5. POLÍTICAS DE SEGURIDAD.
5.1 Directrices de la Dirección en seguridad de la información.
5.1.1 Conjunto de políticas para la seguridad de la información.
Control a Ejecutar:
Se debe definir un conjunto de políticas para la seguridad de la información, aprobada por la dirección, publicada y comunicada a los empleados y a las partes externas pertinentes.
Guía de Referencia:
Existe un documento de políticas escrito, aprobado por la gerencia y disponible para todos los usuarios.
La política contiene una declaración de la intención de la gerencia de apoyar las metas y/o principios de seguridad de la información, así como la definición de las responsabilidades de la organización entorno de la seguridad de la información
La política contiene de manera general el manejo y reporte de incidentes.
La política contiene una breve explicación de las políticas de seguridad; principios; normas; requisitos de cumplimiento, de capacitación y concientización en seguridad, de gestión de continuidad de negocio y consecuencias a las violaciones de seguridad.
Las Políticas de seguridad de la información se comunican a todos los usuarios (empleados y partes externas pertinentes) de manera pertinente, accesible y comprensible para el lector.
5.1.2 Revisión de las políticas para la seguridad de la información.
Control a Ejecutar:
Las politicas para la seguridad de la información se deben revisar a intervalos planificados, o si ocurren cambios significativos, para asegurar su conveniencia, adecuación y eficacia contiuas.
Guia de referencia:
Existe definido un proceso de revisión, que incluya fechas de revisión así como responsables de mantener el documento de políticas
Las revisiones periódicas contemplan: la efectividad de la política, costo, impacto de los controles, efectos de los cambios tecnológicos, registro de los resultados de las revisiones.
Existe y se mantiene el registro de la aprobación de la Gerencia a los cambios en las políticas.
Conclusión:
El primer domino de la norma ISO 27002 da unas pautas para iniciar la implementación del sistema de seguridad de la información, entre estas se encuentran las políticas de seguridad de la información, las cuales deben ser revisadas y autorizadas por la alta dirección, estas políticas son un conjunto de lineamientos que ayudan a la seguridad de la información, las políticas de seguridad de la información deben ser socializadas y entendidas por todo el personal, también se deben realizar capacitaciones periódicas del personal para crear un ambiente óptimo para la seguridad de la información.
A continuación se detallan algunos puntos que se pueden incluir en el desarrollo de las políticas de seguridad de la información.
Al final de este artículo podrá descargar el documento completo como guía para la implementación de las políticas de seguridad de la información
Algunos aspectos que se deben tener en cuenta para la implementación de las políticas de seguridad de la información son los siguientes
Todos los empleados deben respetar y cumplir las políticas, normas y procedimientos establecidos para la seguridad de la información.
Todos los empleados son responsables de proteger la información y recursos de la organización, especialmente los que se encuentren bajo su custodia de acuerdo a las políticas establecidas.
Todo uso de recursos tecnológicos por parte de los empleados, debe ser con fines laborales del cargo y funciones para los que fue contratado.
Todas las áreas físicas (oficinas, archivo, salones, etc.) que contengan información confidencial deben permanecer adecuadamente aseguradas.
Los visitantes deben permanecer acompañados de un funcionario de la organización durante los recorridos en áreas donde se encuentre información sensible.
Fuera del horario normal de trabajo, todos los funcionarios deben despejar sus escritorios y áreas de trabajo, de tal manera que todos los datos o equipos tecnológicos valiosos y/o sensibles estén resguardados adecuadamente.
Las estaciones de trabajo deben apagarse al final del día, a la hora de almuerzo, al terminar una sesión o cuando no esté en uso por largos periodos de tiempo, permitiendo buenas prácticas ambientales, se debe tener como excepción los equipos tecnológicos que dada alguna necesidad expresada en tecnología deban permitir la continuidad al negocio, como los equipos alojados en el Datacenter o equipos de soporte.
Periódicamente debe llevarse a cabo una revisión externa e independiente de los controles de los sistemas informáticos para determinar su calidad y cumplimiento.
Está prohibido guardar información con contenidos pornográficos o que hagan apología al delito que puedan ofender a otros usuarios o comprometer la imagen y reputación de la organización.
No se permite lanzar cualquier tipo de virus, gusanos, macros, controles ActiveX o similares, que afecte el funcionamiento de los diferentes sistemas y recursos informáticos.
Está prohibido descargar, distribuir o almacenar videos, música, imágenes, documentos y/o cualquier otro software o archivo protegido por derechos de autor y propiedad intelectual.
No está permitido el uso de los recursos informáticos de la organización con el objetivo de obtener cualquier tipo de ganancia económica personal.
El empleado debe ser responsable y garantizar un uso seguro del equipo que le ha sido asignado.
No está permitido el uso consumo de alimentos o bebidas cerca de los equipos de cómputo.
Está prohibido guardar información con contenidos pornográficos o que hagan apología al delito que puedan ofender a otros usuarios o comprometer la imagen y reputación de la organización.
No se permite lanzar cualquier tipo de virus, gusanos, macros, controles ActiveX o similares, que afecte el funcionamiento de los diferentes sistemas y recursos informáticos.
Está prohibido descargar, distribuir o almacenar videos, música, imágenes, documentos y/o cualquier otro software o archivo protegido por derechos de autor y propiedad intelectual.
No está permitido el uso de los recursos informáticos de la organización con el objetivo de obtener cualquier tipo de ganancia económica personal.
El empleado debe ser responsable y garantizar un uso seguro del equipo que le ha sido asignado.
No está permitido el uso consumo de alimentos o bebidas cerca de los equipos de cómputo.
No hay comentarios.:
Publicar un comentario