Primer Dominio ISO 27002
13
Primer Dominio POLÍTICA DE SEGURIDAD Gestión de Seguridad Informática Chicaiza Jami Paola Díaz Villafuerte Alex
Transcript of Primer Dominio ISO 27002
Primer Dominio POLÍTICA DE SEGURIDAD
Gestión de Seguridad Informática
Chicaiza Jami Paola
Díaz Villafuerte Alex
Objetivo:
Proporcionar la guía y apoyo de la Dirección para la seguridad de la información en relación a los requisitos del negocio y a las leyes y regulaciones relevantes.
Política de seguridad de la información
Principios:
La Dirección debería establecer una política clara y en línea con los objetivos del negocio y demostrar su apoyo y compromiso con la seguridad de la información mediante la publicación y mantenimiento de una política de seguridad de la información para toda la organización
Política de seguridad de la información
¿Qué hacer?: Piense en términos de un manual o wiki de políticas de
seguridad de la información que contenga un conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices.
Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización.
La revisión de la idoneidad y adecuación de la política de seguridad de la información puede ser incluida en las revisiones de la dirección
Política de seguridad de la información
Cobertura de la política: porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito, aprobado y publicado políticas y sus normas, procedimientos y directrices asociadas.
Grado de despliegue y adopción de la política en la organización (medido por auditoría, gerencia o auto-evaluación)
Política de seguridad de la información
Documento de política de seguridad de la información La Dirección debería aprobar y publicar un documento
de la política de seguridad de la información y comunicar la política a todos los empleados y las partes externas relevantes.
Revisión de la política de seguridad de la información La política de seguridad de la información se debería
revisar a intervalos planificados (o en caso que se produzcan cambios significativos)para garantizar que es adecuada, eficaz y suficiente.
Controles
Una definición de la seguridad de información y sus objetivos globales y el alcance y su importancia como un mecanismo que permite compartir información.
El objetivo de la gerencia como soporte de los objetivos y principios de la seguridad de la información.
Una estructura para el establecimiento de los objetivos de control y controles, incluida la estructura de la valoración del riesgo y el manejo de riesgos.
Contenido del Documento
Una breve explicación de las políticas, principios, normas y requisitos de conformidad más importantes para la organización.
Una definición de las responsabilidades generales y específicas en materia de la gestión de seguridad de información, incluida el reporte de las incidencias de seguridad.
Las referencias a documentación que pueda sustentar la política, ejemplo: políticas y procedimientos mucho más detallados para sistemas de información específicos o las reglas que los usuarios deberían cumplir.
Contenido del Documento
CNI: Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.
PSSI: Guía de redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.
ARCERT: Modelo de Política de Seguridad de la Información para la Administración de Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalización).
Referencias
UCISA: Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido para la generación de políticas de seguridad de la información basado en BS-7799:2002.
dmoz.org: Conjunto de políticas de seguridad variadas. Infosecwriters: Creación de políticas de seguridad para
Pymes. SANS Policies: Conjunto de plantillas de políticas de
seguridad del SANS Institute. SANS whitepapers: Guía de desarrollo de una política de
seguridad de la información.
Referencias
DTI: Guía de protección de activos de información del "Department of Trade and Industry" del Reino Unido.
DTI: Guía de tipos de políticas de seguridad de la información del "Department of Trade and Industry " del Reino Unido.
NIST: Guías sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.
TBS: Política de Seguridad del Gobierno de Canadá.
Referencias
ISACA: Muchas de las directrices de ISACA para auditores de sistemas de información son útiles también como apoyo para redactar políticas de seguridad.
CCCURE: Guía de creación de una política de seguridad.
Notice bored: Plantilla para manual de políticas de seguridad de la información basado en ISO 17799. No gratuito.
Senado: Normativa de uso de sistemas de información del Senado español.
Referencias
GRACIAS
