organizacion de la seguridad de la informacion

ORGANIZACIÓN INTERNA

Se debería establecer una estructura  de gestión para iniciar y controlar la implementacion de la seguridad de la información dentro de la organización .
 La dirección debería aprobar la política de seguridad de la información , asimilar la información de seguridad, coordinar y revisar la implementacion  de la seguridad en toda la organización

Compromiso de la dirección con la seguridad de la información

la dirección se debería:

a) asegurar que la metas de la seguridad de la información están identificadas , satisfacen los requisitos de la organización y están integradas en los procesos pertinentes;

b) formular , revisar y aprobar la política de seguridad de la información ;

c) revisar la eficacia de la implementacion de la política de seguridad de la información ;

d) proporcional un rumbo claro y apoyo visible para iniciativas de la seguridad :

e) proporcional los recursos necesario  para la seguridad de la información :

f) aprobar la asignación de funciones y responsabilidades especificas para la seguridad de la información de todo la organización ;9

g) iniciar planes y programas para mantener la concientizacion sobre la información;

h) asegurar la coordinación organización de implementacion de los controles de seguridad de la información

COORDINACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

CONTROL:
las actividades de la seguridad de la información deberían ser coordinados por los representantes de todas las partes de la organización con roles y funciones laborales pertinentes.

esta actividad debería:

a)garantizar que las actividades de seguridad se efectúan en cumplimiento de la política de seguridad de la información

b) identificar la forma de manejar los incumplimientos;

c)aprobar metodologías y procesos para la seguridad  de la información, como la evaluación de riesgos y la clasificación de información.

d)identificar cambios significativos en las amenazas y la exposición de la información y de los servicios de procesamiento de la información a las amenazas.

e)evaluarla idoneidad y coordinar la implementacion de los controles de seguridad de la información.

f)promover eficazmente la educación, la formación y la concientizacion de la seguridad de la información en toda la organización.

g)valorar la información recibida del monitoreo y la revisión de los incidentes de seguridad de la información, y recomendar las acciones apropiadas para responder a los incidentes identificados de la seguridad de la información.

ASIGNACIÓN DE RESPONSABILIDADES PARA LA SEGURIDAD DE LA INFORMACIÓN

se deberían definir claramente todas las responsabilidades en cuanto a seguridad de la información

a)los activos y los procesos de seguridad asociados con cada sistema particular se deberían identificar y definir claramente

 b)se deberían asignar la entidad responsables de cada activo o proceso de seguridad, así como documentar esta responsabilidad

c) se deberían definir y documentar claramente los niveles de autorización.

Abordaje de la seguridad cuando se trata con los clientes

Todos los requisitos de seguridad identificados se deberían abordar antes de dar acceso a los

clientes a los activos o la información de la organización.

protección de activos, incluyendo:
1)  procedimientos para proteger los activos de la organización, incluyendo
información y software, y gestión de las vulnerabilidades conocidas;
2)  procedimientos para determinar si alguna vez se han puesto en peligro los
activos, por ejemplo pérdida o modificación de datos;
3)  integridad;
4)  restricciones a la copia y la divulgación de la información;
b)  descripción del producto o servicio que se va proveer;
c)  las diversas razones, requisitos y beneficios del acceso del cliente;
política de control del acceso, incluyendo:
1)  métodos de acceso permitido y control y uso de identificadores únicos tales
como la identificación del usuario (ID) y las contraseñas;
2)  proceso de autorización para los privilegios y el acceso de los usuarios;
3)  declaración de que el acceso que no se autorice explícitamente está prohibido;
4)  proceso para revocar los derechos de acceso o interrumpir la conexión entre los
sistemas;
e)  convenios para el reporte, la notificación y la investigación de las inexactitudes de la
información (por ejemplo de detalles personales), incidentes de seguridad de la
información y violaciones de la seguridad.
f)  descripción de cada servicio que va a estar disponible;
g)  la meta del nivel de servicio y los niveles inaceptables de servicio;
h)  el derecho a monitorear y revocar cualquier actividad relacionada con los activos de la
organización;
i)  las respectivas responsabilidades civiles de la organización y del cliente;
j)  las responsabilidades relacionadas con asuntos legales y la forma en que se garantiza
el cumplimiento de los requisitos legales, por ejemplo la legislación sobre protección de
datos, teniendo en cuenta particularmente los diversos sistemas legales nacionales, si el
acuerdo implica cooperación con clientes en otros países (véase el numeral 6.1.5).
k)  derechos de propiedad intelectual (DPI) y asignación de derechos de copia (véase el
numeral 15.1.2) y la protección de cualquier trabajo en colaboración (véase el
numeral 6.1.5).


