Primer Dominio ISO 27002
Transcript of Primer Dominio ISO 27002
Primer Dominio POLÍTICA DE SEGURIDAD
Gestión de Seguridad Informática
Chicaiza Jami Paola
Díaz Villafuerte Alex
Objetivo:
Proporcionar la guía y apoyo de la Dirección para la seguridad de la información en relación a los requisitos del negocio y a las leyes y regulaciones relevantes.
Política de seguridad de la información
Principios:
La Dirección debería establecer una política clara y en línea con los objetivos del negocio y demostrar su apoyo y compromiso con la seguridad de la información mediante la publicación y mantenimiento de una política de seguridad de la información para toda la organización
Política de seguridad de la información
¿Qué hacer?: Piense en términos de un manual o wiki de políticas de
seguridad de la información que contenga un conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices.
Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización.
La revisión de la idoneidad y adecuación de la política de seguridad de la información puede ser incluida en las revisiones de la dirección
Política de seguridad de la información
Cobertura de la política: porcentaje de secciones de ISO/IEC 27001/2 para las cuales se han especificado, escrito, aprobado y publicado políticas y sus normas, procedimientos y directrices asociadas.
Grado de despliegue y adopción de la política en la organización (medido por auditoría, gerencia o auto-evaluación)
Política de seguridad de la información
Documento de política de seguridad de la información La Dirección debería aprobar y publicar un documento
de la política de seguridad de la información y comunicar la política a todos los empleados y las partes externas relevantes.
Revisión de la política de seguridad de la información La política de seguridad de la información se debería
revisar a intervalos planificados (o en caso que se produzcan cambios significativos)para garantizar que es adecuada, eficaz y suficiente.
Controles
Una definición de la seguridad de información y sus objetivos globales y el alcance y su importancia como un mecanismo que permite compartir información.
El objetivo de la gerencia como soporte de los objetivos y principios de la seguridad de la información.
Una estructura para el establecimiento de los objetivos de control y controles, incluida la estructura de la valoración del riesgo y el manejo de riesgos.
Contenido del Documento
Una breve explicación de las políticas, principios, normas y requisitos de conformidad más importantes para la organización.
Una definición de las responsabilidades generales y específicas en materia de la gestión de seguridad de información, incluida el reporte de las incidencias de seguridad.
Las referencias a documentación que pueda sustentar la política, ejemplo: políticas y procedimientos mucho más detallados para sistemas de información específicos o las reglas que los usuarios deberían cumplir.
Contenido del Documento
CNI: Los documentos CCN-STIC del Centro Criptológico Nacional español incluyen normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las TIC en la Administración española.
PSSI: Guía de redacción de políticas de seguridad de la información de la " Direction Centrale de la Sécurité des Systèmes d’Information" francesa.
ARCERT: Modelo de Política de Seguridad de la Información para la Administración de Argentina, basado en la norma ISO/IRAM 17799 (norma ISO 17799 homologada por IRAM, Instituto Argentino de Normalización).
Referencias
UCISA: Toolkit de la "Universities and Colleges Information Systems Association" del Reino Unido para la generación de políticas de seguridad de la información basado en BS-7799:2002.
dmoz.org: Conjunto de políticas de seguridad variadas. Infosecwriters: Creación de políticas de seguridad para
Pymes. SANS Policies: Conjunto de plantillas de políticas de
seguridad del SANS Institute. SANS whitepapers: Guía de desarrollo de una política de
seguridad de la información.
Referencias
DTI: Guía de protección de activos de información del "Department of Trade and Industry" del Reino Unido.
DTI: Guía de tipos de políticas de seguridad de la información del "Department of Trade and Industry " del Reino Unido.
NIST: Guías sobre distintos aspectos técnicos de la seguridad de la información del NIST (National Institute of Standards and Technology) de EEUU. Sirven de apoyo a la hora de redactar políticas.
TBS: Política de Seguridad del Gobierno de Canadá.
Referencias
ISACA: Muchas de las directrices de ISACA para auditores de sistemas de información son útiles también como apoyo para redactar políticas de seguridad.
CCCURE: Guía de creación de una política de seguridad.
Notice bored: Plantilla para manual de políticas de seguridad de la información basado en ISO 17799. No gratuito.
Senado: Normativa de uso de sistemas de información del Senado español.
Referencias
GRACIAS