Juan Ignacio Santillán Moio

Lea atentamente el capítulo "Políticas de seguridad" de la la norma 27001. Suponiendo que

le han encomendado la preparación de las políticas de seguridad de la organización:

1. - Prepare un plan de trabajo para la redacción de las políticas (reuniones, tareas,

etc)
2. - Indique un índice tentativo del documento
3. - Prepare un capítulo de Normativas referente al teletrabajo

Desarrollo
1)
Plan de trabajo para la redacción de políticas
Introducción
Se busca implementar un esquema de seguridad de la información, el cual permita
asegurar constante y efectivamente la confidencialidad, confiabilidad, eficiencia, el
cumplimiento, la integridad y la disponibilidad sobre sus activos de información,
siguiendo los lineamientos propuestos por el estándar ISO 27001.
Se requiere que todo el personal que forma parte de la organización conozca, participe y
cumpla las políticas, procedimientos, estándares, recomendaciones y demás directivas
estipuladas en el Sistema de Gestión de Seguridad de la Información (SGSI) ISO 27001
y se espera como consecuencia de este proceso que todos los empleados adquieran
también un compromiso permanente con la protección y el buen uso de los activos de
información de toda la organización, componentes indispensables para lograr la visión y
misión organizacional.
Alcance
Estas políticas también aplicarán a todos los empleados, consultores, contratistas,
temporales o terceras partes que accedan a los activos de la información de la
organización.
Propósito del documento
Con este plan de trabajo se busca encontrar un consenso entre los distintos niveles de la
organización para planificar de manera integral, eficiente, y por lo tanto, eficaz las tareas
requeridas para definir un plan general sobre en qué momento y a qué profundidad
abordaremos las políticas de la norma ISO 27001 para que las reuniones y los medios por
los cuales se realicen, se definan las tareas necesarias para establecer las políticas de
seguridad de acuerdo a la normativa de las ISO.
2)
Indice
1. Introducción
2. Política general de la seguridad ISO 27001:2013
3. Políticas por dominios
4. Violaciones a la política
5. Revisiones de la política
6. Roles y responsabilidades
7. Normas
8. Procedimientos asociados
9. Estándares de configuración
 10. Guías y recomendaciones
11. Formatos
12. Manual de usuarios
13. Anexo

3)Accionar sobre el home office basándose en la ISO 27001 Anexo A de control sobre
normativas de teletrabajo.
# Amenaza Vulnerabilidades Explicación Forma de ISO 27001 Explicación de la forma
del riesgo protección Anexo A de protección

1 Robo de Almacenamiento Un dispositivo Usar A.11.2.6 - Cuando se trabaja desde

bienes/ datos inadecuado. dejado armarios con Seguridad casa, no solo es
encendido bloqueo, para de equipo importante
el escritorio, o aumentar la y activos establecer que la
en dificultad del fuera de información está
otro inseguro acceso local. protegida; el equipo debe
lugar, cuando no autorizado. estar físicamente seguro
está en todo momento.
desatendida
es fácilmente
accesible.

2 Robo de Acceso libre a Un espacio de Trabajar en un A.11.1.1 - Un espacio dedicado al

bienes/ datos cualquiera al trabajo donde cuarto Perímetro trabajo en casa no solo
área de trabajo. todos pueden separado físico de ayuda a uno
caminar con cerradura seguridad centrarse en su trabajo,
libremente, puerta. A.11.1.2 - pero también en proteger
aumenta la Controles la información
oportunidad de entrada Y equipamiento.
del dispositivo física.
a ser robado.

3 Divulgación Visiblemente Información Bloquear el A.11.2.9 - Porque la información y

información expuesta dejada en la acceso a Escritorio los activos en un espacio
pantalla, o en información despejado de trabajo están en
la mesa, cuando no y pantalla Uno de sus lugares más
cuando no está en uso. despejada vulnerables, la adopción
está en uso de algunas prácticas de
se puede ver baja tecnología y fáciles
fácilmente por de implementar para
una persona bloquear el acceso a la
no autorizada. información puede
ayudar a reducir el riesgo
de seguridad e
infracciones.

