Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Aspecto Organizacional
Aspecto Organizacional
A.15 Cumplimiento
Aspecto Organizacional
Aspecto Organizacional
Aspecto Tcnico
Aspecto Organizacional
Aspecto Fsico
Aspecto Tcnico
Aspecto Tcnico
Aspecto Tcnico
9.1
9.2
9.2
9.3
10.1
A12.4.1, A.12.4.3
CONTROL DESARROLLAR A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes. A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACION Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de informacin de la organizacin y de los servicios de procesamiento de informacin a los cuales tiene acceso las partes externas A.7 GESTIN DE ACTIVOS Proteccin de los activos organizacionales. Asegurar la proteccin adecuada de la informacin A.15 CUMPLIMIENTO Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. Asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin. Maximizar la eficacia de los procesos de auditoria de los sistemas de informacin y minimizar su interferencia. A.13 GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN. Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente
Controlar el acceso a la informacin Asegura el acceso a los usuarios autorizados. Evitar el acceso de usuarios no autorizados. Evitar el acceso de usuarios no autorizados a las redes. Evitar el acceso de usuarios no autorizados a S.O. Evitar el acceso de usuarios no autorizados a Informacin en los S.I. Evitar el acceso de usuarios no autorizados a equipos mviles A.8 SEGURIDAD RECURSO HUMANO Asegurar que los usuarios empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y son adecuados para los roles para los que se les considera, y reducir los riesgos de robo, fraude o uso inadecuado de las instalaciones. Concientizacin y equipar a los empleados, contratistas y usuarios de terceras partes para apoyar el SGSI Asegurar la salida de los los empleados, contratistas y usuarios de terceras partes. A.9 SEGURIDAD FSICA Y DEL ENTORNO Evitar el acceso fsico no autorizado, el dao e interferencia a las instalaciones y la informacin de la organizacin. Evitar prdida, dao, robo o puesta en peligro de los archivos e interrupcin de las actividades de la organizacin.
A.10 GESTION DE COMUNICACIONES Y OPERACIONES Asegurar la operacin correcta y segura de los servicios de procesamiento de la informacin. Implementar y mantener un grado adecuado de seguridad de la informacin y de la prestacin del servicio de conformidad con los ANS por terceras partes. Minimizar el riesgo de fallas de los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y disponibilidad de informacin y de los servicios de procesamiento de informacin. Asegurar la proteccin de informacin en las redes y proteccin de la infraestructura de soporte. Evitar la divulgacin, modificacin, retiro o destruccin de activos no autorizada, y la interrupcin en las actividades del negocio. Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin y con cualquier entidad externa. Garantizar la seguridad de los servicios de comercio electrnico, y su utilizacin segura. Detectar actividades de procesamiento de informacin no autorizadas.
A.12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Garantizar que la seguridad es parte integral de los sistemas de informacin. Evitar errores, prdida, modificaciones no autorizadas o uso inadecuado de informacin en las aplicaciones Proteger la confidencialidad, autenticidad e integridad de la informacin. Garantizar la seguridad de archivos del sistema. Mantener la seguridad del software y de la informacin del sistema de aplicaciones. Reducir los riesgos resultantes de la explotacin de vulnerabilidad tcnicas publicadas.
A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.
DESCRIPCIN El departamento de recursos humanos el generalmente se encarga de llevar estos registros. que
ANEXO A DILIGENCIAR
La forma ms sencilla de describir cmo se miden los controles es a travs de polticas y procedimientos que definan a cada control. En general, esta descripcin puede ser realizada al final de cada documento, y cada descripcin tiene que definir los tipos de ICD (indicadores clave de desempeo) que es necesario medir para cada control o grupo de controles. La forma ms sencilla de describir cmo se miden los controles es a travs de polticas y procedimientos que definan a cada control. En general, esta descripcin puede ser realizada al final de cada documento, y cada descripcin tiene que definir los tipos de ICD (indicadores clave de desempeo) que es necesario medir para cada control o grupo de controles.
El programa de auditora interna no es ms que un plan anual para realizar las auditoras. Este programa debe definir quin realizar las auditoras, los mtodos que se utilizarn, los criterios que se aplicarn, etc.