GESTIÓN DE ACTIVOS

  RESPONSABILIDAD POR LOS ACTIVOS

Objetivo: lograr y mantener la protección adecuada de los activos de la organización.
Todos los activos se deben incluir y deben tener un dueño designado.
Se deberían identificar los dueños para todos los activos y asignar la responsabilidad para el
mantenimiento de los controles adecuados. La implementación de los controles específicos
puede ser delegada por el dueño, según el caso, pero él sigue siendo responsable de la
protección adecuada de los activos.

 Inventario de activos
Todos los activos deberían estar claramente identificados y se debería elaborar y mantener un

inventario de todos los activos importantes.

Existen muchos tipos de activos, incluyendo:

a)  información: bases de datos y archivos de datos, contratos y acuerdos, documentación
del sistema, información sobre investigación, manuales de usuario, material de
formación, procedimientos operativos o de soporte, planes para la continuidad del
negocio, acuerdos de recuperación, registros de auditoría e información archivada;
b)  activos de software: software de aplicación, software del sistema, herramientas de
desarrollo y utilidades;
c)  activos físicos: equipos de computación, equipos de comunicaciones, medios
removibles y otros equipos;
d)  servicios: servicios de computación y comunicaciones, servicios generales como por
ejemplo iluminación, calefacción, energía y aire acondicionado;
e)  personas y sus calificaciones, habilidades y experiencia;
f)  intangibles tales como reputación e imagen de la organización.

Propietario de los activos
Toda la información y los activos asociados con los servicios de procesamiento de información

deberían ser "propietario" 2) de una parte designada de la organización.

El propietario del activo debería ser responsable de:

a)  garantizar que la información y los activos asociados con los servicios de procesamiento
de información se clasifican adecuadamente;
b)  definir y revisar periódicamente las restricciones y clasificaciones del acceso, teniendo
en cuenta las políticas aplicables sobre el control del acceso.
La propiedad se puede asignar a:
a)  un proceso del negocio;
b)  un conjunto definido de actividades;
c)  una aplicación;

d)  un conjunto definido de datos.

Uso aceptable de los activos
Se deberían identificar, documentar e implementar las reglas sobre el uso aceptable de la

información y de los activos asociados con los servicios de procesamiento de la información.

CLASIFICACIÓN DE LA INFORMACIÓN

Directrices de clasificación
La información se debería clasificar en términos de su valor, de los requisitos legales, de la

sensibilidad y la importancia para la organizació

Etiquetado y manejo de la información
Se debería desarrollar e implementar un conjunto de procedimientos adecuados para el
etiquetado y el manejo de la información de acuerdo al esquema de clasificación adoptado por

la organización.

SEGURIDAD DE LOS RECURSOS HUMANOS

ANTES DE LA CONTRATACIÓN LABORAL 3)
Objetivo: asegurar que los empleados, contratistas y usuarios de terceras partes entienden sus
responsabilidades y sean aptos para las funciones para las cuales están considerados, y
reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.
Las responsabilidades de la seguridad se deberían definir antes de la contratación laboral,

describiendo adecuadamente el trabajo y los términos y condiciones del mismo

 Roles y responsabilidades
Se deberían definir y documentar los roles y responsabilidades de los empleados, contratistas y
usuarios de terceras partes por la seguridad, de acuerdo con la política de seguridad de la

información de la organización.