4 Divulgación Datos Datos Proteger A.9.4.1 - Fuera de las

información almacenados en almacenados información Restricció instalaciones de la
archivo sin como con n de organización, la
formato el texto sin cifrado. acceso a información podría ser
formato puede la accesible para cualquier
ser informació persona, por lo que si
se accede n desea proteger la
 fácilmente si A.10.1.1 - información confidencial
los medios Política contra el acceso no
son sobre el autorizado, el cifrado es
comprometido uso de una buena solución.
controles
criptográfi
cos.

5 Pérdida de Copia única del Los datos son Hacer copias A.12.3.1 - El daño potencial de la
datos dato en forma irrecuperable de datos Backup pérdida de datos para la
(activado local si existe una sensibles y empresa, en términos de
físico / única copia si mantener dinero u otros impactos
electrónico es destruido o en servidores como legales, de
medios de corrupto el corporativos. reputación, etc., puede
comunicación) dato. evitarse asegurándose
de que se creen copias
de los datos con
regularidad y se
mantengan separadas
de los datos originales.

6 Acceso no Activo no El uso Mantenga A.12.4.1 - Si ocurre un incidente o

autorizado en supervisado inadecuado registros del Registro evento, los registros
actividades en de la uso de activos de pueden ayudar a
el Sistema de información y y revísalos eventos determinar qué sucedió y
Información los recursos, periódicament también pueden ayudar
o la violación e. a analizar tendencias o
de leyes y detectar posibles
contratos, actividades fraudulentas
pueden pasar antes de que ocurra
desapercibido cualquier incidente
s durante importante.
mucho
tiempo.

7 Acceso no Uso de Las fugas de Hacer cumplir A.9.4.3 - A.9.4.3 - Sistema de

autorizado a contraseñas poco información, el uso de Sistema gestión de contraseñas.
Sistema de seguras la destrucción contraseñas de gestión
Información de datos o el seguras por de
fraude pueden parte de los contraseñ
ser más empleados. as
fáciles de
lograr si los
usuarios
pueden
adoptar
contraseñas
fáciles de
adivinar.

8 Acceso no Contraseña Se pueden Adopte la A.9.4.2 - La definición de perfiles

autorizado a comprometida cometer fugas autenticación Procedimi de acceso según los
 Sistema de de de dos entos de sistemas y la información
Información información, factores para inicio de que el usuario necesita
destrucción el acceso a los sesión para disminuir el riesgo
de datos o sistemas. seguro de que la información se
fraude vea comprometida en
mediante el dispositivos o en
uso de entornos compartidos.
credenciales
comprometida
s.

9 Acceso no Único dispositivo Los usuarios Implementar A.9.2.2 - La definición de perfiles

autorizado a para múltiples con niveles de perfiles de Aprovision de acceso según los
Sistema de usuarios seguridad acceso. amiento sistemas y la información
Información más bajos de acceso que el usuario necesita
pueden tener de para acceder disminuye
acceso a usuarios. el riesgo de que la
información información se vea
que debería comprometida en
estar dispositivos o en
disponible entornos compartidos.
solo para los
usuarios con
niveles de
seguridad
más altos.

10 Información Uso de red Se puede Implementar A.13.1.1 - Al proteger los canales

interceptada pública o propia acceder a los redes privadas Controles de comunicación con
en datos virtuales de red cifrado y aceptar solo
canal transmitidos (VPN). conexiones autorizadas,
comunicación en texto sin puede aumentar la
formato si el seguridad de la
canal está información.
comprometido

11 Acceso no Red de dominio Todas las Separe A.13.1.3 - Las redes segregadas
autorizado a única computadoras equipos y Segregaci minimizan los activos a
la red y activos activos en ón en los que se puede
pueden verse redes redes acceder si se produce
comprometido pequeñas con una violación de la red.
s debido a acceso
una sola controlado
brecha en la entre ellos.
red.

12 Malware Software El software Instale A.12.2.1 - El antivirus y el antispam

defectuoso malintenciona anti-malware Controles son herramientas
do se puede para detectar y contra eficaces para minimizar
utilizar para eliminar malware el riesgo de explotación
aprovechar software de software defectuoso,
fallas de malicioso. al identificar y eliminar el
diseño o una malware antes de que
implementació pueda actuar.
 n deficiente
para
comprometer
la
información.