Un auditor interno debe generar un informe de auditora, que incluye los resultados de la auditora (observaciones y medidas correctivas). Este informe debe ser interno tendr que verificar si todas las medidas correctivas se aplicaron segn lo esperado. confeccionado dentro de un par de das luego de realizada la auditora interna. En algunos casos, el auditor interno tendr que verificar si todas las medidas correctivas se aplicaron segn lo esperado.
Estos registros se presentan, normalmente, bajo la forma de actas de reunin y deben incluir todo el material tratado durante la reunin de la direccin, como tambin todas las decisiones que se tomaron. Estas actas pueden ser en papel o en formato digital.
Generalmente, estos son incluidos en los formularios para medidas correctivas (FMC). Sin embargo, es mucho mejor agregar estos registros en alguna aplicacin que ya est en uso en la organizacin; por ejemplo, la Mesa de ayuda, porque las medidas correctivas no son ms que listas de actividades a realizar con responsabilidades, tareas y plazos bien definidos
Habitualmente se llevan de dos formas: (1) en formato digital, generados en forma automtica o semiautomtica como registros de diversas TI y de otros sistemas, y (2) en papel, donde cada registro se hace manualmente.
Proporcionar direccin general y apoyo a la seguridad de la informacin en concordancia con lso requerimientos comerciales, leyes y regulaciones relevantes
A.5 Poltica de Seguridad La gerencia debe aprobar un documento de poltica, que se debe publicar y comunicar a todos los empleados y entidades externas relevantes A.6 Seguridad Organizacional El informe de evaluacin y tratamiento de riesgos debe ser redactado una vez que se realiz la evaluacin y el tratamiento de riesgos, y all se resumen todos los resultados
A.15 Cumplimiento
A.8 Seguridad
Recurso Humano
A.10 Gestin de La gerencia debe requerir que los empleados, contratistas y terceros apliquen la seguridad en concordancia con las polticas y procedimiento establecidos de la organizacin Comunicaciones y Todos los activos deben estar claramente identificados; se debe elaborar y mantener un inventario de todos los activos importantes Operaciones A.12 Desarrollo y
mantenimiento de
sistemas
del Entorno
A.14 Gestin de la
Aspecto Fsico
Aspecto Tcnico
5 Poltica de Seguridad
6 Seguridad Organizacional
15 Cumplimiento
curso Humano
10 Gestin de
omunicaciones y
12 Desarrollo y
antenimiento de
11 Control de Acceso
9 Seguridad Fsica y
14 Gestin de la
ntinuidad del
pecto Organizacional
pecto Fsico
pecto Tcnico
13 Gestin de Incidentes
ISO/IEC 27001: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005, para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementacin de todos los controles enumerados en dicho anexo, la organizacin deber argumentar slidamente la no aplicabilidad de los controles A1no implementados. CAP. ISO DOCUMENTOS DESCRIPCIN 1. Objeto. Definir el alcance y limites del SGSI. 1.1. Generalidades. 1.2. Aplicacin. Plan de Seguridad del Gestin Sistema de Informacin 2. Referencia Normativa. organizacin, ubicacin, activos y tecnologa. 3. Trminos y definiciones. 4. Sistema de Gestin de la Seguridad de la Informacin. 1- Plan de Seguridad del Gestin Sistema de Informacin en donde est claramente descritos todos los elementos del DEBE. Anexo A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes. A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes. A.15 CUMPLIMIENTO Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. Asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin. Maximizar la eficacia de los procesos de auditoria de los sistemas de informacin y minimizar su interferencia.
A.15 Cumplimiento La Organizacin debe establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI documento, en 2. Actas de comit en donde se el contexto global de las actividades globales del negocio de la tomaron las decisiones que organizacin y de los riesgos que enfrenta. dieron origen a plan. Y firmada por los integrantes. El proceso usado para este estndar Internacional esta basado en el modelo PHVA. 3. La declaracin de aplicabilidad, firmada por los directivos o directivos o responsables del proceso.
