organizacion de la seguridad informatica

8/18/2019 organizacion de la seguridad informatica

1/25

1

Ing. Pablo Romanos

Gestión Estratégica enSeguridad de la Información

GESI C1/1

ISO 27002Código de Buenas Prácticas

para la Gestión de laSeguridad de la Información

Organización de Seguridad

Ing. Pablo Romanos


GESI C1/2

Infraestructura de Seguridad de la Información

Comité gerencial sobre seguridad de la información

Coordinación de la seguridad de la información

Asignación de responsabilidades en materia de seguridad

Proceso de aprobación en instalaciones de procesamiento de información

Acuerdos de confidencialidad

Contactos con autoridades

Contacto con grupos de interés especial

Revisión independiente de la seguridad de la información

Seguridad frente al acceso de personal externo Identificación de riesgos relacionados con el acceso de personal externo

Requisitos de seguridad en el trato con clientes

Requisitos de seguridad en contratos con terceros

Índice


2/25

2

Ing. Pablo Romanos


GESI C1/3

Administrar la seguridad de la información dentro de laorganización. Establecer un marco gerencial parainiciar y controlar su implementación.

Objetivo 1:

Establecer comités de gestión liderados por niveles gerenciales,que puedan:

aprobar la política de seguridad de la información

asignar funciones de seguridad

coordinar la implementación de la seguridad en toda la organización

Mantener contactos con especialistas externos en materia deseguridad para estar al corriente de las tendencias

Monitorear estándares y métodos de evaluación Establecer puntos de enlace adecuados al afrontar incidentes deseguridad

Alentar un enfoque multidisciplinario de la seguridad de lainformación, por ej.:

comprometiendo la cooperación de gerentes

usuarios, administradores, diseñadores, auditores,

expertos en áreas de seguros y administración de riesgos.

Organización de Seguridad de la InformaciónInfraestructura de Seguridad

Ing. Pablo Romanos


GESI C1/4

Infraestructura de Seguridad de la Información Comité gerencial sobre seguridad de la información











Índice


3/25

3

Ing. Pablo Romanos


GESI C1/5

Control 1:

El comité gerencial de seguridad debería:

asegurar que los objetivos y requerimientos de seguridadsean identificados e integrados en los procesos de la organización

formular, revisar y aprobar la política de seguridad

evaluaren todo momento la efectividad de la política deseguridad

proveer una dirección clara y soporte adecuado a las iniciativasde seguridad

proveer de los recursos necesarios para la gestión de laseguridad de la información

aprobar la asignación de roles y responsabilidades específicasen materia de seguridad de la información

iniciar planes y programas de concientización en seguridad dela información

asegurar que la implementación de controles de seguridad serealice a lo largo de toda la organización

El comité gerencial debería identificar los requerimientos deauditorías de seguridad internas o externas, revisando ycoordinando los resultados con todas las áreas de laorganización.

Un comité gerencial debería garantizar una clara dirección y un apoyomanifiesto de la dirección a las iniciativas de seguridad, mediante unadecuado compromiso y una apropiada asignación de responsabilidades.

Organización de Seguridad de la InformaciónComité Gerencial sobre Seguridad

Ing. Pablo Romanos


GESI C1/6












Índice


4/25

4

Ing. Pablo Romanos


GESI C1/7

Control 2:

La coordinación de seguridad afectará a directores,usuarios, administradores, diseñadores, auditores,personal de vigilancia, así como especialistas de lasáreas seguros, legales y tecnología.

Las funciones deberían ser: asegurar que las actividades de seguridad son ejecutadas en conformidadcon la política de seguridad de la información

identificar la forma en que son manejadas las “no conformidades”

aprobar las metodologías y procesos de seguridad de la información, ej.:

análisis de riesgos, clasificación de la información identificar amenazas, información expuesta e instalaciones de procesamientobajo amenaza

estimar la suficiencia de los controles de seguridad y coordinar suimplementación

garantizar que la seguridad forma parte del proceso de planificación de lainformación

promoverde forma efectiva la educación, entrenamiento y concientizaciónenseguridad de la información a través de toda la organización

evaluar la información obtenida del monitoreo e investigar incidentes deseguridad recomendando acciones en respuesta a la ocurrencia de los mismos

Las actividades de la seguridad de la información deberían sercoordinadas por representantes de las diferentes áreas de laorganización mediante la asignación de roles funcionales.

