1. Definir las responsabilidades de los usuarios en las tareas de seguridad
• Identificar los activos y los procesos de seguridad asociados a los mismos • Nombrar al responsable de cada activo o proceso de seguridad documentando los detalles de esta responsabilidad • Definir y documentar los niveles de autorización 2. Autorización para la utilización de nuevos recursos para el tratamiento de la información • Comprobar que el nuevo hardware/software sea compatible con el resto de dispositivos • Autorizar el uso de medios informáticos personales definiendo los controles necesarios • Evaluar el riesgo y posibles vulnerabilidades por el uso de medios informáticos personales 3. Decisión sobre la necesidad del asesoramiento por una empresa externa especialista en seguridad • Garantizar que el asesor externo tenga acceso directo a los órganos de Dirección de la Organización • Consultar al asesor externo en cuanto se produzca alguna incidencia sospechosa de fallo de seguridad. • Si no fuera posible contar con un asesor externo, designará una persona interna que coordine el conocimiento y las experiencias internas y ayude a la toma de decisiones y su desarrollo. 4. Cooperación entre organizaciones • Mantener contacto con organismos reguladores, proveedores de servicios y operadores de telecomunicaciones para asegurar el asesoramiento y respuesta ante cualquier incidente de seguridad • Asegurar la confidencialidad en la comunicación de los incidentes de seguridad 5 Revisión y auditoria externa independiente de la política de seguridad establecida
6 Controlar el acceso por parte de personal externo
• Evaluar el riesgo del acceso por personal externo tanto a las instalaciones (acceso físico) como a la información (acceso lógico) y establecer las medidas de control oportunas. • Elaborar un contrato con las condiciones a cumplir por el personal externo. 7. Establecer los requisitos de seguridad en contratos con terceros incluyendo al menos: • La política general sobre la seguridad de la información • Procedimientos y controles para la protección de los activos a los que tendrán acceso • Procedimientos para garantizar la integridad y disponibilidad de la información así como la confidencialidad cuando sea necesario. • La descripción de los servicios a utilizar y el nivel de acceso que se requiera • El obligado cumplimiento de la legislación en materia de protección de datos, propiedad intelectual, etc. • Procedimiento para el acceso del personal externo (contraseñas, tarjetas de acceso, ...) • Procedimientos para la protección contra software malicioso. • Protocolo a utilizar en el caso de una incidencia de seguridad • Responsabilidades en la instalación y mantenimiento de hardware y software.