6.1 Organización interna.
6.1.1 Asignación de responsabilidades para la segur. de la información.
Control a ejecutar:
Se deben definir y asignar todas las responsabilidades de la seguridad de la información. "Existe un comité de seguridad de la información designado por la alta dirección el cual se reúne regularmente
La seguridad de la información es una responsabilidad institucional asumida por todos los miembros de la alta dirección
Guía de Referencia:
Son funciones del Comité de Seguridad de la Información: revisión y aprobación de la política de seguridad, aprobación de iniciativas para mejorar la seguridad y el establecimiento de metas.
La Junta y la Alta Dirección garantizan que la estrategia de seguridad es comunicada a los dueños de los procesos y terceros a través de la organización
La estrategia de seguridad está unida con la estrategia del negocio y recibe soporte y gestión.
Existe una estructura organizacional, donde se han definido los roles y responsabilidades para con la seguridad de la información"
6.1.2 Segregación de tareas.
Control a ejecutar:
Los deberes y áreas de responsabilidad en conflicto se deben separar para reducir las posibilidades de modificación no autorizada o no intencional, o el uso indebido de los activos de la organización.
Guía de Referencia:
Se ha realizado análisis de roles y funciones, para evitar los conflictos de intereses
Control a ejecutar:
Los deberes y áreas de responsabilidad en conflicto se deben separar para reducir las posibilidades de modificación no autorizada o no intencional, o el uso indebido de los activos de la organización.
Se ha realizado análisis de roles y funciones, para evitar los conflictos de intereses
Se han separado las tareas y áreas de responsabilidad que tienen conflicto de intereses.
6.1.3 Contacto con las autoridades.
Control a ejecutar:
Se deben mantener contactos apropiados con grupos de interés especial u otros foros y asociaciones profesionales especializadas en seguridad.
Guía de Referencia:
Posee la organización contacto con grupos en torno de la seguridad y protección de la información, incluyendo asesores externos.
6.1.5 Seguridad de la información en la gestión de proyectos.
Control a ejecutar:
La seguridad de la información se debe tratar en la gestión de proyectos, independientemente del tipo de proyecto.
Guía de Referencia:
En todos los proyectos de la organización se ha incluido un componente de seguridad de la información, donde se identifiquen los requerimientos de confidencialidad, integridad y disponibilidad.
6.2 Dispositivos para movilidad y teletrabajo.
6.2.1 Política de uso de dispositivos para movilidad.
Control a ejecutar:
Se deben adoptar una política y unas medidas de seguridad de soporte, para gestionar los riesgos introducidos por el uso de dispositivos móviles.
Guía de Referencia:
Existe una política y controles administrativos, técnicos y físicos para gestionar los riesgos relacionados con el uso de dispositivos móviles.
6.2.2 Teletrabajo.
Control a ejecutar:
Se deben implementar una política y unas medidas de seguridad de soporte, para proteger la información a la que se tiene acceso, que es procesada o almacenada en los lugares en los que se realiza teletrabajo.
Guía de Referencia:
Existen controles para conexiones seguras, desde el lugar de trabajo hasta la red de la compañía
Se cifran los datos de los dispositivos usados para teletrabajo
Existen directrices para el manejo seguro de computadores portátiles en todas sus formas, , teléfonos móviles, papeles que son transportados del trabajo al domicilio.
Si se permite el trabajo en casa, se efectúan evaluaciones de riesgo y se implementan controles entre ellos comunicaciones seguras con la oficina.
Conclusión:
La organización de la seguridad de la información cubre varios aspectos importantes, uno de los más importantes es la asignación de las responsabilidades donde se definen los roles y las responsabilidades dentro de la Compañía para garantizar las mejores prácticas de los procesos de Seguridad de la Información establecidos para la organización.
El objetivo principal de este documento es definir los roles y las responsabilidades dentro de la Compañía para garantizar las mejores prácticas de los procesos de Seguridad de la Información establecidos para La Organización
Este documento aplica a toda la información de La Organización sea física, digital almacenada en las oficinas, equipos de cómputo, servidores, software, bases de datos y otros sistemas o ubicaciones físicas que almacenen Información relevante para la operación de La Organización
Control a ejecutar:
Se deben mantener contactos apropiados con las autoridades pertinentes.
Guía de Referencia:
Posee la organización contacto con autoridades relevantes en materia de seguridad y protección de la información Ej.: ColCert, CSIRT-PONAL, CCP (Centro Cibernético Policial), SIC; y se mantiene actualizado este directorio.
6.1.4 Contacto con grupos de interés especial.Se deben mantener contactos apropiados con las autoridades pertinentes.
Guía de Referencia:
Posee la organización contacto con autoridades relevantes en materia de seguridad y protección de la información Ej.: ColCert, CSIRT-PONAL, CCP (Centro Cibernético Policial), SIC; y se mantiene actualizado este directorio.
Control a ejecutar:
Se deben mantener contactos apropiados con grupos de interés especial u otros foros y asociaciones profesionales especializadas en seguridad.
Guía de Referencia:
Posee la organización contacto con grupos en torno de la seguridad y protección de la información, incluyendo asesores externos.
6.1.5 Seguridad de la información en la gestión de proyectos.
Control a ejecutar:
La seguridad de la información se debe tratar en la gestión de proyectos, independientemente del tipo de proyecto.
En todos los proyectos de la organización se ha incluido un componente de seguridad de la información, donde se identifiquen los requerimientos de confidencialidad, integridad y disponibilidad.
6.2.1 Política de uso de dispositivos para movilidad.
Control a ejecutar:
Se deben adoptar una política y unas medidas de seguridad de soporte, para gestionar los riesgos introducidos por el uso de dispositivos móviles.
Guía de Referencia:
Existe una política y controles administrativos, técnicos y físicos para gestionar los riesgos relacionados con el uso de dispositivos móviles.
Control a ejecutar:
Se deben implementar una política y unas medidas de seguridad de soporte, para proteger la información a la que se tiene acceso, que es procesada o almacenada en los lugares en los que se realiza teletrabajo.
Guía de Referencia:
Existen controles para conexiones seguras, desde el lugar de trabajo hasta la red de la compañía
Se cifran los datos de los dispositivos usados para teletrabajo
Existen directrices para el manejo seguro de computadores portátiles en todas sus formas, , teléfonos móviles, papeles que son transportados del trabajo al domicilio.
Si se permite el trabajo en casa, se efectúan evaluaciones de riesgo y se implementan controles entre ellos comunicaciones seguras con la oficina.
La organización de la seguridad de la información cubre varios aspectos importantes, uno de los más importantes es la asignación de las responsabilidades donde se definen los roles y las responsabilidades dentro de la Compañía para garantizar las mejores prácticas de los procesos de Seguridad de la Información establecidos para la organización.
El objetivo principal de este documento es definir los roles y las responsabilidades dentro de la Compañía para garantizar las mejores prácticas de los procesos de Seguridad de la Información establecidos para La Organización
Este documento aplica a toda la información de La Organización sea física, digital almacenada en las oficinas, equipos de cómputo, servidores, software, bases de datos y otros sistemas o ubicaciones físicas que almacenen Información relevante para la operación de La Organización
El documento que dejo al final es una guía para su implementación y aplica a toda la información de la organización sea física, digital almacenada en las oficinas, equipos de cómputo, servidores, software, bases de datos y otros sistemas o ubicaciones físicas que almacenen Información relevante para la operación de la organización.
El siguiente documento es un guía donde se describen los posibles roles, responsabilidades y alcance del sistema de gestión de seguridad de la información.
Publicado: 26/02/2018
No hay comentarios.:
Publicar un comentario