Organización de Seguridad de la InformaciónCoordinación de Seguridad

Ing. Pablo Romanos


GESI C1/8












Índice


5/25

5

Ing. Pablo Romanos


GESI C1/9

Control 3:

Definir responsabilidades sobre los recursos ,procesos y continuidad de los negocios.

La política de seguridad debe suministrarorientación acerca de la asignación de funcionesde seguridad dentro la organización.

Designar un propietario para cada recurso deinformación.

Los propietarios podrán delegar tareas pero enúltimo término son responsables de la seguridaddel recurso.

Establecer claramente las áreas sobre las cualeses responsable cada gerente.

Las funciones deberían abarcar:

identificar y definirclaramente los diversos recursos y procesosde seguridad relacionados con cada uno de los sistemas.

designar al gerente responsable de cada recurso o proceso deseguridad y documentar los detalles de esta responsabilidad.

documentar y definir claramente los niveles de autorización.

Las responsabilidades en materia de seguridad de la informacióndeberían ser claramente definidas.

Organización de Seguridad de la InformaciónAsignación de Responsabilidades

Ing. Pablo Romanos


GESI C1/10


Define

Audita

Implanta

Gestiona

Propietario Custodio

Usuario

Solicita

Usa

A u t o r i z a y

D e f i n e

I m p l a n t a

Actores

Actividades


6/25

6

Ing. Pablo Romanos


GESI C1/11

Propietario: Responsable de la gestión y utilización deuna información determinada.

Custodio: Responsable de la posesión de la informacióny de la gestión de los sistemas que utilizan esainformación.

Usuario: Tiene acceso a la información y/o sistemas dela organización, para su uso.

Define: Definición de las normas, tecnologías, estrategias yresponsabilidades de la Seguridad de la Información.

Implanta: Ingeniería de seguridad, certificación y paso a producción,soporte en todo el ciclo de vida de los sistemas o módulos de seguridad.

Gestiona: Mantenimiento y supervisión, operación, administración yexplotación de los sistemas o módulos de seguridad implantados.

Audita: Recopilar los requisitos de seguridad y verificar / contrastar sucumplimiento, informar a la dirección los resultados.

Actores:

Actividades:


Ing. Pablo Romanos


GESI C1/12

Ámbito Negocio

Ámbito Seguridad



7/25

7

Ing. Pablo Romanos


GESI C1/13

Propietario Propietario Delegado Custodio

Ámbito delNegocio

de laOrganización

Ámbito de laSeguridad

Responsable de Seguridadde la Información

Operacionesy Tecnología

Control deGestión

Operacionesy Tecnología

Referente(Área Usuaria)

Admin dePuestos

Sector / PlataformaAfectada


Ing. Pablo Romanos


GESI C1/14

Comité de Seguridad de la Información

Coordinador

Responsable de Seguridadde la Información

Unidad de Auditoría Interna

Propietarios de la Información

Usuarios

Responsable del AreaInformática

Area de RRHH

Responsable del Area Legal

Política de Seguridad de la Información Actores

• Revisar y proponer a la máxima autoridad para suaprobación la Política de Seguridad de la

Información y las funciones generales en la materia;• Monitorear cambios significativos en los riesgos que afectan a los recursos • Supervisar la investigación y monitoreo de losincidentes de seguridad;

• Promover la formación, difusión y apoyo a laseguridad de la información; • Coordinar el proceso de administración de lacontinuidad de las actividades

• Coordinar las acciones del Comité deSeguridad de la Información y de impulsar la

implementación y cumplimiento de la Política

• Definición y supervisión de todos losaspectos inherentes a los temas tratados enla Política de Seguridad

• Cubrir los requerimientos deseguridad informática establecidospara la gestión e implantación de

los controles de seguridad sobrelos sistemas y recursos de

tecnología de la Organización.• Efectuar las tareas de desarrolloy mantenimiento de sistemas,

siguiendo una metodología deciclo de vida de sistemasapropiada, y que contemple la

inclusión de medidas de seguridad

en todas las fases del desarrollo

• Clasificar la información de acuerdo con elgrado de sensibilidad y criticidad de la misma;

• Documentar y mantener actualizada laclasificación efectuada;

• Definir qué usuarios deberán tener permisosde acceso a la información de acuerdo a susfunciones y competencia