Las funciones y responsabilidades deberían incluir los requisitos para:

a)  implementar y actuar de acuerdo con las políticas de seguridad de la información de la
organización (véase el numeral 5.1);
b)  proteger los activos contra acceso, divulgación, modificación, destrucción o interferencia
no autorizados;
c)  ejecutar procesos o actividades particulares de seguridad;
d)  garantizar que se asigna la responsabilidad a la persona para que tome las acciones;
e)  informar los eventos de seguridad, los eventos potenciales u otros riesgos de seguridad
para la organización.

Términos y condiciones laborales
Como parte de su obligación contractual, los empleados, contratistas y usuarios de terceras
partes deberían estar de acuerdo y firmar los términos y condiciones de su contrato laboral, el
cual debe establecer sus responsabilidades y las de la organización con relación a la seguridad

de la información.

Los términos y condiciones laborales deberían reflejar la política de seguridad de la
organización, además debería aclarar y establecer:

a)  que todos los empleados, contratistas y usuarios de terceras partes que tengan acceso
a información sensible deberían firmar un acuerdo de confidencialidad o no-divulgación
antes de tener acceso a los servicios de procesamiento de información;
b)  los derechos y responsabilidades legales de los empleados, los contratistas y cualquier
otro usuario, por ejemplo con respecto a las leyes de derechos de copia o la legislación
sobre protección de datos (véanse los numerales 15.1.1 y 15.1.2);
c)  responsabilidades para la clasificación de la información y la gestión de los activos
asociados con sistemas y servicios de información manejados por el empleado, el
contratista o el usuario de tercer aparte (véanse los numerales 7.2.1 y 10.7.3);
d)  responsabilidades del empleado, el contratista o el usuario de tercera parte para el
manejo de la información recibida de otras empresas o de partes externas;
e)  responsabilidades de la organización para el manejo de la información personal,
incluyendo la información personal creada como resultado o durante el contrato laboral
con la organización (véase el numeral 15.1.4);
f)  responsabilidades que van más allá de las instalaciones de la organización y de las
horas laborales, por ejemplo en el caso de trabajo en el domicilio (véanse los numerales
9.2.5 y 11.7.1);
g)  acciones a tomar si el empleado, el contratista o el usuario de tercera parte hace caso
omiso de requisitos de seguridad de la organización (véase el numeral 8.2.3).

DURANTE LA VIGENCIA DEL CONTRATO LABORAL
Objetivo: asegurar que todos los empleados, contratistas y usuarios de terceras partes
estén conscientes de las amenazas y preocupaciones respecto a la seguridad de la
información, sus responsabilidades y sus deberes, y que estén equipados para apoyar la
política de seguridad de la organización en el transcurso de su trabajo normal, al igual

que reducir el riesgo de error humano

Responsabilidades de la dirección
La dirección debería exigir que los empleados, contratistas y usuarios de terceras partes

apliquen la seguridad según las políticas y los procedimientos establecidos por la organización.

Las responsabilidades de la dirección deberían incluir el garantizar que los empleados, los
contratistas y los usuarios de terceras partes:

a)  estén adecuadamente informados sobre las funciones y las responsabilidades respecto
a la seguridad de la información antes de que se les otorgue acceso a información o
sistemas de información sensibles;
b)  tengan las directrices para establecer las expectativas de seguridad de sus funciones
dentro de la organización;
c)  estén motivados para cumplir las políticas de seguridad de la organización;
d)  logren un grado de concientización sobre la seguridad correspondiente a sus funciones

y responsabilidades dentro de la organización (véase el numeral 8.2.2);
e)  estén de acuerdo con los términos y las condiciones laborales, las cuales incluyen la
política de seguridad de la información de la organización y los métodos apropiados de
trabajo;
f)  sigan teniendo las calificaciones y las habilidades apropiadas.

