Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

5.1. Politicas de seguradad de la informacion

No description
by

luis cabal

on 11 February 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of 5.1. Politicas de seguradad de la informacion

7. GESTIÓN DE ACTIVOS
Dominios , Objetivos de control y Controles
ISO/IEC 27002:2005
8. SEGURIDAD EN RECURSOS HUMANOS
6. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD

5.1 Política de seguridad de la información
5.1.1 Documento de política de seguridad de la información.
La gerencia deber aprobar, publicar y comunicar a todos los empleados, en
la forma adecuada, un documento de política de seguridad de la información.

Esta política Debe distribuirse por toda la organización, llegando hasta a todos los destinatarios en una forma que sea apropiada, entendible y accesible.

5.1.2 Revisión de la política de seguridad de la información.

La política de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.


5. POLÍTICA DE SEGURIDAD

6.1 Organización interna.
6.1.1 Compromiso de la gerencia
con la información.
La gerencia debe apoyar activamente en la seguridad dentro de la organización a través de direcciones claras demostrando compromiso,
asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de información.

La gerencia debe identificar las necesidades de asesoría especialista ya sea interna o externa, revisando y coordinando los resultados de la esta a través de la organización.
6.1.2 Coordinación de la segurida de la información
La información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.

6.1.3 Asignación de responsabilidades sobre seguridad de la información.
Deben definirse claramente las responsabilidades.
La asignación de responsabilidades sobre seguridad de la información deben hacerse en concordancia con la información de la política de seguridad. Las responsabilidades para la protección de activos individuales y para llevar a cabo procesos de seguridad específicos deben ser claramente identificadas.
Esta asignación, debe completarse, dónde sea necesario, con una guía más detallada para ubicaciones, sistemas o servicios específicos. Debe definirse claramente las responsabilidades locales para activos físicos y de información individualizados y los procesos de seguridad como, por ejemplo, el plan de continuidad del negocio.

6.1.4 Proceso de autorización de recursos para el tratamiento de la información.

Debe establecerse un proceso de autorización para la gestión de cada nuevo recurso de tratamiento de la información.
6.1.5 Acuerdos de confidencialidad.
Deben ser mantenidos contactos apropiados con autoridades relevantes.

Las organizaciones deben de tener procedimientos instalados que especifiquen cuando y por que autoridades deben ser contactados y como los incidentes identificados en la seguridad de información deben ser reportados de una manera oportuna si se sospecha que las leyes han sido rotas.

Las organizaciones bajo ataque desde el Internet pueden necesitar de terceros (proveedor del servicio de Internet u operadores de telecomunicaciones) para tomar acción contra la fuente de ataque.

6.1.7 Contacto con grupos de interés especial.
Deben mantenerse contactos apropiados con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionales.

6.1.8 Revisión independiente de la seguridad de la información.
El alcance de la organización para gestionar la seguridad de información y su implementación (objetivos de control, controles, políticas, procesos y procedimientos para seguridad de información) deben ser revisados independientemente en intervalos planificados o cuando cambios significativos a la puesta en marcha de la seguridad ocurran.

6.1.6 Contacto con autoridades.
Requerimientos de confidencialidad o acuerdos de no divulgación que reflejen las necesidades de la organización para la protección de información deben ser identificadas y revisadas regularmente.

Confidencialidad o acuerdos de no divulgación deben anexar los requerimientos para proteger información confidencial usando términos
ejecutables legales.

Basado en los requerimientos de la seguridad de una organización, otros elementos pueden ser necesarios en una acuerdo de confidencialidad o de no-acceso.

6.2 Entidades externas.

6.2.1 Identificación de riesgos relacionados con entidades externas.
Los riesgos a la información de la organización y a las instalaciones del procesamiento de información desde los procesos del negocio que impliquen a terceros deben ser identificados y se debe implementar controles apropiados antes de conceder el acceso.


6.2.2 Tratamiento de la seguridad
cuando se trabaja con clientes.
Todos los requisitos identificados de seguridad deben ser anexados antes de dar a los clientes acceso a la información o a los activos de la organización.