• Verificar el cumplimiento de laPolítica en la gestión de todos loscontratos, acuerdosu otradocumentación de la Organización

con sus empleados y con terceros; • Asesorar en materia legala laOrganización, en lo que se refiere ala seguridad de la información

• Notificar a todo el personal que ingresa de sus obligaciones respecto delcumplimiento de la Política de Seguridad de la Información y de todas las

normas, procedimientos y prácticas que de ella surjan.• Notificar a todo el personal los cambios que se produzcan en laP olítica, laimplementación de la suscripción de los Compromisos de Confidencialidad

(entre otros) y las tareas de capacitación continua en materia de seguridad

• Practicar auditorías periódicas sobre lossistemas y actividades vinculadas con la

tecnología de información, a fin de verificar elcumplimiento de la Política de Seguridad

• Conocer, dar a conocer, cumplir y hacer cumplirla Política de Seguridad de la Información vigente

Organización de Seguridad de la InformaciónAsignación de Responsabilidades en una Organización


8/25

8

Ing. Pablo Romanos


GESI C1/15

Comité Ejecutivo de la Seguridad de la Información.

Comité de Seguridad de la Información.

Dirección de IT.

- Área de Seguridad de la Información

- Area de IT.

- Área de Operaciones.

- Área de Planificación y Desarrollo.

Auditoria de Seguridad (interna o externa).

Asesoría Jurídica (Legales).

Recursos Humanos

Seguridad Física.

Organización de Seguridad de la InformaciónEjemplo de Asignación de Responsabilidades en una Organización

Ing. Pablo Romanos


GESI C1/16

Promoverá los proyectos de Seguridad.

Aprobará la Política de Seguridad.

Definirá la estructura organizativa de Seguridad.

Definirá la estrategia a seguir en el ámbito de la Seguridad.

Definirá la delimitación de responsabilidades.

Comité Ejecutivo de Seguridad de laInformación

• Direcciones Corporativas.• Responsable Sistemas Información.

• Auditoria de Seguridad.• Asesoría Jurídica.

Comité de Seguridad de laInformación

Coordinar todos los grupos internos con responsabilidades sobre laseguridad de la información.

Coordinar los proyectos de mejora o cambio en los Sistemas de Seguridad.

Colaborar en la definición y refinamiento de los procedimientos para laidentificación de activos de información y su clasificación.

Revisar propuestas para mejorar o modificar la infraestructura de losSistemas de Información.

Revisar los Planes de Contingencias.

Colaborar en la selección e instalación de herramientas automáticas quepermitan monitorizar o asegurar el cumplimiento de las políticas y estándaresde seguridad de la organización.

• Departamento de Seguridad.• Área de Sistemas.• Área Planificación y Desarrollo.• Auditoria de Seguridad.• Asesoría Jurídica.

Organización de Seguridad de la InformaciónFunciones de los Comité de Seguridad en una Organización


9/25

9

Ing. Pablo Romanos


GESI C1/17

Area de Seguridad de la Información

• Custodia y actualización de la Política de Seguridad.

• Estándares de Seguridad global.

• Consultoría de Seguridad.

• Documentación de Seguridad.

• Planes de Contingencias.

• Coordinar la resolución de incidentes de Seguridad.

• Coordinar los planes de mejora de Seguridad.

• Mantener el cuadro de mando de Seguridad.

• Llevar un control interno del cumplimiento de la Política.

• Responsable de Seguridad.• Consultor de Seguridad.• Responsable Planes de Contingencia.• Especialista en Documentación.

• Responsable de Sistemas.• Ingeniero de Seguridad.• Administrador de Sistemas.• Administrador de Red.• Operador.

Área de IT

• Control de Accesos (Revisión de Logs, ACLs, Requerimientos de Acceso,Privilegios...).

• Verificaciones para comprobar la vigencia de las medidas adoptadas deseguridad de la información.

• Consultoría técnica para integrar o implantar en producción sistemas quemejoren los niveles de la seguridad de la información.

• Asistencia técnica de diseño, instalación, operación, servicio y mantenimientosobre mecanismos de seguridad de la información.

• Investigación y mantenimiento actualizado sobre las principales amenazasque puedan impactar sobre los sistemas de información de la Organización(infecciones de virus, ataques de denegación de servicio, intrusiones dehackers, etc.).

• Administración de Sistemas y Redes.

