7/17/2019 11 Dominios de La Norma Iso 27001

http://slidepdf.com/reader/full/11-dominios-de-la-norma-iso-27001 1/4

11 DOMINIOS DE LA NORMA ISO 270011. Política de SeguridadEs el documento que la empresa frma aceptando las politicas de calidad arevisar el cual debe contener:a.Una defnición de la seguridad de inormación y sus obetivosglobales y el alcance y su importancia como un mecanismo que permitecompartir inormación.b.Una breve e!plicación de las políticas" principios" normas y requisitos deconormidad m#s importantes para la organi$ación.c.Una defnición de las responsabilidades generales y específcas en materia dela gestión de seguridad de inormación" incluida el reportede las incidencias de seguridad.Se debe establecer una estructura de la seguridad de la inormación" de talmanera que satisaga todos los requerimientos" para lo cual es indispensable laparticipación de los representantes de las dierentes #reas dentro de laorgani$ación para cubrir las distintas necesidadespor eemplo la participación de:

%&omit' de gestión de seguridad de la inormación%&oordinación de la seguridad de la inormación.%(signación de las responsabilidades de la seguridad de inormación.%Procesos de autori$ación para los recursos de tratamiento de la inormación%(cuerdos de confdencialidad.).*rgani$ación de SeguridadSe debe asignar a los recursos de la organi$ación" propietarios quienes ser#nlos responsables de mantener una protección adecuada.+a organi$ación debeidentifcar los activos y su valor e importancia. Sobre esta base la organi$aciónpuede proporcionar niveles de protección proporcionales a dic,o valor eimportancia. -ebería establecerse y

mantenerse el inventario de los activos importantes asociados con cadasistema de inormación.Propiedad de los recursos

 odos los recursos de tratamiento de la inormación y los activos deinormación de la organi$ación deben ser de propiedad de una partedesignada. El due/o del recurso debe ser responsable de:1. asegurar que recursos de tratamiento de la inormación y los activos deinormación sean apropiadamente clasifcados0). defnir y revisar periódicamente las restricciones de acceso y clasifcación"tomando en cuenta políticas de control de acceso aplicables.. (dministración de (ctivos

(segurar que cada persona dentro de la organi$ación comprenda susresponsabilidades" ya que es un actor que in2uye en la preservación de laseguridad de la inormación.a3 implementar y actuar de acuerdo con las políticas de seguridad deinormación0b3 proteger los activos de accesos no autori$ados" divulgación" modifcación"destrucción e intererencia0c3 eecutar procesos particulares de seguridad o actividades0

7/17/2019 11 Dominios de La Norma Iso 27001

http://slidepdf.com/reader/full/11-dominios-de-la-norma-iso-27001 2/4

d3 garanti$ar que responsabilidades se asignen a los individuos para accionestomadas0e3 reportar eventos de seguridad o eventos potenciales u otros riesgos para laorgani$ación.4. Seguridad de los 5ecursos 6umanos.+os recursos importantes para el tratamiento de la inormación deben serubicados en #reas seguras de tal manera que se provenga el acceso noautori$ado.

El perímetro de seguridad ísico+os perímetros de seguridad debe ser usadas para proteger #reas quecontienen recursos de tratamiento de inormación. Se debe considerar lossiguientes puntos:a3 el perímetro de seguridad deben ser defnidos claramente0b3 el perímetro de un edifcio o un lugar que contenga recursos detratamiento de inormación debería tener solide$ ísica0c3 se debería instalar un #rea de recepción manual u otros medios de

control del acceso ísico al edifcio o lugar. -ic,o acceso se deberíarestringir solo al personal autori$ado0d3 las barreras ísicas se deberían e!tender" si es necesario" desde el sueloal tec,o para evitar entradas no autori$adas o contaminación delentorno0e3 todas las puertas para incendios del perímetro de seguridad deberíantener alarma y cierre autom#tico.7. Seguridad 8ísica y (mbiental9. estión de &omunicaciones y *peracionesEstablecer responsabilidades y procedimientos para la gestión y operación detodos los recursos de tratamiento de inormación" de tal manera que se

consiga reducir el riesgo de un mal uso del sistema deliberado o pornegligencia.-ocumentación de procedimientos operativos:Se deberían documentar los procedimientos de operación y ,acerlo disponiblepara todos los usuarios que necesitan de ellos. +os procedimientos deoperación deberían especifcar las instrucciones necesarias para la eecucióndetallada de cada tarea" incluyendo:a3 el proceso y utili$ación correcto de la inormación0b3 respaldo0c3 los requisitos de planifcación" incluyendo las interdependencias conotros sistemas" con los tiempos de comien$o m#s temprano y fnal m#s

tardío posibles de cada tarea;. Sistema de &ontrol de (ccesosSe debería controlar el acceso a la inormación y los procesos del negociosobre la base de los requisitos de seguridad y negocio. Se deberían tener encuenta para ello las políticas de distribución de la inormación y deautori$aciones.En la política de control de accesos se debería tener bien defnido ydocumentado los requisitos del negocio para el control de acceso" defni'ndose

