Política de Seguridad de la Información - Parte 2

Extraído de ISACA:

Un documento de política de seguridad de información debe ser aprobado por la gerencia, publicado y comunicado a todos los empleados y terceros relevantes.

El documento de política de seguridad de información debe establecer el compromiso de la gerencia y fijar el método de la organización para administrar la seguridad de información. El documento de política debe contener:

  • Una definición de seguridad de información, sus objetivos generales y su alcance, y la importancia de la seguridad como un mecanismo que permite que se comparta la información.
  • Una declaración de la intención de la gerencia, soportando las metas y los principios de la seguridad de la información en línea con la estrategia y los objetivos del negocio.
  • Un marco para fijar los objetivos de control y los controles, incluyendo la estructura de la evaluación del riesgo y la administración del riesgo.
  • Una breve explicación de las políticas de seguridad, los principios, los estándares y los requisitos de cumplimiento de particular importancia para la organización, incluyendo:
    • Cumplimiento de los requisitos legislativos, regulatorios y contractuales
    • Requisitos de educación entrenamiento y conciencia / conocimiento de la seguridad
    • Administración de la continuidad del negocio
    • Consecuencias de las violaciones de la política de seguridad de información
  • Una definición de las responsabilidades generales y específicas para la gerencia de seguridad de información, incluyendo reportar incidentes de seguridad de información.
  • Referencias a la documentación que puede soportar la política, e.j., políticas y procedimientos más detallados de seguridad para sistemas de información o reglas de seguridad específicas que deben ser cumplidas por los usuarios.
La política de seguridad de la información debe ser comunicada en toda la organización a los usuarios en una forma que sea accesible y comprensible para el lector al que está destinada. La política de seguridad de la información podría ser parte de un documento de política general. La política de seguridad de información puede también ser distribuida a terceros o a los outsourcers de la organización. Si la política de seguridad de información es distribuida fuera de la organización, se debe tener cuidado de no revelar información sensitiva.

Revisión de la Política de Seguridad de la Información

La política de seguridad de información debe ser revisada a intervalos planeados o si ocurrieran cambios significativos, para asegurar que siga siendo apropiada, adecuada y efectiva. La política de seguridad de información debe tener un dueño que haya aprobado la responsabilidad de la gerencia sobre el desarrollo, revisión y evaluación de la política de seguridad. La revisión debe incluir evaluar las oportunidades de mejoramiento de la política de seguridad de información de la organización y un método de administrar la seguridad de información en respuesta al entorno organizacional, las circunstancias del negocio, las condiciones legales o el entorno técnico.

El mantenimiento de la política de seguridad de información debe tomar en cuenta los resultados de estas revisiones. Debe haber procedimientos definidos de revisión de la gerencia, que incluye un cronograma o período de para la revión.

El input para la revisión de la gerencia debe incluir:
  • Retroalimentación de las partes interesadas
  • Resultados de revisiones independientes
  • Estatus de las acciones preventivas y correctivas
  • Resultados de revisiones independientes
  • Estatus de las acciones preventivas y correctivas
  • Resultados de revisiones anteriores de la gerencia
  • Desempeño del proceso y cumplimiento de la política de seguridad de la información
  • Cambios que podrían afectar el enfoque de la organización para administrar la seguridad de la información, incluyendo cambios al entorno organizacional; las circunstancias del negocio; la disponibilidad de recursos; las condiciones contractuales; regulatorias y legales; o el entorno técnico
  • Uso de la consideración de los outsources o funciones fuera de TI o funciones del negocio
  • Las tendencias relacionadas con las amenazas y las vulnerabilidades
  • Incidentes de seguridad de información reportados
  • Recomendaciones suministradas por las autoridades relevantes
El output o producto de la revisión de la gerencia debe incluir cualesquiera decisiones y acciones relacionadas con:
  • Mejoramiento del enfoque de la organización para administrar la seguridad de la información y sus procesos
  • Mejoramiento de los objetivos de control y los controles
  • Mejoramiento en la asignación de recursos y/o responsabilidades
  • Mantener un registro de revisiones de la gerencia y se debe obtener la aprobación de la gerencia para la política revisada.

Comentarios

Publicar un comentario

Entradas populares de este blog

7 Factores Integrales de la Seguridad de la Información

Introducción La Seguridad Informática o en su concepto actual y de mayor alcance, la Seguridad de la Información se ha transformado en una necesidad para todas las organizaciones. En el transcurso de este documento se revisarán siete factores que inciden en la seguridad de la información, estos han sido definidos por un grupo de académicos y profesionales de las tecnologías de la información en Chile como los de mayor relevancia a considerar en entornos que se requiera el tratamiento de información. En el transcurso de este documento revisaremos cómo estos factores inciden dentro de un a organización, para lo cual se ha seleccionado una empresa mediana la cual cuenta aproximadamente con 900 funcionarios, más de 750 estaciones de trabajo y un número mayor a 20 servidores con distintos niveles de servicio e importancia para la empresa. El documento está dirigido a profesionales vinculados a las Tecnologías de Información, sin embargo, el lenguaje utilizado permite que cualquier pers
Leer más

Elementos de un Proceso de Prueba de Software

El Proceso de Prueba, ayuda a asegurar que todas las partes del sistema funcionen como se espera, los elementos básicos para las actividades de prueba de software de aplicación son: Plan de Prueba: Se realizan en las primeras etapas del ciclo de vida y son ajustados hasta la etapa efectiva de prueba, estos planes identifican las porciones específicas del sistema que van a ser probadas. Los planes de prueba también especifican los niveles de severidad de los problemas encontrados. El examinador o tester determina la severidad del problema identificado durante la prueba. Dependiendo del nivel de severidad del problema identificado, el mismo puede ser reparado o bien permanecer en el sistema. A menudo los problemas de presentación en la Interfaz se clasifican como de severidad más baja y pueden no ser reparados si las limitaciones de tiempo se convierten en un problema para el administrador (lider, jefe) de proyecto. El sponsor del p
Leer más

QAT: Quality Assurance Test / UAT: User Acceptance Testing

QAT se enfoca en las especificaciones de documentación y en la tecnología empleada, verifica que la aplicación función como se documentó por medio de pruebas de diseño lógico y la tecnología misma. Asegura que la aplicación reúna las especificaciones técnicas documentadas y los productos. QAT se ejecuta en primera instancia por el dpto. SI. La participación del usuario final es mínima y a solicitud. No se enfoca a las pruebas de funcionalidad. UAT soporta el proceso de asegurar que el sistema esté listo para producción y que el mismo satisfaga todos los requisitos documentados. Los métodos incluyen: Definición de las estrategias y procedimientos de prueba   Diseño de casos y escenarios de prueba Ejecución de pruebas   Utilización de los resultados para verificar la preparación del sistema Los criterios de aceptación son criterios definidos que deben ser satisfechos por un producto para satisfacer las necesidades predefinidas del usuario. Un plan UAT debe ser documentado para
Leer más