Organización de Seguridad de la InformaciónPrincipales Funciones de Seguridad en la Dirección de IT

Ing. Pablo Romanos


GESI C1/18

• Desarrollar programas de auditoria de cumplimiento de la Política de seguridadque ha sido aprobada.

• Desarrollar programas de auditoria contemplando la totalidad de los riesgos denegocio a los que la Organización está sometida.

• Evaluar el grado de cumplimiento en las operaciones de la Organización conrequerimientos externos, como acuerdos contractuales, leyes y r egulaciones.

• Gestionar el proceso de aceptación de riesgo, allí donde los Directores de

Unidades o Departamentos hayan aprobado o apoyado que una situaciónparticular esté fuera de la Política de la Organización.

Auditoria

• Unidad Auditora

Asesoria Juridica

• Responsable Legal deSeguridad

• Colaborará con el Responsable de Seguridad de la Información en la creación yevolución del sistema de clasificación de la información.

• Informará a la Dirección sobre sus responsabilidades legales y su exposición adenuncias o acusaciones bajo las leyes.

• Revisará y evaluará nuevas legislaciones y regulaciones.

• Hará recomendaciones para prevenir que la Organización asuma riesgos excesivoscomo resultado del uso de nuevas tecnologías.

• Identificará y especificará cómo la Dirección puede preservar y proteger los derechosde propiedad intelectual de la organización

Organización de Seguridad de la InformaciónFunciones Externas a la Dirección de IT


10/25

10

Ing. Pablo Romanos


GESI C1/19

Direccion de SSII

Planificación e Innovación Proyectos Gestión Infraestructura Tecnológica Polo de Compras

Secretaria Gestión deServicio

Gestión delaProd.

SoporteGest.Prod.

GestiónArchivos

Infraestruct. Distrib.

RedesyComunic.

Tecnolog.ySoport.Sistemas

Infraest.deRed

Comité de Dirección

Auditoría

Asesoría Jurídica Tesorería, Finanzasy Riesgos Corp. Dirección de RRHHAuditoría de

Seguridad

- Comite Central de Seguridad

+ - Coordinadores de Seguridad de Filiales y Centros

OtrosDepartamentos

- Seguridad - Auditoría de Seg. - Implantación de Seg.

Comité de Seguridadde la Información

Comité Ejecutivo de Seguridadde la Información

-Audita

Implantación& Gestión dela Seguridad

-Implanta

- Comite Central de Seguridad

+ - Ppales Dptos y Líneas de Negocio

Comité Corporativo deSeguridad de la Información

Define

Implanta

Gestiona

AuditaModelo de Organizativo de laSeguridad de la Información

- Ge st io na - Ge st ion a - Ge st ion a

Seguridad

-Define

Organización de Seguridad de la InformaciónCaso de Estudio 1

Ing. Pablo Romanos


GESI C1/20



11/25

11

Ing. Pablo Romanos


GESI C1/21


Ing. Pablo Romanos


GESI C1/22

ECONOMICOFINANCIERA

ESTRATEGIA YDESARROLLO

DIRECCIONES CORPORATIVAS

U N I D A D E S A P O Y O

S U P E R I O R

D I R E C C I Ó N

TECNOLOGÍA YSISTEMAS

RECURSOSHUMANOS COMERCIAL

ASESORÍA JURÍDICA

AUDITORÍA

CONSEJO DE ADMINISTRACIÓN

PRESIDENTE

S U B D I R E C C I Ó N

D E

G E S T I Ó N

I N F O R M Á T I C A

P L A N I F I C A C I Ó N Y

D E S A R R O L L O D

E

S I S T E M A S

Comité deSeguridad dela Información

Auditoría de Seguridad

Audita

Comité de Seguridad de laInformación

+Direcciones Corporativas

Comité Ejecutivo deSeguridad de la Información

G e s t i o n a

Responsable Legislación deSeguridad

D E P A R T A M E N T O D E

S E G U R I D A D D E L A

I N F O R M A C I Ó N

I m p l a n t a

D e f i n e

- I m p l a n t a



12/25

12

Ing. Pablo Romanos


GESI C1/23


Ing. Pablo Romanos


GESI C1/24



13/25

13

Ing. Pablo Romanos


GESI C1/25


Planeamiento Operaciones Tecnología DesarrolloAplicaciones

Aseguramientode la Calidad

Gestión deProyectos

Comunicacionesy Difusión

Arquitectura ySoporte Tec.

