Documentos de Académico
Documentos de Profesional
Documentos de Cultura
[Nombre de la organización]
Código:
Versión:
Fecha de la versión:
Creado por:
Aprobado por:
Nivel de confidencialidad: Alta Media Baja
[nombre de la organización]
Historial de modificaciones
Tabla de Contenido
1. Objetivo, alcance y usuarios.......................................................................................................4
2. Documentos de referencia.........................................................................................................4
3. Proyecto de implementación del SGSI.......................................................................................4
4. Gestión de registros guardados con base a este documento.....................................................4
5. Validez y gestión de documentos...............................................................................................4
[nombre de la organización]
1.3 Incluir mapa de procesos (no sólo los procesos de seguridad de TI, sino que
debemos considerar todos los procesos de negocio definidos dentro del alcance del
SGSI
Una vez determinados los procesos y los distintos departamentos y sus dependencias o
instalaciones deberemos identificar relaciones e interfaces entre los distintos procesos y
departamentos o instalaciones. Para identificar estas interfaces o elementos de interrelación entre
procesos debemos fijarnos en las entradas y salidas de éstos.
- Identificar los puntos finales sujetos a control (por ejemplo, en una red local los
routers suelen ser el punto final de control de una red a partir del cual ya no
ejercemos control; esto puede significar un punto de entrada o salida según seamos
un proveedor de servicios TI o un receptor de dichos servicios).
- Definir las características de alto nivel de las interfaces (determine las funciones de
alto nivel relacionadas con la información y que se refieren a las personas, los
procesos y las tecnologías.
o Personas:
Usuarios de software
[nombre de la organización]
Desarrolladores de software
Procesos de selección de personal
Procesos de contratación
Definición de responsabilidades
o Procesos
Procesos de soporte
Resolución de incidencias
Mantenimiento de software
Procesos de desarrollo
o Tecnologías
Aplicaciones de software de escritorio
Aplicaciones de software para desarrollo
Sistemas operativos
Aplicaciones de comunicaciones (Email, FTP, etc.)
2. Documentos de referencia
o Servicios en la nube
o Servicios de correo
o Etc.
- Determinar los medios por los que se transmite la información
- Identificar soportes en los que se encuentra la información (soportes electrónicos
como base de datos, archivos PDF, Word, Excel, y otros formatos, soportes en físico
como documentos impresos)
- Elaborar un catálogo de amenazas considerando como tales a cualquier intento o
evento capaz de alterar la seguridad de la información.
o Para encontrar las amenazas que pueden afectar a una organización en
concreto, se deben conocer las fuentes de amenazas y las áreas específicas del
sistema que pueden verse afectadas, así como los activos de seguridad de la
información que se pueden proteger por adelantado.
- Tratamiento de riesgos
o Elaborar un plan para el tratamiento de los riesgos identificados
o Identificar al propietario de los riesgos quien deberá intervenir en la toma de
decisiones del tratamiento que se va a realizar para cada amenaza y riesgo
identificado.
- La última etapa consiste en identificar los controles de seguridad que vamos a aplicar a
los activos que hemos determinado para el tratamiento de mitigación de riesgos.
o Realizar un análisis de aplicabilidad o declaración de aplicabilidad tomando en
cuenta todos los controles del Anexo A en orden para verificar que no se ha
dejado fuera ningún control que se pueda aplicar a la protección de este
activo.
- *FORMATO INVENTARIO DE ACTIVOS
[firma]
[nombre]
[cargo]