10.10.5 Registro de fallas

10.10.6 Sincronización de relojes

 

11 Control de Acceso  

11.1 Requisitos de negocio para el control de acceso:

Objetivo: Controlar el acceso a la información.

11.1 Requisitos de negocio para el control de Acceso

Adoptar como premisa:“Todo está generalmente prohibido salvo que expresamente sea permitido”

Aplicar el concepto “Need do know”

 

11.2 Gestión del acceso de usuarios:

Objetivo: Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas de información.

11.2.1 Registro de usuarios

11.2.2 Gestión de privilegios

11.2.3 Gestión de contraseñas del usuario

11.2.4 Revisión de derechos de acceso de usuario

Realizar una revisión de los derechos de acceso de los usuarios en intervalos regulares

 

11.3 Responsabilidades del usuario:

Objetivo: Prevenir el acceso de usuario no autorizado, y el robo o compromiso de la información y de las instalaciones de procesamiento de la información

11.3.1 Uso de Contraseña

Orientar a los usuarios sobre mantener confidencialidad sobre las contraseñas;

Seleccionar contraseñas de calidad

Cambiar las contraseñas regularmente

11.3.2 Equipamiento desatendido por el usuario

11.3.3 Política de escritorio y pantalla limpios

Guardar la información crítica o sensible en un lugar seguro

Proteger los computadores con mecanismos de bloqueo de pantalla

Retirar inmediatamente de las impresoras documentos con información sensible o crítica

 

11.4 Control de acceso a la red:

Objetivo: Prevenir el acceso no autorizado a los servicios en red.

11.4.1 Políticas sobre el uso de servicios en red

11.4.2 Autenticación de usuarios para conexiones externas

11.4.3 Identificación de equipamiento en la red

11.4.4 Protección de los puertos de configuración y diagnóstico remoto

11.4.5 Separación en redes

11.4.6 Control de conexión de red

11.4.7 Control de enrutamiento de red

 

11.5 Control de acceso al sistema operativo:

Objetivo: Evitar el acceso no autorizado a los sistemas

operativos.

11.5.1 Procedimientos de conexión (log-on) seguros: Limitar el número de intentos fallidos de conexión,

11.5.2 Identificación y autenticación del usuario

11.5.3 Sistema de gestión de contraseñas

Crear mecanismos que obliguen a escoger contraseñas de calidad

Obligar al cambio de contraseña

Obligar al usuario a cambiar de contraseña temporalmente

Almacenar y transmitir las contraseñas de manera protegida

11.5.4 Utilización de utilitarios del sistema

11.5.5 Desconexión automática de sesiones

11.5.6 Limitación del tiempo de conexión

 

11.6 Control del acceso a las aplicaciones y a la información

Objetivo: Evitar el acceso no autorizado a la información contenida en los sistemas de aplicación.

11.6.1 Restricciones del acceso a la información

11.6.2 Aislamiento de sistemas sensibles

 

11.7 Informática móvil y trabajo remoto

Objetivo: Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y trabajo remoto

11.7.1 Informática y comunicaciones móviles

Considerar los requisitos de protección física, controles de acceso, copias de seguridad y protección antivirus.

Cuidados con los recursos en lugares desprotegidos

11.7.2 Trabajo remoto

 

12 Adquisición, desarrollo y mantenimiento de los sistemas de información

12.1 Requisitos de seguridad de los sistemas de información

Objetivo: Asegurar que la seguridad es parte integral de los sistemas de información.

12.1.1 Análisis y especificación de los requisitos de seguridad

 

12.2 Procesamiento correcto en las aplicaciones

Objetivo: Prevenir errores, pérdida, modificación no autorizada o mal uso de información en aplicaciones.

12.2.1 Validación de datos de entrada

12.2.2 Control de procesamiento interno

12.2.3 Integridad del mensaje

12.2.4 Validación de los datos de salida


12.3 Controles criptográficos

Objetivo: Proteger la confidencialidad, autenticidad e integridad de la información por medios criptográficos.

12.3.1 Política sobre el empleo de controles criptográficos

12.3.2 Gestión de claves

 

12.4 Seguridad de los archivos del sistema

Objetivo: Garantizar la seguridad de los archivos del sistema

12.4.1 Control de software en producción

12.4.2 Protección de datos de prueba del sistema

12.4.3 Control de acceso al código fuente de programas


12.5 Seguridad en los procesos de desarrollo y soporte

Objetivo: Mantener la seguridad del software de aplicación e información

12.5.1 Procedimientos de control de cambio

12.5.2 Revisión técnica de aplicaciones después de cambios del sistema operativo

12.5.3 Restricciones sobre cambios a paquetes de Software

12.5.4 Fuga de Información

12.5.5 Desarrollo externo de software

 

