Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Desarrollo
1)
Plan de trabajo para la redacción de políticas
Introducción
Se busca implementar un esquema de seguridad de la información, el cual permita
asegurar constante y efectivamente la confidencialidad, confiabilidad, eficiencia, el
cumplimiento, la integridad y la disponibilidad sobre sus activos de información,
siguiendo los lineamientos propuestos por el estándar ISO 27001.
Se requiere que todo el personal que forma parte de la organización conozca, participe y
cumpla las políticas, procedimientos, estándares, recomendaciones y demás directivas
estipuladas en el Sistema de Gestión de Seguridad de la Información (SGSI) ISO 27001
y se espera como consecuencia de este proceso que todos los empleados adquieran
también un compromiso permanente con la protección y el buen uso de los activos de
información de toda la organización, componentes indispensables para lograr la visión y
misión organizacional.
Alcance
Estas políticas también aplicarán a todos los empleados, consultores, contratistas,
temporales o terceras partes que accedan a los activos de la información de la
organización.
Propósito del documento
Con este plan de trabajo se busca encontrar un consenso entre los distintos niveles de la
organización para planificar de manera integral, eficiente, y por lo tanto, eficaz las tareas
requeridas para definir un plan general sobre en qué momento y a qué profundidad
abordaremos las políticas de la norma ISO 27001 para que las reuniones y los medios por
los cuales se realicen, se definan las tareas necesarias para establecer las políticas de
seguridad de acuerdo a la normativa de las ISO.
2)
Indice
1. Introducción
2. Política general de la seguridad ISO 27001:2013
3. Políticas por dominios
4. Violaciones a la política
5. Revisiones de la política
6. Roles y responsabilidades
7. Normas
8. Procedimientos asociados
9. Estándares de configuración
10. Guías y recomendaciones
11. Formatos
12. Manual de usuarios
13. Anexo
3)Accionar sobre el home office basándose en la ISO 27001 Anexo A de control sobre
normativas de teletrabajo.
# Amenaza Vulnerabilidades Explicación Forma de ISO 27001 Explicación de la forma
del riesgo protección Anexo A de protección
5 Pérdida de Copia única del Los datos son Hacer copias A.12.3.1 - El daño potencial de la
datos dato en forma irrecuperable de datos Backup pérdida de datos para la
(activado local si existe una sensibles y empresa, en términos de
físico / única copia si mantener dinero u otros impactos
electrónico es destruido o en servidores como legales, de
medios de corrupto el corporativos. reputación, etc., puede
comunicación) dato. evitarse asegurándose
de que se creen copias
de los datos con
regularidad y se
mantengan separadas
de los datos originales.
11 Acceso no Red de dominio Todas las Separe A.13.1.3 - Las redes segregadas
autorizado a única computadoras equipos y Segregaci minimizan los activos a
la red y activos activos en ón en los que se puede
pueden verse redes redes acceder si se produce
comprometido pequeñas con una violación de la red.
s debido a acceso
una sola controlado
brecha en la entre ellos.
red.
16 Corte en la Único proveedor Los servicios Contar con un A.17.1.2 - Los incidentes ocurrirán,
infraestructura de proveedor Implement sin importar qué tan
información alternativo que ación de la preparado esté, por lo
no se pueden no sea continuida que definir cómo actuar
reanudar si susceptible al d de la en caso de un desastre
dependen de mismo seguridad puede permitirle
un solo incidente al de la disminuir el impacto y
proveedor no mismo tiempo. informació reanudar las operaciones
disponible. n más rápido.
17 Incumplimient Reglas poco La violación Identifique qué A.18.1.1 - Al identificar los
o contractual definidas sobre el de las leyes y leyes, Identificaci requisitos legales
o trabajo desde el los contratos reglamentos y ón de la específicos que debe
legislaciones hogar puede ocurrir contratos legislación cumplir, puede optimizar
vigentes porque los relacionados aplicable y los recursos necesarios y
empleados no con el trabajo los minimizar el riesgo de
los conocen. desde casa requisitos infringir los requisitos.
debe cumplir contractua
su les
organización.
18 Uso indebido Reglas poco El uso Establezca A.6.2.2 - Las reglas claras sobre
de recursos definidas sobre el inadecuado reglas claras Política de el teletrabajo ayudan a
empresariales trabajo desde el de la para los teletrabajo organizar y prevenir el
hogar información y empleados mal uso de los recursos
los recursos que trabajan asignados a esta
puede ocurrir desde casa. actividad.
porque los
empleados no
saben cómo
proceder
cuando
trabajan
desde casa.