guia para la formulacion de procedimientos de · pdf file 2018-08-24 · punto de...

Click here to load reader

Post on 05-Mar-2020

0 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • 1

    GUIA PARA LA FORMULACION DE

    PROCEDIMIENTOS DE SEGURIDAD

  • 2

    INDICE

    INTRODUCCIÓN .......................................................................................................................................................6 I. Norma ISO 17799 ...................................................................................................................................................6

    1. Qué es la seguridad de la información ?.......................................................................................................6 2. Por qué es necesaria la seguridad de la información...................................................................................6 3. Cómo establecer los requerimientos de seguridad ......................................................................................7 4. Evaluación de los riesgos en materia de seguridad .....................................................................................7 5. Selección de controles ...................................................................................................................................8 6. Punto de partida para la seguridad de la información..................................................................................8 7. Factores críticos del éxito ..............................................................................................................................9 8. Desarrollo de lineamientos propios ...............................................................................................................9

    1. ALCANCE...........................................................................................................................................................9 2. TÉRMINOS Y DEFINICIONES........................................................................................................................10

    2.1 Seguridad de la información ......................................................................................................................10 2.2 Evaluación de riesgos ................................................................................................................................10 2.3 Administración de riesgos..........................................................................................................................10

    3. POLÍTICA DE SEGURIDAD............................................................................................................................10 3.1 Política de seguridad de la información ....................................................................................................10

    3.1.1 Documentación de la política de seguridad de la información..........................................................10 3.1.2 Revisión y evaluación..........................................................................................................................11

    4. ORGANIZACIÓN DE LA SEGURIDAD...........................................................................................................11 4.1 Infraestructura de seguridad de la información ........................................................................................11

    4.1.1 Foro gerencial sobre seguridad de la información.............................................................................12 4.1.2 Coordinación de la seguridad de la información................................................................................12 4.1.3 Asignación de responsabilidades en materia de seguridad de la información ................................13 4.1.4 Proceso de autorización para instalaciones de procesamiento de información ..............................13 4.1.5 Asesoramiento especializado en materia de seguridad de la información ......................................14 4.1.6 Cooperación entre organizaciones.....................................................................................................14 4.1.7 Revisión independiente de la seguridad de la información...............................................................14

    4.2 Seguridad frente al acceso por parte de terceros.....................................................................................14 4.2.1 Identificación de riesgos del acceso de. Terceros.............................................................................15 4.2.2 Requerimientos de seguridad en contratos con terceros..................................................................16

    4.3 Tercerización ..............................................................................................................................................17 4.3.1 Requerimientos de seguridad en contratos de tercerización ............................................................17

    5. CLASIFICACIÓN Y CONTROL DE ACTIVOS ...............................................................................................17 5.1 Responsabilidad por rendición de cuentas por los activos ......................................................................18

    5.1.1 Inventario de activos ...........................................................................................................................18 5.2 Clasificación de la información ..................................................................................................................18

    5.2.1 Pautas de clasificación........................................................................................................................19 5.2.2 Rotulado y manejo de la información .................................................................................................19

    6. SEGURIDAD DEL PERSONAL.......................................................................................................................19 6.1 Seguridad en la definición de puestos de trabajo y la asignación de recursos.......................................20

    6.1.1 Inclusión de la seguridad en las responsabilidades de los puestos de trabajo................................20 6.1.2 Selección y política de personal .........................................................................................................20 6.1.3 Acuerdos de confidencialidad.............................................................................................................21 6.1.4 Términos y condiciones de empleo ....................................................................................................21

    6.2 Capacitación del usuario............................................................................................................................21 6.2.1 Formación y capacitación en materia de seguridad de la información.............................................21

    6.3 Respuesta a incidentes y anomalías en materia de seguridad ...............................................................22 6.3.1 Comunicación de incidentes relativos a la seguridad........................................................................22 6.3.2 Comunicación de debilidades en materia de seguridad....................................................................22 6.3.3 Comunicación de anomalías del software .........................................................................................22 6.3.4 Aprendiendo de los incidentes............................................................................................................23

  • 3

    6.3.5 Proceso disciplinario ...........................................................................................................................23 7. SEGURIDAD FÍSICA Y AMBIENTAL .............................................................................................................23

    7.1 Áreas seguras. ...........................................................................................................................................23 7.1.1 Perímetro de seguridad física.............................................................................................................23 7.1.2 Controles de acceso físico..................................................................................................................24 7.1.3 Protección de oficinas, recintos e instalaciones ................................................................................24 7.1.4 Desarrollo de tareas en áreas protegidas ..........................................................................................25 7.1.5 Aislamiento de las áreas de entrega y carga.....................................................................................26

    7.2 Seguridad del equipamiento ......................................................................................................................26 7.2.1 Ubicación y protección del equipamiento...........................................................................................26 7.2.2 Suministros de energía .......................................................................................................................27 7.2.3 Seguridad del cableado ......................................................................................................................27 7.2.4 Mantenimiento de equipos..................................................................................................................28 7.2.5 Seguridad del equipamiento fuera del ámbito de la organización ....................................................28 7.2.6 Baja segura o reutilización de equipamiento. ....................................................................................29

    7.3 Controles generales ...........................................