12.6 Gestión de vulnerabilidad técnica

Objetivo: Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicadas

12.6.1 Control de vulnerabilidades técnicas

 

13 Gestión de incidentes de la Seguridad de la Información  Status:  NO se tiene en el XXXX

13.1 Reporte de debilidades y eventos de seguridad de la información:

Objetivo: Asegurar que las debilidades y eventos de seguridad de la información asociados a sistemas de información son comunicados de manera de permitir tomar acciones correctivas a tiempo

13.1.1 Reportando eventos de seguridad de la información

Comunicar a los empleados, contratistas y usuarios de partes externas la responsabilidad que ellos tienen de notificar cualquier evento de seguridad de la información, lo más rápido posible

Capacitar a los empleados, contratistas y usuarios de partes externas en los procedimientos de notificación de incidentes de seguridad de la información

Alertar a los empleados, contratistas y usuarios de partes externas para no tomar ninguna acción propia e informar de manera inmediata el evento al punto designado de contacto

Crear un proceso disciplinario formal para tratar con los empleados, contratistas y usuarios de partes externas que cometan violaciones a la seguridad de la información

13.1.2 Notificación de las debilidades de seguridad

Ejemplos de incidentes de seguridad de la información:

-Robo o pérdida de computadores portátiles, pendrives, hardware o token

Notebooks sin asistencia técnica y sin fijación del cable

-Sesión de trabajo no atendida (sin el usuario presente) y sin estar bloqueada

-Claves y contraseñas de acceso compartidas o expuestas

-Individuos circulando sin identificación

-Falla en el control de acceso físico (instalaciones) y en la lógica de seguridad electrónica)

-Información reservada expuesta en el escritorio, fotocopiadoras, basuras o impresoras

-Publicación no autorizada de información reservada

-Uso de la información y los recursos de la compañía para beneficios personales

-Uso indebido de correo electrónico, sobretodo cadenas de mensajes

-Uso indebido del servicio de internet, sobretodo para acceder a los sitios no entorno de trabajo

-Instalación de un sistema de aplicación no autorizado

-Intentos (exitoso o fallido) de lograr acceso no autorizado a la información

 

13.2 Gestión de incidentes y mejoras de seguridad de la información:

Objetivo: Asegurar que un enfoque consistente y eficaz se aplica a la gestión de los incidentes de seguridad de la información.

13.2.1 Responsabilidades y procedimientos

Elaborar procedimientos de gestión para asegurar una respuesta rápida, eficaz, y ordenada a los incidentes de seguridad de la información ØAnalizar e identificar la causa de un incidente

Implementar la acción correctiva para prevenir su repetición 13.2.2 Aprendiendo de los incidentes de seguridad de la información

Analizar el incidente de seguridad de la información teniendo en cuenta la mejora de los controles existentes o la implementación de controles adicionales

13.2.3 Recolección de evidencia . Recolectar y retener las evidencias, asegurando su calidad y completud

 

14 Gestión de la continuidad del negocio
14.1 Aspectos de seguridad de la información en la gestión de la continuidad del negocio
:

Objetivo: Contrarrestar interrupciones a las actividades del negocio y proteger los procesos críticos del negocio contra los efectos de fallas importantes en los sistemas de información o contra desastres, y asegurar su restauración oportuna.

14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del Negocio

14.1.2 Continuidad del negocio y evaluación de riesgos

14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información

14.1.4 Estructura para la planificación de la continuidad del negocio

14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio

 

15 Cumplimiento

15.1 Cumplimiento de los requisitos legales:

Objetivo: Evitar los incumplimientos de cualquier ley, estatuto, regulación u obligación contractual, y de cualquier requisito de seguridad

15.1.1 Identificación de la legislación aplicable

15.1.2 Derechos de propiedad intelectual

15.1.3 Protección de los registros de la Organización

15.1.4 Protección de los datos y privacidad de la información personal

15.1.5 Prevención del uso inadecuado de las instalaciones de procesamiento de la información

 

15.2 Cumplimiento de la política y las normas de seguridad, y cumplimiento técnico

Objetivo: Asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.

15.2.1 Cumplimiento de las políticas y normas de Seguridad

15.2.2 Verificación del cumplimiento técnico

 

15.3 Consideraciones sobre la auditoría de sistemas de información

Objetivo: Maximizar la efectividad de, y reducir al mínimo la interferencia desde o hacia, el proceso de auditoría del sistema de información

15.3.1 Controles de auditoría de sistemas de Información

15.3.2 Protección de las herramientas de auditoría de sistemas de información

 

Nota:  la fuente de este documento es la Norma ISO/IEC 270001 publicada por Coguanor del Ministerio de Economia en el 2010.  Para mayor información: www.mineco.gob.gt

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

* 4+6=?