13 Malware Soft y Hard El hardware / Supervise a A.12.6.1 - Cuanto antes pueda

antiguo software que los fabricantes Gestión de identificar hardware y
ya no es y las vulnerabili software obsoletos en su
compatible comunidades dades organización, más
puede especiales técnicas tiempo tendrá para idear
superarse para identificar cómo manejar la
mediante hardware y situación.
técnicas de software
ataque más obsoletos y
recientes. nuevas
técnicas de
ataque.

14 Malware Parches no Las fallas Implemente un A.12.1.2 - Las correcciones deben

instalados conocidas que procedimiento Gestión de implementarse
no se corrigen para cambios rápidamente, pero de
pueden implementar manera controlada para
usarse para rápidamente garantizar la seguridad.
obtener los parches
acceso no publicados.
autorizado y
comprometer
información.

15 Malware Usuario root La Implemente A.12.6.2 - Al manejar la instalación

(permisos) configuración restricciones Restriccio de software
incorrecta del sobre qué nes a la correctamente, una
software software instalación organización puede
instalado por pueden de disminuir los riesgos
los usuarios instalar los software relacionados con códigos
puede usuarios. maliciosos y errores de
aprovecharse usuario.
para obtener
acceso no
autorizado y
comprometer
la
información.

16 Corte en la Único proveedor Los servicios Contar con un A.17.1.2 - Los incidentes ocurrirán,
infraestructura de proveedor Implement sin importar qué tan
información alternativo que ación de la preparado esté, por lo
no se pueden no sea continuida que definir cómo actuar
reanudar si susceptible al d de la en caso de un desastre
dependen de mismo seguridad puede permitirle
un solo incidente al de la disminuir el impacto y
proveedor no mismo tiempo. informació reanudar las operaciones
disponible. n más rápido.
17 Incumplimient Reglas poco La violación Identifique qué A.18.1.1 - Al identificar los
o contractual definidas sobre el de las leyes y leyes, Identificaci requisitos legales
o trabajo desde el los contratos reglamentos y ón de la específicos que debe
legislaciones hogar puede ocurrir contratos legislación cumplir, puede optimizar
vigentes porque los relacionados aplicable y los recursos necesarios y
empleados no con el trabajo los minimizar el riesgo de
los conocen. desde casa requisitos infringir los requisitos.
debe cumplir contractua
su les
organización.

18 Uso indebido Reglas poco El uso Establezca A.6.2.2 - Las reglas claras sobre
de recursos definidas sobre el inadecuado reglas claras Política de el teletrabajo ayudan a
empresariales trabajo desde el de la para los teletrabajo organizar y prevenir el
hogar información y empleados mal uso de los recursos
los recursos que trabajan asignados a esta
puede ocurrir desde casa. actividad.
porque los
empleados no
saben cómo
proceder
cuando
trabajan
desde casa.

19 Uso indebido Reglas poco El uso Establezca A.9.1.1 - La definición de

de recursos definidas sobre el inadecuado reglas claras Política de requisitos comerciales
empresariales trabajo desde el de la para brindar control de para el establecimiento
hogar información y acceso a la acceso de perfiles de acceso
los recursos información y aumenta la efectividad
puede ocurrir los sistemas de la protección de la
porque los para quienes información
empleados no trabajan desde
saben cómo casa.
acceder a los
recursos
cuando
trabajan
desde casa.

20 Manejo Reglas poco La Mantenga A.12.1.1 - Proteger únicamente el

indebido de definidas sobre el administración información Procedimi lado del usuario final no
los recursos trabajo desde el inadecuada documentada entos es suficiente. La
empresariales hogar de la sobre cómo operativos organización también
infraestructura realizar document necesita definir reglas
relacionada actividades ados sobre cómo debe
con el trabajo críticas proceder el personal de
desde casa relacionadas TI para garantizar la
puede ocurrir con la protección no solo de la
porque los infraestructura información, sino
empleados de trabajo también de la
(personal de desde casa. infraestructura de la que
TI) no saben depende.
cómo operar y
administrar
los servicios
relacionados
con el trabajo
desde casa.