4.2. Establecimiento y Gestin del SGSI. 4.2.1. Establecimiento del SGSI. Declaraciones documentadas 4.2.1 Establecer el SGSI. de la poltica de seguridad y los La Organizacin debe: objetivos de control. a) Definir el alcance y lmites del SGSI en trminos de: Documento Marco de referencia para fijar los - Caractersticas del negocio, objetivos y establezca un sentido general de direccin y - La organizacin, su ubicacin, sus activos y tecnologa, e principios para la accin con incluir los detalles y justificacin de cualquier exclusin del relacin a la seguridad de alcance. informacin; (plan SGSI) b) Definir una poltica del SGSI en trminos de las Matriz de riesgos por proceso caractersticas del negocio, la organizacin, su ubicacin, sus activos y tecnologa . Relacin de Activos c) Definir un enfoque organizacional para la valoracin del Relacin de procesos riesgo. 1) Identificar la metodologa Registros de seguimiento de 2) Desarrollar criterios para la aceptacin de riesgos, e
A.9 Seguridad Fsica y del A.9 SEGURIDAD FSICA Y DEL ENTORNO Entorno Evitar el acceso fsico no autorizado, el dao e interferencia a las instalaciones y la informacin de la organizacin. Evitar prdida, dao, robo o puesta en peligro de los archivos e interrupcin de las actividades de la organizacin. A.7 Clasificacin y Control de A.7 GESTIN DE ACTIVOS Activos Proteccin de los activos organizacionales. Asegurar la proteccin adecuada de la informacin
referencia para fijar los objetivos y establezca un sentido general de direccin y principios para la accin con relacin a la seguridad de informacin; (plan SGSI) Matriz de riesgos por proceso Relacin de Activos Relacin de procesos Registros de seguimiento de Acta de aprobacin de la direccin de riesgos residuales
- Caractersticas del negocio, - La organizacin, su ubicacin, sus activos y tecnologa, e incluir los detalles y justificacin de cualquier exclusin del alcance. b) Definir una poltica del SGSI en trminos de las caractersticas del negocio, la organizacin, su ubicacin, sus activos y tecnologa . c) Definir un enfoque organizacional para la valoracin del riesgo. 1) Identificar la metodologa 2) Desarrollar criterios para la aceptacin de riesgos, e g) Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos. h) Obtener una aprobacin de la direccin sobre los riesgos residuales propuestos. * Los riesgos en seguridad de la informacin son riesgos del negocio y slo la direccin puede tomar decisiones sobre su aceptacin o tratamiento. * El riesgo residual es el que queda, an despus de haber aplicado controles. i) Obtener aprobacin de la direccin y autorizacin para implementar y operar el SGSI * Registros j) Preparar el SOA (Declaracin de Aplicabilidad) -Objetivos de control y controles seleccionados -Objetivos de control y controles implementados -Objetivos de control y controles excluidos y justificacin de la exclusin. 4.2 ESTABLECIMIENTO Y GESTION DEL SGSI 4.2.2 Implementacin y operacin del SGSI a) Formular plan para tratamiento de riesgos que identifique la accin de gestin apropiada, los recursos, responsabilidades y prioridades para manejar los riesgos de seguridad de la informacin; b) Implementar plan para el tratamiento de riesgos para lograr los objetivos de control identificados, que incluye considerar financiacin y la asignacin de funciones y responsabilidades; c) Implementar controles seleccionados 4.2.1 g) para cumplir los objetivos de control; d) Definir como medir la eficacia de los controles o grupos de controles seleccionados, y especificar cmo se van a usar estas mediciones con el fin de valorar la eficacia de los controles para producir resultados comparables y reproducibles. Ver 4.2.3 c); e) Implementar programas de formacin y de toma de conciencia. (5.2.2); f) Gestionar operaciones del Seguimiento SGSI; 4.2.3. y revisin del SGSI. A.13 Gestin de Incidentes A.13 GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN. Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.
Plan de tratamiento de riesgos Registro de control de seguimiento Procedimientos para dar respuesta oportuna a incidentes
A.6 Organizacional
Seguridad A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACION Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de informacin de la organizacin y de los servicios de procesamiento de informacin a los cuales tiene acceso las partes externas
a) Ejecutar procedimientos de seguimiento y revisin y otros controles para: 1) detectar rpidamente errores en los resultados del procesamiento; 2) identificar con prontitud los incidentes e intentos de violacin de la seguridad, tanto los que tuvieron xito como los que fracasaron; 3) Posibilitar que la direccin determine si las actividades de seguridad delegadas a personas o implementadas mediante tecnologa de la informacin se estn ejecutando en la forma esperada; 4) ayudar a detectar eventos de seguridad, y de esta manera Actas de seguimiento del impedir incidentes de programa seguridad mediante el uso de indicadores, y 5) determinar si las acciones tomadas para solucionar un Actualizacin de procesos, si es problema de violacin a la del caso seguridad fueron eficaces. Actas de visita de auditoria b) Emprender revisiones regulares de la eficacia del SGSI (que A.12 Desarrollo y interna incluyen el mantenimiento de cumplimiento de la poltica y objetivos del SGSI, y la revisin de sistemas ( aspectos tcnico) controles de seguridad) teniendo en cuenta los resultados de las auditorias de seguridad, incidentes, mediciones de la eficacia, sugerencias y retroalimentacin de todas las partes interesadas. c) Medir la eficacia de los controles para verificar que se han cumplido los 4.2.3. Seguimiento y revisin del requisitos de seguridad. SGSI.