BBDD

Soporte Tec.Plataformas

Gestión deProcesos yVersiones

Microinformática

Soporte TécnicoTecnologías

Comunicaciones

Arquitectura

Interfases

Tecnología

Testing

Gestor de Clientes

Gestor Filiales

Atención aUsuarios

Mesa de Ayuda

DesarrolloNormativo

GestiónProyectos

Respuestaa Incidentes

ControlInterno

FuncionesPreventivas

FuncionesCorrectivas

Comitéde Seguridadde la Información

Gerencia deSistemas

GerenciaGeneral

Control deGestión

Gerencia deRRHH

GerenciaComercial

Gerencia deAsuntos Jurídicos

Subgerencia deSistemas

Seguridad de laInformación

Comité Ejecutivo de Seguridadde la Información

Comité Corporativo de Seguridadde la Información

• Resp. Seguridad de la Información• Resp. Auditoria• Resp. Implantación

• ComitéSeguridad• Coordinadores de Seguridad Filiales

• ComitéSeguridad• Principales Área y Líneas de Negocio

DEFINE

IMPLANTA

IMPLANTA / GESTIONA

I M P L

A N T A

/ G E

S T I O

N A

AUDITA

AUDITA

IMPLANTA / GESTIONA

Ing. Pablo Romanos


GESI C1/26












Índice


14/25

14

Ing. Pablo Romanos


GESI C1/27

Control 4:

Funciones a ser contempladas en elproceso de autorización:

Las nuevas instalaciones deben seradecuadamente aprobadas por la gerenciausuaria y por el gerente responsable delmantenimiento del ambiente de seguridad local,a fin de garantizar que se cumplen todas laspolíticas y requerimientos de seguridadpertinentes

Debe verificarse el hardware y software paragarantizar que son compatibles con loscomponentes de otros sistemas

El uso de equipos personales deprocesamiento de información en el lugar detrabajo (notebooks, PC´s o dispositivos debolsillo) puede ocasionar nuevasvulnerabilidades y en consecuencia debe serevaluado y autorizado

Debe establecerse un proceso de autorización gerencial paranuevas instalaciones de procesamiento de información.

Organización de Seguridad de la InformaciónProceso de Aprobación en Instalaciones de Procesamiento de Información

Ing. Pablo Romanos


GESI C1/28












Índice


15/25

15

Ing. Pablo Romanos


GESI C1/29

Elementos considerados en acuerdos: Tipo de informaciónque se pretende proteger (Ej.:.información confidencial)

Duración del acuerdo, en especial aquellos casos en losque la confidencialidad debiera mantenerse indefinidamente

Acciones a realizar una vez finalizado el acuerdo

Responsabilidades y acciones de las partes para evitar ladivulgación no autorizada de información (ej:. need to know)

Propiedad de la información, secreto comercial ypropiedad intelectual, y como estos elementos se relacionancon la protección de la confidencialidad de la información

Permisos de uso y derechos de acceso de las partes a lainformación confidencial

Derecho a auditar y monitorear actividades relacionadascon la confidencialidad de la información

Procesos de notificación de divulgación de información noautorizada o pérdida de la confidencialidad

Términos a considerar para que la información seadevuelta o destruida al finalizar el contrato

Acciones que deben ser tomadas en caso deincumplimiento de acuerdos

Los requisitos de confidencialidad y no divulgación deben seridentificados y revisados regularmente en los contratos.Control 5:


Ing. Pablo Romanos


GESI C1/30

DEBER DE SECRETO PROFESIONAL• El empleado deberá considerar como secreto profesional a toda información secreta nodifundible a terceros, relativa a listas de clientes / contactos / afiliados, necesidades y datos delos mismos; estructura, organización, datos contables, fiscales o financieros; datos personales delos empleados, datos salariales o contractuales de empleados, en especial no se podráncomunicar a terceros; contenido y estructura de bases de datos de la ode clientes / contactos / afiliados de ésta; técnicas de software o hardware, procedimientos ysoluciones técnicas aplicadas por la ; programas de software oadaptaciones de programas informáticos o de afiliados o prestadores/proveedores de la misma,así como proyectos técnicos, y en general se considerará secreta toda información técnica ofinanciera de , de clientes/afiliados de o de