TERMINACIÓN O CAMBIO DE LA CONTRATACIÓN LABORAL
Objetivo: asegurar que los empleados, los contratistas y los usuarios de terceras partes
salen de la organización o cambian su contrato laboral de forma ordenada.

Responsabilidades en la terminación
Se deberían definir y asignar claramente las responsabilidades para llevar a cabo la

terminación o el cambio de la contratación laboral

Devolución de activos
Todos los empleados, contratistas o usuarios de terceras partes deberían devolver todos los
activos pertenecientes a la organización que estén en su poder al finalizar su contratación
laboral, contrato o acuerdo.

SEGURIDAD FÍSICA Y DEL ENTORNO

ÁREAS SEGURAS
Objetivo: evitar el acceso físico no autorizado, el daño o la interferencia a las instalaciones y a
la información de la organización

Perímetro de seguridad física
Se deberían utilizar perímetros de seguridad (barreras tales como paredes, puertas de acceso
controladas con tarjeta o mostradores de recepción atendidos) para proteger las áreas que

contienen información y servicios de procesamiento de información.

Controles de acceso físico
Las áreas seguras deberían estar protegidas con controles de acceso apropiados para

asegurar que sólo se permite el acceso a personal autorizado

Seguridad de oficinas, recintos e instalaciones
Se debería diseñar y aplicar la seguridad física para oficinas, recintos e instalaciones.
Se recomienda tener en cuenta las siguientes directrices para la seguridad de oficinas, recintos
y servicios:
a)  tener presente los reglamentos y las normas pertinentes a la seguridad y la salud;
b)  las instalaciones claves se deberían ubicar de modo que se evite el acceso al público;
c)  cuando sea viable, las edificaciones deberían ser discretas y no tener indicaciones
sobre su propósito, sin señales obvias, fuera o dentro de ellas, que identifiquen la
presencia de actividades de procesamiento de información;
d)  los directorios y los listados telefónicos internos que indican las ubicaciones de los
servicios de procesamiento de información sensible no deberían ser de fácil acceso al
público.

 Protección contra amenazas externas y ambientales
Se deben tener en cuenta todas las amenazas para la seguridad que presentan las
instalaciones circundantes, por ejemplo, un incendio en la edificación contigua, fuga de agua
por un techo o en los pisos por debajo del nivel del suelo o una explosión en la calle.
Se recomienda tener en mente las siguientes directrices para evitar daño debido a incendio,
inundación, terremoto, explosión, malestar social, y otras formas de desastre natural o artificial:

a)  los materiales combustibles o peligrosos se deberían almacenar a una distancia
prudente del área de seguridad. Los suministros a granel tales como los materiales de
oficina, no se deberían almacenar en un área segura;
b)  los equipos de repuesto y los medios de soporte de seguridad se deberían ubicar a una
distancia prudente para evitar daño debido a algún desastre que afecte a las
instalaciones principales;

c)  se debería suministrar equipo apropiado contra incendios y ubicarlo adecuadamente.

SEGURIDAD DE LOS EQUIPOS
Objetivo: evitar pérdida, daño, robo o puesta en peligro de los activos, y la interrupción de las

actividades de la organización
Ubicación y protección de los equipos
Se recomienda considerar las siguientes directrices para la protección de los equipos:

a)  Los equipos se deberían ubicar de modo tal que se minimice el acceso innecesario a las
áreas de trabajo;
b)  los servicios de procesamiento de información que manejan datos sensibles, deberían
estar ubicados de forma tal que se reduzca el riesgo de visualización de la información
por personas no autorizadas durante su uso, y los sitios de almacenamiento se
deberían asegurar para evitar el acceso no autorizado;
c)  los elementos que requieran protección especial deberían estar aislados para reducir el
nivel general de protección requerida de los demás elementos;
d)  se recomienda adoptar controles para minimizar el riesgo de amenazas físicas
potenciales, por ejemplo robo, incendio, explosión, humo, agua (o falla en el suministro
de agua), polvo, vibración, efectos químicos, interferencia con el suministro eléctrico,
interferencia en las comunicaciones, radiación electromagnética y vandalismo;
e)  se deberían establecer directrices para comer, beber y fumar en las cercanías de los
servicios de procesamiento de información;
f)  es conveniente monitorear las condiciones ambientales, como temperatura y humedad,
para determinar las condiciones que podrían afectar adversamente el funcionamiento de

los servicios de procesamiento de información;