7/17/2019 11 Dominios de La Norma Iso 27001

http://slidepdf.com/reader/full/11-dominios-de-la-norma-iso-27001 3/4

de orma clara las reglas y derec,os de cada usuario. -ebería contemplar:a3 requisitos de seguridad de cada aplicación de negocio individualmente0b3 identifcación de toda la inormación relativa a las aplicaciones0c3 políticas para la distribución de la inormación y las autori$aciones0d3 co,erencia entre las políticas de control de accesos y las políticas declasifcación de la inormación en los distintos sistemas y redes8. Adquisición, Desarrollo Man!eni"ien!o de Sis!e"as deIn#or"ación

 odos los requisitos de seguridad" incluyendo las disposiciones paracontingencias" la inraestructura" las aplicaciones de negocio y las aplicacionesdesarrolladas por usuario0 deberían ser identifcados y ustifcados en la ase derequisitos de un proyecto" consensuados y documentados como parte delproceso de negocio global para un sistema de inormación.

(n#lisis y especifcación de los requisitos de seguridad:+os requisitos y controles de seguridad deberían re2ear el valor de los activosde inormación implicados y el posible da/o a la organi$ación que resultaría de

allos o ausencia de seguridad. +a estimación del riesgo y su gestión son elmarco de an#lisis de los requisitos de seguridad y de la identifcación de loscontroles y medidas para conseguirla

(utenticación de mensaes+a autenticación de mensaes es una t'cnica utili$ada para detectar cambiosno autori$ados o una corrupción del contenido de un mensae transmitidoelectrónicamente.Se debería establecer en aplicaciones que requieran protección de la integridaddel contenido de los mensaes" por eemplo" transerencia electrónica deondos" especifcaciones" contratos" propuestas u otros intercambios

electrónicos de datos importantes.<. (dministración de =ncidentes de Seguridad de la =normaciónPara asegurar los eventos y las debilidades de la seguridad de la inormaciónasociados a los sistemas de inormación" los procedimientos ormales de ladivulgación y de escalada del acontecimiento deben estar en lugar. odos losempleados" contratistas y usuarios de los terceros deben ser enterados de losprocedimientos para divulgar diversos tipos de eventos y de debilidad quepudieron tener un impacto en la seguridad de activos de organi$ación.Procedimientos de divulgación ormal del acontecimiento de la seguridad de lainormación se deben establecer" unto con una respuesta del incidente y unprocedimiento de escalada" precisando la acción que se adquirir# recibo de un

inorme de un acontecimiento de la seguridad de la inormación. +os mismosque deben incluir:a3 el comportamiento correcto que se emprender# en caso de que se de unevento de la seguridad de la inormación0b3 Un proceso disciplinario ormal establecido para los empleados"contratistas o usuarios de los terceros que ocasionen riesgos de laseguridad..

7/17/2019 11 Dominios de La Norma Iso 27001

http://slidepdf.com/reader/full/11-dominios-de-la-norma-iso-27001 4/4

1>. Plan de &ontinuidad del ?egocio+a gestión de la continuidad del negocio debería incluir controles para laidentifcación y reducción de riesgos" limitar las consecuencias de incidenciasda/inas y asegurar la reanudación" a tiempo" de las operaciones esenciales.(sí como reducir la interrupción causada por desastres y allas de seguridad.Proceso de gestión de la continuidad del negocio-ebería incluir los siguientes elementos clave:a3 comprender los riesgos que la organi$ación corre desde el punto de vistade su vulnerabilidad e impacto0b3 identifcar los activos envueltos en el proceso crítico del negocio0c3 comprender el impacto que tendrían las interrupciones en el negocio0d3 considerar la adquisición de los seguros adecuados que ormar#n partedel proceso de continuidad del negocio

&ontinuidad del negocio y an#lisis de impactosEl estudio para la continuidad del negocio debería empe$ar por la identifcaciónde los eventos que pueden causar interrupciones en los procesos de negocio.

Se debería continuar con una evaluación del riesgo para determinar el impactode dic,as interrupciones.11.&umplimiento&U@P+=@=E?* &*? +*S 5EAU=S=*S +E(+ES&on este control se busca evitar los incumplimientos de cualquier ley civil openal" requisito reglamentario" regulación u obligación contractual" y de todorequisito de seguridad. El dise/o" operación" uso y gestión de los sistemas deinormación puede estar sueto a requisitos estatutarios" regulatorios ycontractuales de seguridad.=dentifcación de la legislación aplicableSe deberían defnir y documentar de orma e!plícita todos los requisitos

legales" regulatorios y contractuales que sean importantes para cada sistemade inormación.-erec,os de propiedad intelectualSe deberían implantar los procedimientos apropiados para asegurar elcumplimiento de las restricciones legales sobre el uso del material protegidocomo derec,os de autor y los productos de sotBare propietario. Se deberíaconsiderar:a3 publicar una política de conormidad de los derec,os de propiedadintelectual0b3 publicar normas para los procedimientos de adquisición de productos desotBare0