A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.
A.12 ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Garantizar que la seguridad es parte integral de los sistemas de informacin. Evitar errores, prdida, modificaciones no autorizadas o uso inadecuado de informacin en las aplicaciones Proteger la confidencialidad, autenticidad e integridad de la informacin. Garantizar la seguridad de archivos del sistema. Mantener la seguridad del software y de la informacin del sistema de aplicaciones. Reducir los riesgos resultantes de la explotacin de vulnerabilidad tcnicas publicadas.
d) Revisar la valoraciones de los riesgos a intervalos A.10 Gestin de planificados, y revisar el Comunicaciones y nivel de riesgo residual y riesgo aceptable identificado, teniendo Operaciones en cuenta los cambios en: 1) la organizacin, 2) la tecnologa, 3) los objetivos y proceso del negocio, a) las amenazas identificadas, b) la eficacia de los controles implementados, y c) eventos externos, tales como cambios en el entorno legal o reglamentario, en las obligaciones contractuales, y en el clima social
e) Realizar auditorias internas del SGSI a intervalos planificados (Ver 6). Nota: las auditorias internas, denominadas algunas veces Registro de evento que generen auditoria de primera parte, las impacto en la entidad realiza la propia organizacin u otra organizacin en su nombre, para propsitos internos. f) Emprender una revisin del SGSI, realizada por la direccin, en forma regular para asegurar que el alcance siga siendo suficiente y que se identifiquen mejoras al proceso del SGSI (Ver 7.1) g) Actualizar los planes de seguridad para tener en cuenta las conclusiones de las actividades de seguimiento y revisin. h) Registrar acciones y eventos que podrn tener impacto en la eficacia o el desempeo del SGSI (ver 4.3.3).
A.10 GESTION DE COMUNICACIONES Y OPERACIONES Asegurar la operacin correcta y segura de los servicios de procesamiento de la informacin. Implementar y mantener un grado adecuado de seguridad de la informacin y de la prestacin del servicio de conformidad con los ANS por terceras partes. Minimizar el riesgo de fallas de los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y disponibilidad de informacin y de los servicios de procesamiento de informacin. Asegurar la proteccin de informacin en las redes y proteccin de la infraestructura de soporte. Evitar la divulgacin, modificacin, retiro o destruccin de activos no autorizada, y la interrupcin en las actividades del negocio. Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin y con cualquier entidad externa. Garantizar la seguridad de los servicios de comercio electrnico, y su utilizacin segura. Detectar actividades de procesamiento de informacin no autorizadas. A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.
A.13 Gestin de Incidentes A.13 GESTIN DE LOS INCIDENTES DE LA (aspecto organizacional) SEGURIDAD DE LA INFORMACIN. Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente A.14 Gestin de la continuidad del negocio (Aspecto Tcnico) A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.
