Marco Normativo

La norma ISO 27001 se encuentra enfocada en el aseguramiento confidencialidad e

integridad de los datos, al igual que de los sistemas que se encargan de gestionar la
seguridad de la información. 

Este estándar internacional fue creado para proporcionar un modelo para establecer,
implementar, monitorear, revisar y mantener un sistema de gestión de seguridad de la
información (SGSI).

Organización interna
Se tiene que establecer una estructura de gestión al controlar toda la implementación
de Seguridad de la Información dentro de la organización.

Representación para la Gestión de Seguridad de la Información

La dirección tiene que apoyar de forma activa la seguridad dentro de su propia
organización mediante ordenes claras que demuestran compromiso, asignaciones
explicitas y reconocimiento de las responsabilidades de la Seguridad de la
Información.

Los representantes deben realizar las siguientes políticas:

 Asegurar que las metas de la seguridad de información sean identificadas,

relacionadas con las exigencias de la organización y que sean integradas en procesos
relevantes.
 Debe formular, revisar y aprobar la política de Seguridad de la Información.
 Se tiene que proveer de direcciones claras y un gran apoyo durante la gestión
de iniciativas de seguridad.
 Tiene que facilitar todos los recursos necesarios para llevar a cabo la Seguridad
de la Información en su organización.
 Se tienen que aprobar las diferentes asignaciones de roles específicos y los
responsables del Sistema de Seguridad de la Información.
 Se tienen que asegurar que la implementación de los diferentes controles para
la Seguridad de la Información se encuentra coordinada por la institución.

 La dirección tiene que identificar todas las necesidades de asesorías

especialista, bien sea interna o externa, en la que se tiene que revisar y coordinar los
resultados de ésta en la organización.
 Identificar como se debe manejar los no cumplimientos.
 Se tienen que aprobar las metodologías y los procesos para seguridad de
información, como por ejemplo la evaluación del riesgo y la clasificación de la
información.
 Tiene que identificar todos los cambios significativos de amenazas y exposición
de la información.
 Se evalúa la adecuación y se coordina la implantación de los controles
de Seguridad de la Información.
 Hay que hacer promoción de la educación, entrenamiento y concienciación con
los que respecta a la Seguridad de la Información, mediante la propia organización.
 Se tiene que evaluar la información de seguridad recibida a la hora de
monitorear y revisar los incidentes de Seguridad de la Información, además de
recomendar todas las acciones apropiadas en respuesta para identificar incidentes
de Seguridad de la Información.
 Identificar perfectamente todos los activos y los procesos de seguridad.
 Tiene que nombrarse al responsable de cada activo o proceso de seguridad.
 Debe definirse y documentarse todos los niveles de autorización.
 Revisión periódica para la mejora y mitigación de riesgos.
 Propuesta mitigación de riesgos.

1. Concientizar y disuadir. Diseñar una estrategia de concientización que incluya

la responsabilidad en el manejo de la información, que funcione tanto para capacitar a
las personas que podrían filtrar información por error u omisión, como para persuadir a
las que deliberadamente intenten hacerlo, mostrando las potenciales consecuencias.

2. Seguir los estándares. Alinearse con estándares internacionales de gestión de

la seguridad (Iso 27001)permite disminuir el riego de que puedan ocurrir incidentes, así
como también de que la dependencia se vea afectado por un determinado evento de
filtración.

3. Mantener políticas y procedimientos claros. Relacionado con el punto

anterior, se debe tener una clara definición y comunicación de las políticas de
seguridad y acuerdos de confidencialidad, aceptados y firmados por todos los usuarios.
Esto minimiza potenciales fugas de información, al contar con un consentimiento
firmado del usuario para no realizar ciertas acciones.

4. Conocer a la propia gente. En algunos casos es posible identificar a las

personas conflictivas o con un determinado grado de disconformidad, que podrían ser
foco de cierto tipo de problemas relacionados con la confidencialidad. Muchas veces es
dificultoso detectarlo, pero es recomendable prestar atención a los indicadores de
conflicto.
5. Uso de celulares los celulares deberán de ser resguardados en área de
despacho sin posibilidad a utilizarlo es su estación de trabajo.
6. Acceso a Whatsapp será otorgado por el propio supervisor retirando el
teléfono, WhatsApp deberá de estar funcionando solo mediante conexión WIFI.
7. Limitación de perfiles CityMind a la reproducción de eventos pasados.
8. Identificación de monitores mediante etiquetado individual, o marca de agua en
todo momento en el escritorio Windows que no limite la operación.
9. SYM deberá de confirmar la lista de usuarios con sus limitantes de navegación.
10. Cancelación de sitios de tipo web mail en el tráfico de red.
11. SYM deberá de establecer política mediante controlador de dominio el bloqueo
herramienta recortes y captura de pantalla en equipos de despacho y 9-1-1.
12. SYM deberá establecer mediante política bloqueo automático de la pantalla ya
solicitado sin embargo no se bloquea.