BUENAS PRÁCTICAS DE SEGURIDAD EN MEXICO
Páginas: 10 (2383 palabras)
Publicado: 25 de septiembre de 2014
BUENAS PRÁCTICAS DE SEGURIDAD EN MEXICO
I. INTRODUCCIÓN.
ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
El manualadministrativo de aplicación general en las materias de tecnologías de la información y comunicaciones, y en la de seguridad de la información (MAAGTICSI), tiene por objeto emitir políticas y disposiciones para la estrategia digital nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, será de observancia obligatoria en la administraciónpública federal quedando exceptuadas la SEDENA, SEMAR, CNS y órganos administrativos desconcentrados adscritos a éste cuando ello pueda vulnerar su operación.
Esencialmente la norma ISO es de carácter genérico para cualquier tipo de organización y el MAAGTISI deriva de una planeación estratégica de estado, un plan nacional de desarrollo y sus respectivas políticas y disposiciones para laestrategia digital nacional en concordancia con otras políticas como adquisiciones y el manejo de recursos entre otras.
II. CONTENIDO.
A. MAAGTICSI.
a. De manera general el MAAGTICSI está dividido en tres macroprocesos :
1. Gobernbilidad
2. Organización
3. Entrega
b. Cada uno de los macroprocesos tiene sus correspondientes procesos, particularmente en el proceso de organización seencuentra el proceso de administración de la seguridad de la información (ASI), el cual tiene por objeto establecer y vigilar los mecanismos que permitan la administración de la seguridad de la información de la institución, así como disminuir el impacto de eventos adversos, que potencialmente podrían afectar el logro de los objetivos de la institución o constituir una amenaza para la seguridad nacionalc. El proceso de administración de la seguridad de la información (ASI) se subdivide en las siguientes siete actividades:
1. ASI 1 Establecer un modelo de gobierno de seguridad de la información.
2. ASI 2 Operar y mantener el modelo de gobierno de seguridad de la información.
3. ASI 3 Diseño del SGSI.
4. ASI 4 Identificar las infraestructuras críticas y los activos clave.
5. ASI 5 Elaborarel análisis de riesgos.
6. ASI 6 Integrar al SGSI los controles mínimos de seguridad de la información.
7. ASI 7 Mejorar el SGSI.
d. Dentro del macroproceso de entrega se encuentra el proceso de operación de los controles de seguridad de la información y del ERISC (OPEC), el cual tiene por objetivo implementar y operar los controles de seguridad de la información de acuerdo al programa deimplementación del SGSI, así como los correspondientes a la capacidad de respuesta a incidentes, derivándose a su vez en las siguientes actividades:
1. OPEC 1 Designar un responsable de la supervisión de la implementación de los controles de seguridad definidos en el SGSI y en el análisis de riesgos.
2. OPEC 2 Establecer los elementos de operación del ERISC.
3. OPEC 3 Operación del ERISC en laatención de incidentes.
4. OPEC 4 Implementar los controles de mitigación de riesgos y los controles del SGSI.
5. OPEC 5 Implementar los controles del SGSI relacionados con los dominios tecnológicos de TIC.
6. OPEC 6 Revisar la operación del SGSI.
7. OPEC 7 Aplicar al SGSI las mejoras que defina el grupo estratégico de seguridad de la información.
e. Independientemente que los aspectos deseguridad de la información e informática son tocados explícitamente en los procesos de administración de la seguridad de la información y del proceso de operación de los controles de seguridad de la información y del ERISC, es importante que citar que esta considerado en procesos gobernanza, planeación, proyectos entre otros y que como parte de los procesos puede ser salida de un proceso o insumo...
BUENAS PRÁCTICAS DE SEGURIDAD EN MEXICO
I. INTRODUCCIÓN.
ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
El manualadministrativo de aplicación general en las materias de tecnologías de la información y comunicaciones, y en la de seguridad de la información (MAAGTICSI), tiene por objeto emitir políticas y disposiciones para la estrategia digital nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, será de observancia obligatoria en la administraciónpública federal quedando exceptuadas la SEDENA, SEMAR, CNS y órganos administrativos desconcentrados adscritos a éste cuando ello pueda vulnerar su operación.
Esencialmente la norma ISO es de carácter genérico para cualquier tipo de organización y el MAAGTISI deriva de una planeación estratégica de estado, un plan nacional de desarrollo y sus respectivas políticas y disposiciones para laestrategia digital nacional en concordancia con otras políticas como adquisiciones y el manejo de recursos entre otras.
II. CONTENIDO.
A. MAAGTICSI.
a. De manera general el MAAGTICSI está dividido en tres macroprocesos :
1. Gobernbilidad
2. Organización
3. Entrega
b. Cada uno de los macroprocesos tiene sus correspondientes procesos, particularmente en el proceso de organización seencuentra el proceso de administración de la seguridad de la información (ASI), el cual tiene por objeto establecer y vigilar los mecanismos que permitan la administración de la seguridad de la información de la institución, así como disminuir el impacto de eventos adversos, que potencialmente podrían afectar el logro de los objetivos de la institución o constituir una amenaza para la seguridad nacionalc. El proceso de administración de la seguridad de la información (ASI) se subdivide en las siguientes siete actividades:
1. ASI 1 Establecer un modelo de gobierno de seguridad de la información.
2. ASI 2 Operar y mantener el modelo de gobierno de seguridad de la información.
3. ASI 3 Diseño del SGSI.
4. ASI 4 Identificar las infraestructuras críticas y los activos clave.
5. ASI 5 Elaborarel análisis de riesgos.
6. ASI 6 Integrar al SGSI los controles mínimos de seguridad de la información.
7. ASI 7 Mejorar el SGSI.
d. Dentro del macroproceso de entrega se encuentra el proceso de operación de los controles de seguridad de la información y del ERISC (OPEC), el cual tiene por objetivo implementar y operar los controles de seguridad de la información de acuerdo al programa deimplementación del SGSI, así como los correspondientes a la capacidad de respuesta a incidentes, derivándose a su vez en las siguientes actividades:
1. OPEC 1 Designar un responsable de la supervisión de la implementación de los controles de seguridad definidos en el SGSI y en el análisis de riesgos.
2. OPEC 2 Establecer los elementos de operación del ERISC.
3. OPEC 3 Operación del ERISC en laatención de incidentes.
4. OPEC 4 Implementar los controles de mitigación de riesgos y los controles del SGSI.
5. OPEC 5 Implementar los controles del SGSI relacionados con los dominios tecnológicos de TIC.
6. OPEC 6 Revisar la operación del SGSI.
7. OPEC 7 Aplicar al SGSI las mejoras que defina el grupo estratégico de seguridad de la información.
e. Independientemente que los aspectos deseguridad de la información e informática son tocados explícitamente en los procesos de administración de la seguridad de la información y del proceso de operación de los controles de seguridad de la información y del ERISC, es importante que citar que esta considerado en procesos gobernanza, planeación, proyectos entre otros y que como parte de los procesos puede ser salida de un proceso o insumo...
Leer documento completo
Regístrate para leer el documento completo.