4.2 ESTABLECIMIENTO Y GESTIN DEL SGSI 4.2.4 Mantener y mejorar el SGSI La organizacin debe, regularmente: a) Implementar las mejoras identificadas en el SGSI; b) Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de
4.2 ESTABLECIMIENTO Y GESTIN DEL SGSI 4.2.4 Mantener y mejorar el SGSI La organizacin debe, regularmente: a) Implementar las mejoras identificadas en el SGSI; b) Emprender las acciones correctivas y preventivas adecuadas de acuerdo con los numerales 8.2 y 8.3. Aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y las de la propia organizacin; c) Comunicar las acciones y mejorar a todas las partes interesadas, con un nivel de detalle apropiado a las circunstancias, y en donde sea pertinente, llegar a acuerdos sobre cmo proceder; d) Asegurar que las mejoras logren los objetivos previstos
A.13 Gestin de Incidentes A.13 GESTIN DE LOS INCIDENTES DE LA (aspecto organizacional) SEGURIDAD DE LA INFORMACIN. Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente A.10 Gestin de Comunicaciones y Operaciones Tcnico) A.10 GESTION DE COMUNICACIONES Y OPERACIONES (Aspecto Asegurar la operacin correcta y segura de los servicios de procesamiento de la informacin. Implementar y mantener un grado adecuado de seguridad de la informacin y de la prestacin del servicio de conformidad con los ANS por terceras partes. Minimizar el riesgo de fallas de los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y disponibilidad de informacin y de los servicios de procesamiento de informacin. Asegurar la proteccin de informacin en las redes y proteccin de la infraestructura de soporte. Evitar la divulgacin, modificacin, retiro o destruccin de activos no autorizada, y la interrupcin en las actividades del negocio. Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin y con cualquier entidad externa. Garantizar la seguridad de los servicios de comercio electrnico, y su utilizacin segura. Detectar actividades de procesamiento de informacin no autorizadas. A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.
4.3.1 Generalidades Registros de las decisiones de la La documentacin del SGSI debe incluir registros de las direccin. decisiones de la direccin, asegurar que las acciones sean trazables a las decisiones y polticas de la gerencia, y que los A.9 Seguridad Fsica y del A.9 SEGURIDAD FSICA Y DEL ENTORNO 4.3. Requisitos de Documentacin. Controles seleccionados y los resultados registrados son reproducibles. Es importante estar en Entorno Evitar el acceso fsico no autorizado, el dao e resultados del proceso capacidad interferencia a las instalaciones y la de demostrar la relacin entre los controles seleccionados y los informacin de la organizacin. Declaraciones documentadas resultados del proceso de valoracin y tratamiento de riesgos, y Evitar prdida, dao, robo o puesta en peligro de los de la poltica de seguridad y los seguidamente, con la poltica y objetivos del archivos e interrupcin de las objetivos de control. SGSI. La documentacin debe incluir: actividades de la organizacin. a) Declaraciones documentadas de la poltica de seguridad y los 4.3.1. Generalidades.
Procedimiento documental
4.3.2 Control de documentos Los documentos exigidos por el SGSI se deben proteger y Registro de actualizacin de controlar. Se debe establecer manuales y procesos un procedimiento documentado para definir las acciones de gestin necesarias para: Poltica de seguridad de a) Aprobar los documentos en cuanto a su adecuacin antes de documentos y tiempos re su publicacin; retencin b) Revisar y actualizar los documentos segn sea necesario y reaprobarlos; Tablas de retencin documental c) Asegurar que los cambios y el estado de actualizacin de los documentos estn identificados; d) Asegurar las versiones mas recientes de los documentos pertinentes estn disponibles en los puntos de uso. e) Asegurar que los documentos permanezcan legibles y fcilmente identificables f) asegurar que los documentos estn disponibles para quienes los necesiten y que se apliquen los procedimientos pertinentes, de acuerdo con su clasificacin, para su transferencia, almacenamiento y disposicin final; g) asegurar que los documentos de origen externo estn identificados; h) asegurar que la distribucin de documentos est controlada; i) impedir el uso no previsto de los documentos obsoletos; y j) Aplicar la identificacin adecuada a los documentos obsoletos, si se retienen para cualquier propsito. 4.3.3 Control de Registros Se deben establecer y mantener registros para brindar la evidencia de la conformidad con los requisitos y la operacin eficaz del SGSI. Los registros deben estar protegidos y controlados. El SGSI debe tener en cuenta cualquier requisito legal o reglamentario y las obligaciones contractuales pertinentes. Los registros deben permanecer legibles, fcilmente identificables y recuperables. Los controles necesarios para la identificacin, almacenamiento, proteccin, recuperacin, tiempo de retencin y disposicin de registros se Registro de procesos debe documentar e implementar. Registros de incidentes Se deben llevar registros del desempeo del proceso, como se esboza en el numeral Actas de toma d decisiones o 4.2, y de todos los casos de incidentes de seguridad seguimientos por parte de significativos relacionados con el seguridad y alta direccin SGSI. 5. Responsabilidad de la direccin.
