Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad de la Información
La norma ISO 17799 facilita los requisitos que se deben adoptar para poder implementar
un Sistema de Gestión de Seguridad de la Información, con lo que se podrá mantener la
información de la organización de una forma segura ante cualquier posible amenaza. La norma
NTP-ISO/IEC 17799 es una norma técnica peruana que ayuda a implementar también medidas
de seguridad en las organizaciones, mejorando el rendimiento de la organización y aumenta su
valor añadido ante las demás organizaciones del mismo sector.
La gerencia tiene que establecer de forma clara las líneas que va a seguir la política de
seguridad y manifestar el apoyo y compromiso a la Seguridad de la Información, publicando y
manteniendo una política de seguridad en toda la empresa.
Establecer los objetivos de la gerencia como soporte de los objetivos y los principios de
la Seguridad de la Información.
Generar un marco en el que poder colocar todos los objetivos de control y mandos, en los que
se debe incluir la estructura de evaluación de riesgo y gestión del riesgo.
Una pequeña explicación de las políticas, principios, normas y requisitos de conformidad más
importantes para la empresa, como puede ser; conformidad con los requisitos legales,
requisitos de formación en seguridad, gestión de la continuidad de negocio y consecuencias de
las incumplimiento de las políticas de seguridad.
La política debe distribuirse por toda la organización, llegando hasta todos los destinatarios de
una manera apropiada, entendible y accesible.
Además la política de seguridad tiene que ser parte de un documento general de la política
empresarial. Se debe tener cuidado a la hora de distribuir dicha política de seguridad fuera de
la organización con el fin de no compartir la información confidencial.
Revisión y evaluación
La política debe tener un propietario que se haga responsable del desarrollo, revisión y
evaluación de la política de seguridad. La revisión debe incluir todas las oportunidades de
evaluación con las que mejorar la política de seguridad de la información de la empresa y un
acercamiento a la gestión de la seguridad de la información generando una respuesta a los
cambios del ambiente organizacional, circunstancias del negocio, las condiciones legales o
cambios en el ambiente técnico.
La revisión de la política de Seguridad de la Información tiene que tener en cuenta todos los
resultados de las revisiones de la gestión. Tiene que existir procedimientos diferentes de la
gestión durante la revisión, incluyendo un calendario o periodo de revisión.