Seguridad del cableado
Se recomienda tener en cuenta las siguientes directrices para la seguridad del cableado:

a)  las líneas de energía y de telecomunicaciones en los servicios de procesamiento de
información deberían ser subterráneas, cuando sea posible, o tener protección alterna
adecuada;
b)  el cableado de la red debería estar protegido contra interceptación no autorizada o
daño, por ejemplo utilizando conductos o evitando rutas a través de áreas públicas;
c)  los cables de energía deberían estar separados de los cables de comunicaciones para
evitar interferencia;
d)  se deberían utilizar rótulos de equipo y de cables claramente identificables para
minimizar los errores en el manejo, tales como conexiones accidentales de cables
erróneos a la red;

Mantenimiento de los equipos
Se recomienda considerar las siguientes directrices para el mantenimiento de los equipos:

a)  el mantenimiento de los equipos debería estar acorde con las especificaciones y los
intervalos de servicio recomendados por el proveedor;
b)  sólo personal de mantenimiento autorizado debería realizar las reparaciones y el
servicio de los equipos;
c)  se recomienda conservar registros de todas las fallas reales o sospechadas y de todo el
mantenimiento preventivo y correctivo;
d)  es recomendable implementar controles apropiados cuando se programa el
mantenimiento para los equipos, teniendo en cuenta si el mantenimiento lo realiza el
personal dentro o fuera de la organización; cuando sea necesario, la información
sensible se debería retirar del entorno del equipo o el personal de mantenimiento
debería ser suficientemente revisado;

e)  se deberían cumplir todos los requisitos impuestos por las pólizas de seguros.

Seguridad de los equipos fuera de las instalaciones
Independientemente del propietario , la dirección debería autorizar el uso del equipo de
procesamiento de información fuera de las instalaciones de la organización.
Se recomienda tener en cuenta las siguientes directrices para la protección del equipo por fuera
de las instalaciones:

a)  el equipo y los medios llevados fuera de las instalaciones no se deberían dejar solos en
sitios públicos, los computadores portátiles se deberían llevar como equipaje de mano y
camuflado, cuando sea posible, durante los viajes;
b)  se deberían observar en todo momento las instrucciones del fabricante para la
protección del equipo, por ejemplo, protección contra la exposición a campos
electromagnéticos fuertes;
c)  se recomienda determinar controles para el trabajo que se realiza en casa mediante una
evaluación de riesgos y controles adecuados que se aplican de forma idónea, por
ejemplo gabinetes de archivos con seguro, política de escritorio despejado, controles de
acceso a los computadores y comunicaciones seguras con la oficina (véase la norma
ISO/IEC 18028, Seguridad de la red);
d)  se debería establecer el cubrimiento adecuado del seguro para proteger el equipo fuera

de las instalaciones.

Retiro de activos

Se recomienda tener presentes las siguientes directrices:

a)  ni los equipos, ni la información, tampoco el software se deberían retirar sin autorización
previa;
b)  los empleados, contratistas y usuarios de terceras partes que tengan autoridad para
permitir retirar activos deberían estar claramente identificados;
c)  se recomienda establecer límites de tiempo para el retiro de equipos y verificar el
cumplimiento en el momento de devolución;
d)  cuando sea necesario y adecuado, se debería registrar que el equipo ha sido retirado y
se debe registrar cuando fue devuelto..