Implementacion De Un Sgsi
Auditoría de Sistemas
Ing.Víctor Muñoz R. munozramirez.victor@gmail.com
Implementación de un SGSI
Punto a Considerar
ISO 27002
5. Política de Seguridad de la Información
Documento que permite estandarizar las responsabilidades y roles de las personas sobre laseguridad de la información.
- Política de Seguridad publicada y aprobada por la alta gerencia o dirección. Ha sido comunicada? entendidas? aceptadas? - Otras normas, guías, políticas y/o procedimientos de las unidades de negocios (GHP, Seguridad física, legal, etc.) - Cómo se gestiona el documento? Con que periodicidad se revisa? Quien lo hace? Quien lo aprueba?
ISO 27002
Gestionar laseguridad de la información dentro de la organización
6.1 Organización Interna -Cómo se organiza la seguridad dentro de la organización? Jerarquía, se le ha dado suficiente autonomía y visibilidad? Existe el soporte de la Alta Gerencia? Existen conflicto de intereses? Están los roles y responsabilidades claramente definidos.? Los profesionales de seguridad poseen los skills adecuados? -Existe unpresupuesto para SGSI? Hay coordinación suficiente entre las aéreas de negocios? Existe un comité? Quienes lo componen? Cada cuánto se reúnen? El flujo de información es el adecuado? (ej: respuesta ante incidentes) - Acuerdos de confidencialidad, proceso de acceso a la información. Revisiones independientes. -Contactos con autoridades, contacto con organizaciones especializadas. 6. Organización de laseguridad de la información
ISO 27002
Gestionar la seguridad de la información dentro de la organización
6.2 Terceros - Se tiene un esquema de análisis de riesgos para los proveedoes, partners, clientes y/o terceros? Quién es le responsable de realizar el análisis? Qué estándares mínimos deberían cumplir? -Cómo se trata la seguridad cuando se relacionan con terceros? Quién garantiza que losterceros cumplan los requisitos mínimos establecidos? Se tiene un proceso de accesos o de conectividad? -Quien es el responsable de asumir el riego si pasara algo? Existen implicancia legales? -Se tiene la potestad de auditar? Podemos pedir información? Se tienen acuerdos NDA? SLA’s 6. Organización de la seguridad de la información
ISO 27002
7. Gestión de activos
Lograr mantener una apropiadaprotección de los activos de información.
7.1 Responsabilidad de los activos -Se cuenta con un inventario de los activos de la compañía? Quien es el responsable? Están aprobados por los usuarios? Cómo se mantienen actualizado , preciso y completo a pesar de los cambios (equipos, personas)? -Se tienen identificados a los dueños de lo activos? Estos saben cuál es su rol? -Cómo se garantiza el usoaceptable de los activos de la compañía?
ISO 27002
7. Gestión de activos
Lograr mantener una apropiada protección de los activos de información.
7.2 Clasificación de la información - Cómo se ha clasificado la información? Existen guías? Cubren los requerimientos del negocio. Los usuarios saben cómo usarlas? - Se realiza el marcado de la información apropiadamente en documentos,formularios, reportes, pantallas, copias de respaldo, emails, tranferencias de archivos, etc.? - El personal es consciente de cómo tratar la información de acuerdo a su clasificación?
ISO 27002
8. Seguridad de recursos humanos
Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y que sean los adecuados para las funciones que están siendo considerados.
8.1 Antesdel Empleo - Los roles y responsabilidades se han definido en la descripción de puestos (MOF)? Se tienen condiciones especiales para personal de confianza, TI y/o gerentes? - Se cuenta con un política de selección y contratación de personal? Se realiza una revisión de antecedentes penales, policiales, antiguos jefes para la posiciones que manejan información sensitiva? - Los empleados firman...
Regístrate para leer el documento completo.