Los requerimientos de seguridad relacionados con el acceso a los activos de la organización de los clientes pueden variar considerablemente dependiendo de las instalaciones del procesamiento de información y la información a la que se accede. Estos requerimientos en la seguridad pueden ser anexados usando acuerdos con los clientes, que contienen todos los riesgos identificados y los requerimientos de seguridad.

6.2.3 Requisitos de seguridad en contratos con terceras personas.

Los acuerdos con terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la organización o de las instalaciones de procesamiento de información o la adición de productos o servicios a las instalaciones, debe cubrir todos los requisitos de seguridad relevantes.
7.1 Responsabilidad por los activos.

7.1.1 Inventario de activos
Todos los activos deben se claramente identificados y se debe elaborar y mantener un inventario de todos los activos importantes.
7.1.2 Propiedad de los activos.

Toda la información y los activos asociados con el proceso de información
deben ser poseídos por una parte designada de la organización.

7.1.3 Uso aceptable de los activos
Las reglas para un uso aceptable de la información y de los activos asociados con las instalaciones del procesamiento de la información deben ser identificadas, documentados e implementadas.

Reglas específicas o guías deben ser provistas por la gerencia relevante.

Empleados, contratistas y usuarios de terceros usando o teniendo acceso a los activos de la organización deben estar al tanto de los limites existentes para el uso de la información de la organización y de los activos asociados con las instalaciones de procesamiento de información y recursos.
7.2 Clasificación de la información
7.2.1 Lineamientos de clasificación.
La información debe clasificarse en función de su valor, requisitos legales, sensibilidad y criticidad para la organización.

El nivel de protección puede ser determinado analizando la confidencialidad, integridad y disponibilidad u otro requisito para la información considerada.
7.2.2 Etiquetado y manejo de
la información.
Es importante definir un conjunto adecuado de procedimientos para marcar y tratar la información de acuerdo con el esquema de clasificación adoptado por la organización.

El marcado y la manipulación segura de la información clasificada es un requisito clave para acuerdos de información compartida. Las etiquetas
físicas son una forma común de marcado.

8.2 Durante el empleo
8.2.1 Gestión de responsabilidades
La gerencia debe requerir empleados, contratistas y usuarios de terceros para aplicar la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización.

8.2.2 Capacitación y educación
en la seguridad de información.
Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deben recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.

8.2.3 Proceso disciplinario.
Debe existir un proceso formal disciplinario para empleados que han
cometido un apertura en la seguridad.

El proceso disciplinario debe ser usado también como un impedimento para prevenir que los empleados, contratistas y usuarios de terceros violen las políticas y procedimientos organizacionales, así como cualquier otra apertura en la seguridad.


8.3 Terminación o cambio
del empleo
8.1 Antes del empleo.
8.1.1 Roles y responsabilidades.
Las funciones y responsabilidades de los empleados, contratistas y terceros deben ser definidas y documentadas en concordancia con la política de seguridad de la organización.

8.1.2 Selección.
Se debe llevar listas de verificación anteriores de todos los candidatos para
empleo, contratistas y terceros en concordancia con las leyes , regulaciones y la ética, al igual que proporcionalmente a los requerimientos del negocio, la clasificación de la información ha ser acezada y los riesgos percibidos.



8.1.3 Términos y condiciones de empleo
Como parte de su obligación contractual, empleados, contratistas y terceros deben aceptar y firmar los términos y condiciones del contrato de empleo el cual establecerá sus obligaciones y las obligaciones de la organización para la seguridad de información.

8.3.1 Responsabilidades
de terminación.
Las responsabilidades para realizar la finalización de un empleo o el cambio de este deben ser claramente definidas y asignadas.
8.3.2 Devolución de activos
Todos los empleados, contratistas y terceros deben retornar todos los activos de la organización que estén en su posesión hasta la finalización de su empleo, contrato o acuerdo.

8.3.3 Eliminación de
derechos de acceso.


Los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información deben ser removidos hasta la culminación del empleo, contrato o acuerdo, o debe ser ajustada en caso de cambio.
Full transcript