Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Recurso 4 - Política Awarness U1 - CS401

    Cargado por

    dmiquel.c29
    5 vistas8 páginas

    Título original

    Recurso 4 – Política Awarness U1 -CS401

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas8 páginas

    Recurso 4 - Política Awarness U1 - CS401

    Cargado por

    dmiquel.c29

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 8

    Políticas de Seguridad y Concienciación

    Políticas de Seguridad

    • Qué debe incluir la Política de Seguridad de la Información según ISO 27001 ?

    • La redacción del documento de política de Seguridad de la Información según ISO 27001, suele
    ser una labor que genera controversia al interior de la organización.
    • Se tiende a creer que este documento, en cumplimiento de la norma, deben estar contemplados
    todos los aspectos que atañen a la seguridad de la información, de forma directa o indirecta.
    • Es importante saber que la misma norma dispone en forma precisa que debe incluir la política de
    Seguridad de la Información según ISO 27001, es decir, ¿Cuál es el propósito de este documento?
    ¿Cuáles son sus alcances y cuál su contenido?¿Para qué sirve la política de Seguridad de la
    Información según ISO 27001?.

    • Propósitos de una Política de Seguridad de la Información?

    • El primer propósito que cumple la política de Seguridad de la Información según ISO 27001, es
    transmitir los objetivos que la alta dirección pretende alcanzar con su implementación.
    • El segundo propósito es obtener un documento que resulte fácil de entender para las partes
    interesadas sin que necesariamente ellas tengan que conocer los detalles intrínsecos del sistema,
    como los factores de evaluación del riesgo, o quiénes son los responsables directos.
    Estructura de una Política de Seguridad

    • Qué debe incluir la Política de Seguridad de la Información según ISO 27001 ?

    • La redacción del documento de política de Seguridad de la Información según ISO 27001, suele
    ser una labor que genera controversia al interior de la organización.
    • Se tiende a creer que este documento, en cumplimiento de la norma, deben estar contemplados
    todos los aspectos que atañen a la seguridad de la información, de forma directa o indirecta.
    • Es importante saber que la misma norma dispone en forma precisa que debe incluir la política de
    Seguridad de la Información según ISO 27001, es decir, ¿Cuál es el propósito de este documento?
    ¿Cuáles son sus alcances y cuál su contenido?¿Para qué sirve la política de Seguridad de la
    Información según ISO 27001?.

    • Propósitos de una Política de Seguridad de la Información?

    • El primer propósito que cumple la política de Seguridad de la Información según ISO 27001, es
    transmitir los objetivos que la alta dirección pretende alcanzar con su implementación.
    • El segundo propósito es obtener un documento que resulte fácil de entender para las partes
    interesadas sin que necesariamente ellas tengan que conocer los detalles intrínsecos del sistema,
    como los factores de evaluación del riesgo, o quiénes son los responsables directos.
    Estructura de una Política de Seguridad

    • Resumen: Indicar en que consiste la política, que aspectos cubre y como aporta a
    la protección de la información,
    • Introducción: Entregar detalles de los aspectos cubiertos por la política, pilares
    de la seguridad que apoya, vigencia y todo lo que se deba comunicar antes de
    entrar a los detalles.
    • Alcance: especificar las limitaciones de la política (personas, áreas de la
    compañía, sistemas, activos, etc.).
    • Roles y Responsabilidades: identificar los cargos que desempeñarán un rol y
    tendrán cierta responsabilidad en los componentes de la política.
    • Componentes: detallar los escenarios que la política reglamenta, es decir,
    establecer las reglas propiamente tal (lo que no se permite, o lo que se debe
    hacer en función de los pilares de la seguridad de la información).
    • Actualización: definir el plazo máximo para que la política sea revisada y
    actualizada.
    • Control de Cambios: registrar las diferentes versiones del documento, sus
    autores y la naturaleza de cada cambio.
    Procesos de Concienciación (Awarness)

    1. Awareness es el proceso realizado para lograr


    una conciencia de Seguridad de la
    Información.

    2. El Awareness debe lograr que los individuos


    de una organización reconozcan la seguridad,
    se preocupen por ella y respondan
    adecuadamente.
    Procesos de Concienciación (Awarness)

    • Beneficios

    • Aumenta el nivel de seguridad de la información


    interiorizando a los colaboradores sobre la
    importancia de cuidar y proteger la información a
    todos los niveles.

    • Minimiza los incidentes que puedan presentarse


    por falta de conocimiento o malas prácticas de los
    empleados y los prepara para manejar los
    posibles escenarios dentro del ámbito de sus
    funciones.

    • Provee un balance entre herramientas,


    procedimientos y educación de usuarios, como
    una forma de enfrentar el riesgo latente del error
    humano.
    Procesos de Concienciación (Awarness)

    • Estrategias (“el usuario final es el eslabón mas débil de la


    cadena”).

    • La Concientización de la Seguridad de la Información debe ser abarcada


    por un plan estratégico continuo que apoye a los empleados en el
    reconocimiento de amenazas de seguridad y en la aplicación de
    medidas apropiadas que minimicen el riesgo de una violación de
    seguridad.

    • Un Programa de Concientización en Seguridad de la Información


    requiere el firme compromiso de los C-levels, incluyendo a las juntas
    directivas, presidentes y gerentes generales.

    • C-Level, recursos humanos, auditoría, seguridad y tecnologías de la


    información, son los responsables de la transformación de la cultura
    organizacional para que los demás niveles interioricen estos cambios.

    • Diagnósticos, gestión del cambio, pruebas de ingeniería social,


    campañas motivacionales, talleres, códigos de conducta, reglamentos y
    capacitación regular, son las formas mas comunes de acercar a los
    usuarios con la enseñanza en seguridad de la información.
    Comunicación Efectiva de Riesgos

    • Estrategias para comunicar riesgos TI

    1. Identificar cada riesgo TI que impacta en el negocio y


    describirlo en función de probabilidad e impacto
    sobre activos críticos ($).
    2. Asociar cada riesgo con procesos de negocio.
    3. Indicar antigüedad del riesgo y actualizarlo a día de la
    comunicación.
    4. Recomendar medidas de tratamiento de cada riesgo
    con los recursos necesarios(tiempo y $)
    5. Priorizar riesgos.

    También podría gustarte