Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad
En este documento usted encontrará una serie de formatos y técnicas que deberá adecuar a su
organización. Su experiencia y conocimientos serán muy útiles para completar dichos formatos
y/o para adecuarlos. Considere que usted debe primero identificar los requerimientos de
seguridad de su organización para desarrollar un sistema de gestión a la medida de sus
necesidades. Todos los documentos que usted desarrolle serán sus herramientas de gestión, por
lo tanto, cada vez que defina algún mecanismo de control considere la forma de monitorearlo.
NOTA: Este análisis estará orientado a la infraestructura de redes y centro de datos de una
institución que usted elija.
Utilice los siguientes formatos para documentar los activos de información de su organización.
Consulte con su instructor la forma de completarlo.
Descripción del
Activo de
información
Propietarios del
Activo de
Información
Sistemas
Operativos
Hardware
Servidores
Redes
PC y Otros
Personas
Funcionarios
de Negocios
Personal
Técnico
Otros
Otros Medios
Ubicación
Física
Papeles
Otros lugares
Integridad
Disponibilidad
5 Crítico
4 Mayor
3 Moderado
2 Menor
1 Muy Bajo
5 Altamente Probable
4 Probable
3 Moderado
2 Bajo
1 Muy Bajo
Criterios Descripción
En función a los objetivos de control y controles de la NTP 17799 selecciones los objetivos de
control y controles que su organización necesita para cubrir los requerimientos de seguridad de
información
Aspectos
4 organizativos para
la seguridad
Estructura para la
Comité de Gestión de Seguridad
4.1 seguridad de la 4.1.1
de la Información
información
Coordinación de la Seguridad de
4.1.2
Información
Asignación de responsabilidades
4.1.3
para seguridad de la información
Proceso de autorización de
4.1.4 recursos para el tratamiento de la
información
Asesoramiento de especialista en
4.1.5
seguridad de la información
Cooperación entre
4.1.6
organizaciones
Revisión independiente de
4.1.7
seguridad de la información.
Requisitos de Seguridad en
4.2.2
contratos con terceros
Requisitos de seguridad en
4.3 Outsourcing 4.3.1
contratos de outsourcing
Clasificación y
5
Control de Activos
Responsabilidad
5.1 5.1.1 Inventario de activos
sobre los activos
Clasificación de la
5.2 5.2.1 Guías de clasificación
Información
Marcado y tratamiento de la
5.2.2
información
ENUNCIADO DE APLICABILIDAD
Términos y condiciones de la
6.1.4
relación laboral
Respuesta ante
incidencias y malos Comunicación de las incidencias
6.3 6.3.1
funcionamientos de de seguridad
la seguridad
ENUNCIADO DE APLICABILIDAD
Seguridad Física y
7
del Entorno
Seguridad de oficinas,
7.1.3
despachos y recursos
ENUNCIADO DE APLICABILIDAD
Seguridad en el reuso o
7.2.6
eliminación de equipos
Política de puesto de trabajo
7.3 Controles Generales 7.3.1
despejado y bloqueo de pantalla
7.3.2 Extracción de pertenencias
DOCUMENTO DE APLICABILIDAD
Procedimientos y
Documentación de
8.1 responsabilidades 8.1.1
procedimientos operativos
de operación
Control de cambios
8.1.2
operacionales
Procedimiento de gestión de
8.1.3
incidencias
ENUNCIADO DE APLICABILIDAD
Utilización y
seguridad de los
8.6 8.6.1 Gestión de medios removibles
medios de
información
ENUNCIADO DE APLICABILIDAD
Sistemas públicamente
8.7.6
disponibles
ENUNCIADO DE APLICABILIDAD
Gestión de acceso
9.2 9.2.1 Registro de usuario
de usuarios
Gestión de contraseñas de
9.2.3
usuario
b) Crear una línea base de controles de seguridad para adquirir, implementar, monitorear y
auditar en cumplimiento con las necesidades de ABC
c) …………………………………………………………………………………………………
d) …………………………………………………………………………………………………
El proceso incluye cinco áreas que sirven como marco general para la gestión del proceso de
seguridad de información:
Monitoreo de la Seguridad.- el uso de varios métodos para tener la confianza que los
riesgos han sido apropiadamente evaluados y mitigados. Estos métodos deberán
verificar que los controles son efectivos y están operando según lo planificado.
Los siguientes controles de seguridad de información han sido identificados y están operando:
c)
d)
Trabajaremos con el departamento de recursos humanos para utilizar los siguientes métodos:
Método Descripción
Intranet Se publicará semanalmente artículos sobre seguridad de información, incidentes,
noticias.
Seminarios
Número de incidentes de
Reducción en incidentes de seguridad relacionados a
seguridad originados por falta entrega de información
Valor para el Negocio de conciencia en seguridad. confidencial, virus ingresados
por correos electrónicos