empresas colaboradoras o prestadoras / proveedoras, siempre que no haya sido expresamenteautorizada su difusión a terceros. El empleado y el empresario acuerdan que la presenteobligación permanecerá vigente aunque hubiese finalizado la relación laboral. La presenteobligación no regirá en el supuesto de que los datos se soliciten por la autoridad judicial con lasdebidas garantías procesales, aunque en este caso se deberá comunicar a que se está requiriendo el suministro de los datos.• Al finalizar la relación laboral con , el empleado estará obligado adevolver a todos los documentos e información que le hubiesen sidoentregados, así como la documentación o trabajos que hubiese elaborado en el marco de larelación existente (incluidas las agendas o listados con las direcciones de clientes / afiliados), elempleado en ningún caso estará autorizado a tener copia del material entregado o elaborado por él en el marco de la relación laboral.

DESARROLLOS Y DESCUBRIMIENTOS Cualquier desarrollo, descubrimiento, metodología, método, diseño, mejora, idea, escrito ocódigo, sea o no objeto de registro, relacionado de algún modo con los negocios o posiblesnegocios de que sean concebidos o realizados por el empleado durantela vigencia del contrato, por sí sólo o en colaboración con otras personas, pasaráninmediatamente a pertenecer a . El empleado está obligado a revelarinmediatamente a todos sus desarrollos, metodologías, diseños o ideas,y estará obligado a elaborar y firmar los documentos necesarios para registrar o patentar losdesarrollos realizados a nombre de , sin perjuicio de figurar como autorde los mismos, de igual modo, tampoco podrá poner en conocimiento de terceros lo desarrollado,sin autorización previa al considerarse información secreta.

USO DE MEDIOS INFORMATICOS Queda prohibida la realización de cualesquiera copias de la información que se encuentre en unacomputadora de escritorio o portátil (notebook) asignado al empleado, así como la de informaciónque se encuentre en otros soportes a la que el empleado pueda tener acceso, salvo que seaexpresamente autorizado para estas actividades. El empleado no podrá acceder a otrosdirectorios de la red interna de distintos a los que se le hubiesen asignadopara el ejercicio de sus funciones. Asimismo, el uso del correo electrónico será únicamente parafines profesionales de , por lo que el citado servicio no tendrá el carácterde privado, siendo propiedad de . Queda prohibido el acceso medianteInternet a páginas Web de contenido erótico, chat, ocio y cualesquiera otras que no seannecesarias para el desempeño de la labor profesional. Queda terminantemente prohibidocualquier almacenamiento de información o programas que no estén directamente relacionadoscon la actividad profesional, tanto en la computadora de escritorio como en los servidorescorporativos. En caso de cese, el empleado deberá devolver aquellos medios informáticos que lehubiesen sido facilitados. se reserva el derecho a comprobar, sin previoaviso, el cumplimiento de lo anteriormente acordado.

PROTECCION DE DATOS PERSONALES El empleado queda obligado al cumplimiento de lo dispuesto en la legislación vigente en materiade Protección de Datos Personales y demás normativa que la desarrolle, en especial no podrá:Hacer copias de documentos con datos personales, tanto de una compañía cliente como de lapropia empresa, salvo que sea autorizado expresamente por la empresa propietaria de losdocumentos y que dichas copias sean para un uso legitimo; Acceder, intentar o permitir el accesoa documentos que contengan datos personales, salvo que sea autorizado expresamente por y dicho acceso sea para un fin legitimo; Hacer copias de documentos condatos de carácter personal y conservarlas en su domicilio o cederlas a un tercero; Comunicar aterceros las claves o medios de acceso a documentos, salvo que este autorizado expresamente ydicha comunicación sea para un fin legitimo.

PROHIBICION DE COMPETENCIA DESLEALEl empleado no se asociará como propietario, empleado, agente, consultor, oficial, socio,directivo, o en cualquier otra categoría con ninguna empresa que se halle envuelta en unnegocio que proporcione servicios o productos similares a los de la Sociedad o de cualquiermanera compita con la organización.

Organización de Seguridad de la InformaciónEjemplo Acuerdo de Confidencialidad


16/25

16

Ing. Pablo Romanos


GESI C1/31









Seguridad frente al acceso de personal externo

Identificación de riesgos relacionados con el acceso de personal externo Requisitos de seguridad en el trato con clientes


Índice

Ing. Pablo Romanos


GESI C1/32

Control 6:

Elementos a ser considerados dentro delos procedimientos: Especificar cuándo y con qué cuerpode autoridades(seguridad privada, bomberos, equipos de supervisión técnica)

se debe entrar en contacto De qué forma los incidentes deben divulgarse de maneraoportuna, si se sospecha de violaciones a la legalidad vigente.