A.13 Gestin de Incidentes A.13 GESTIN DE LOS INCIDENTES DE LA (aspecto organizacional) SEGURIDAD DE LA INFORMACIN. Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente
A.13 Gestin de Incidentes A.13 GESTIN DE LOS INCIDENTES DE LA (aspecto organizacional) SEGURIDAD DE LA INFORMACIN. Asegurar que los eventos y las debilidades de la seguridad de la informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar acciones correctivas oportunamente
5.1. Compromiso de la Direccin. 5.1 COMPROMISO DE LA DIRECCIN La direccin debe brindar evidencia de su compromiso con el establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del SGSI: a) Mediante el establecimiento de una poltica del SGSI; b) asegurando que se establezcan los objetivos y planes del SGSI c) Estableciendo funciones y responsabilidades de seguridad de la informacin; d) Comunicando a la organizacin la importancia de cumplir los objetivos de seguridad de la informacin y de la conformidad con la poltica del SGSI, sus responsabilidades bajo la ley, y la necesidad de la mejora continua.
A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.
Actas de seguimiento La declaracin de aplicabilidad, firmada por los directivos o directivos o responsables del proceso.
A.15 Cumplimiento La direccin debe brindar evidencia de su compromiso con el establecimiento, implementacin, operacin, seguimiento, revisin, mantenimiento y mejora del SGSI: e) Brindando los recursos suficientes para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar el SGSI. f) Decidiendo los criterios de aceptacin del riesgos, y los niveles de riesgo aceptables; g) Asegurando que se realizan auditorias internas del SGSI; h) Efectuando las revisiones por la direccin, del SGSI. 5.2. Gestin de Recursos 5.2. Gestin de Recursos Historias Laborales al da Procedimientos de vinculacin de recurso humano Requerimiento de expedientes 5.2 GESTION DE RECURSOS 5.2.1 Provisin de recursos La organizacin debe determinar y suministrar los recursos necesarios para: a) establecer, implementar, operar , hacer seguimiento, revisar, mantener y mejorar un SGSI; b) asegurar que los procedimientos de seguridad de la informacin brindan apoyo a los requisitos del negocio; c) identificar y atender los requisitos legales y reglamentarios, as como las obligaciones de seguridad contractuales; d) mantener la seguridad suficiente mediante la aplicacin correcta de todos los controles implementados; e) llevar a cabo revisiones cuando sea necesario, y relacionar apropiadamente a los resultados de estas revisiones; y f) en donde se requiera, mejorar la eficacia del SGSI. A.8 Seguridad Humano
A.15 CUMPLIMIENTO Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. Asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin. Maximizar la eficacia de los procesos de auditoria de los sistemas de informacin y minimizar su interferencia.
Recurso A.8 SEGURIDAD RECURSO HUMANO Asegurar que los usuarios empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y son adecuados para los roles para los que se les considera, y reducir los riesgos de robo, fraude o uso inadecuado de las instalaciones. Concientizacin y equipar a los empleados, contratistas y usuarios de terceras partes para apoyar el SGSI Asegurar la salida de los empleados, contratistas y usuarios de terceras partes.
La organizacin debe determinar y suministrar los recursos necesarios para: a) establecer, implementar, operar , hacer seguimiento, revisar, mantener y mejorar un SGSI; b) asegurar que los procedimientos de seguridad de la informacin brindan apoyo a los requisitos del negocio; c) identificar y atender los requisitos legales y reglamentarios, as como las obligaciones de seguridad contractuales; d) mantener la seguridad suficiente mediante la aplicacin correcta de todos los controles implementados; e) llevar a cabo revisiones cuando sea necesario, y relacionar apropiadamente a los resultados de estas revisiones; y f) en donde se requiera, mejorar la eficacia del SGSI. 5.2 GESTION DE RECURSOS 5.2.2 Formacin, toma de conciencia y competencia a) La determinacin de las competencias necesarias para el personal que ejecute el trabajo que afecta el SGSI. b) El suministro de formacin o realizacin de otras acciones por ejemplo: la contratacin de personal competente) para satisfacer estas necesidades. c) La evaluacin de la eficacia de las acciones emprendidas, y d) El mantenimiento de registro de educacin, formacin, habilidades, experiencia y calificaciones.
Recurso A.8 SEGURIDAD RECURSO HUMANO Asegurar que los usuarios empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y son adecuados para los roles para los que se les considera, y reducir los riesgos de robo, fraude o uso inadecuado de las instalaciones. Concientizacin y equipar a los empleados, contratistas y usuarios de terceras partes para apoyar el SGSI Asegurar la salida de los empleados, contratistas y usuarios de terceras partes.
Recurso A.8 SEGURIDAD RECURSO HUMANO Asegurar que los usuarios empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y son adecuados para los roles para los que se les considera, y reducir los riesgos de robo, fraude o uso inadecuado de las instalaciones. Concientizacin y equipar a los empleados, contratistas y usuarios de terceras partes para apoyar el SGSI Asegurar la salida de los empleados, contratistas y usuarios de terceras partes.
La organizacin debe realizar auditorias internas al SGSI a intervalos planificados, para determinar si los objetivos de control, controles, procesos y procedimientos de su SGSI: a) Cumplen los requisitos de esta norma internacional y de la legislacin o reglamentaciones pertinentes; b) Cumplen los requisitos identificados de seguridad de la informacin; c) Estn implementados y se mantienen eficazmente, y d) Tienen un desempeo acorde con lo esperado.
A.15 Cumplimiento (Aspecto A.15 CUMPLIMIENTO Organizacional) Evitar incumplimientos en cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. Asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin. Maximizar la eficacia de los procesos de auditoria de los sistemas de informacin y minimizar su interferencia. A.14 Gestin de la continuidad del negocio A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.
1- Plan de Seguridad del Gestin Sistema de Informacin en donde est claramente descritos todos los elementos del DEBE.
7.1. Generalidades
7.1 GENERALIDADES La Direccin debe revisar el SGSI de la organizacin a intervalos planificados (por lo menos una vez al ao), para asegurar su conveniencia, suficiencia y eficacia 2. Actas de comit en donde se continuas. tomaron las decisiones que Esta revisin debe incluir: dieron origen a plan. Y firmada La evaluacin de oportunidades para mejorar por los integrantes. y la necesidad de cambios en el SGSI, incluidos * la poltica de seguridad de la informacin. 3. La declaracin de * objetivos de la seguridad de la informacin. aplicabilidad, firmada por los Los resultados de la revisin se deben documentar claramente y directivos o directivos o se deben llevar responsables del proceso. registros (Ver 4.3.3). 7.2 REVISIN DE ENTRADAS Las entradas para la revisin por la direccin debe incluir: a) resultados de las auditorias y revisiones del SGSI; b) retroalimentacin de las partes interesadas; c) tcnicas, productos o procedimientos que se pueden usar en la organizacin para mejorar el desempeo y eficacia del SGSI; d) estado de las acciones preventivas y correctivas; e) vulnerabilidades o amenazas no tratadas adecuadamente en la valoracin previa de los riesgos; f) resultados de las mediciones de la eficacia; g) acciones de seguimiento resultantes de revisiones anteriores por la direccin; h) cualquier cambio que pueda afectar el SGSI; y i) Retroalimentacin para mejorar.
A5. POLITICA DE SEGURIDAD Brindar orientacin y apoyo a la direccin con respecto a la seguridad de informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.
A.6 Organizacional
Informes de auditoria seguimientos de no conformidades y/o recomendaciones Registro de resultados de mediciones Actas de seguimiento del sistema de alta direccin y grupos de apoyo. 7.2. Informacin para la revisin
Seguridad A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACION Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de informacin de la organizacin y de los servicios de procesamiento de informacin a los cuales tiene acceso las partes externas
A.6 Organizacional 7.3 REVISIN DE LAS SALIDAS Las resultados de la revisin por la direccin deben incluir cualquier decisin y accin relacionada con: a) Mejoramiento de la eficacia del SGSI; b) la actualizacin de la evaluacin del tratamiento de riesgo y plan de valoracin y tratamiento de riesgos; c) la modificacin de los procedimientos y controles que afecten la seguridad de la informacin, segn sea necesario, para responder a eventos internos o externos que pueden tener impacto en el SGSI, incluidos cambios a: 1) los requisitos del negocio, 2) los requisitos de seguridad, 3) los procesos del negocio que afectan los requisitos del negocio existentes, 4) los requisitos reglamentarios o legales, 5) las obligaciones contractuales; y 6) los niveles de riesgo y/o niveles de aceptacin de riesgos. d) los recursos necesarios, e) La mejora en que se mide la manera en que se mide la eficacia de los controles. 8. Mejora del SGSI
Seguridad A.6 ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACION Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de informacin de la organizacin y de los servicios de procesamiento de informacin a los cuales tiene acceso las partes externas
Informes de auditoria seguimientos de no conformidades y/o recomendaciones Registro de resultados de mediciones Actas de seguimiento del sistema de alta direccin y grupos de apoyo. 7.3. Resultado de la Revisin
8.1 MEJORA CONTINUA La organizacin debe mejorar continuamente la eficacia del SGSI mediante el uso: a) De la poltica de seguridad de la informacin, b) Los objetivos de la seguridad de la informacin, c) Los resultados de la auditoria, d) El anlisis de los eventos a los que se les ha hecho seguimiento, e) Las acciones correctivas y preventivas y f) La revisin por la Direccin.
A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.
A.14 Gestin de la continuidad del 8.2 ACCIN CORRECTIVA negocio La organizacin debe emprender acciones para eliminar la causa de no conformidades asociadas con los requisitos del SGSI, con el fin de prevenir que ocurran nuevamente. El procedimiento documentado para la accin correctiva debe definir requisitos para: a) Identificar las no conformidades; b) determinar las causas de las no conformidades; c) evaluar la necesidad de acciones que aseguren que las no conformidades no vuelvan a ocurrir; d) determinar e implementar las acciones correctivas necesarias; e) registrar los resultados de la acciones tomadas; (Ver 4.3.3); y f) revisar la accin correctiva tomada. A.14 Gestin de la continuidad del 8.3 ACCIN PREVENTIVA negocio La organizacin debe determinar acciones para eliminar la causa de potenciales no conformidades con los requisitos del SGSI y evitar que ocurran. Las acciones preventivas tomadas deben ser apropiadas al impacto de los problemas potenciales. El procedimiento documentado para la accin preventiva debe definir requisitos para: a) Identificar no conformidades potenciales y sus causas; b) evaluar la necesidad de accin para impedir que las no conformidades ocurran; c) Determinar e implementar la accin preventivas necesarias; d) registrar los resultados de la accin tomada (Ver 4.3.3); y e) revisar la accin preventivas tomadas. La organizacin debe identificar los cambios en los riesgos e identificar requisitos en cuanto acciones preventivas, concentrando la atencin sobre los riesgos que han cambiado significativamente. La prioridad de las acciones preventivas se debe determinar con base en los resultados de la valoracin de los riesgos. Nota: Las acciones preventivas para prevenir no conformidades con frecuencia son ms rentables que la accin correctiva.
A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.
A.14 GESTIN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades del negocio y proteger sus procesos crticos contra los efectos de las fallas importantes en los sistemas de informacin o contra desastres y aseguramiento de su restauracin oportuna.
Norma ISO27001:2013 Este ao 2013 en octubre se realizar el lanzamiento de la norma ISO27001:2013 la cual tiene varios cambios frente a la norma ISO27001:2005, entre ellos resaltamos los siguientes:
pretende que se describa la metodologa ni los criterios. mas al dueo del riesgo.
son menos controles, evitando redundancia, paso de 133 a 113 Se realiz una reubicacin de controles que se ver en el cuadro del archivo anexo: accesos, ahora es parte de la seccin 6.2 Organizacin de la seguridad de la informacin. de comunicaciones y operaciones, ahora es parte de la gestin de activos 8.3. acceso a la informacin, se colocaron en un solo control en el Sistema de control de aplicaciones y acceso (9.4). informacin de la adquisicin, desarrollo y mantenimiento, ahora es una categora aparte en el numeral 12.5 en la seccin de Operaciones de seguridad.
Cumplimiento pasaron a la seccin 12.7 de Seguridad de operaciones. han trasladado a la seccin 13 de Seguridad en las comunicaciones. seccin 13 Seguridad en las comunicaciones. dominio 14.1 en Requisitos de seguridad de sistemas de informacin. sola.
sistemas de informacin ingeniera de sistemas desarrollo seguridad esto es parte de la gestin de incidentes lograr redundancia Controles que se fueron
informacin. informacin.