Si la organización si ha sufrido un ataque desde Internet, quéacciones debe tomar contra la fuente de ataque (ej:. contactarcon terceros externos como son los ISP u operadores detelecomunicaciones)

Identificar los contactos con:

órganos reguladores de la ley,

servicios de emergencia,

servicios de salud,

servicios de seguridad, ej:. cuerpos de bomberos(relacionados con la continuidad del negocio)

proveedores de telecomunicaciones (relacionados con elencaminamiento y la disponibilidad)

suministro de agua (relacionados con las instalaciones derefrigeración para los equipos)

suministro de electricidad

Mantener contactos apropiadoscon autoridades referentes.

Organización de Seguridad de la InformaciónContactos con Autoridades


17/25

17

Ing. Pablo Romanos


GESI C1/33












Índice

Ing. Pablo Romanos


GESI C1/34

Control 7:

El contacto con otros grupos de interéscomún permitirá: Mejorar el conocimiento sobre las buenas prácticas ymantenerse actualizado con respecto a la información relevante

de seguridad Garantizar que el ambiente de la seguridad de la informaciónse mantiene actual y completo

Recibir alertas tempranas, avisos y parches de nuevasvulnerabilidades,

Acceder a consultas con especialistas en seguridad de lainformación

Compartir e intercambiar información sobre nuevastecnologías, productos, amenazas, o vulnerabilidades

Proporcionar adecuados puntos de enlace cuando aparezcanincidentes relacionados con la seguridad de la información

La cooperación y coordinación de asuntos de seguridad,puede mejorarse compartiendo cierta información común.Dicha información sensible deberá ser adecuadamenteprotegida mediante el establecimiento de acuerdos queidentifiquen los requisitos de seguridad necesarios.

Mantener contactos apropiados con grupos, asociaciones deprofesionales y foros especializados en seguridad de la informac.

Organización de Seguridad de la InformaciónContactos con Grupos de Interés Común


18/25

18

Ing. Pablo Romanos


GESI C1/35












Índice

Ing. Pablo Romanos


GESI C1/36

Control 8:

Elementos a ser considerados en el proceso derevisión:

La dirección deberá establecer una revisión

independiente para asegurar la conveniencia, suficiencia yeficacia del enfoque de la organización al gestionar laseguridad de información.

La revisión debe incluir los puntos evaluados y loscambios necesarios para garantizar la seguridad,incluyendo la política y los objetivos de control.

Los resultados de la revisión deben registrarse y serinformados a la dirección que inició la revisión. Losresultados deben ser archivados.

La dirección deberá establecer cuáles serán las accionescorrectivas, si la revisión identifica que la gestión eimplementación no son adecuadas o no corresponden conlas directrices establecidas en la política de seguridad de laorganización.

La gestión e implementación de seguridad de la información, debe serrevisada de forma independiente en intervalos planeados o cuando ocurran cambios significativos de seguridad.

Auditor

Organización de Seguridad de la InformaciónRevisión Independiente de la Seguridad


19/25

19

Ing. Pablo Romanos


GESI C1/37

ÍndiceInfraestructura de Seguridad de la Información Comité gerencial sobre seguridad de la información











Ing. Pablo Romanos


GESI C1/38

Mantener la seguridad de la información y lasinstalaciones de procesamiento de la organización,cuando éstas son accedidas, procesadas, comunicadascon o gestionadas por personal externo.

La seguridad de la información y de las instalaciones deprocesamiento de la organización no debe ser restringida porla introducción de productos o servicios externos.

Cualquier acceso a las instalaciones de procesamiento deinformación por parte de personal externo deberá sercontrolado.

Cuando por motivos de negocio se requiera del acceso,tratamiento o provisión de un producto por parte de personalexterno, se deberá realizar un análisis de riesgo a fin dedeterminar los requisitos y controles de seguridad que sonnecesarios. Dichos controles se deberán convenir y definir enun acuerdo con la parte externa.

Objetivo 2:

Organización de Seguridad de la InformaciónSeguridad Frente al Acceso de Personal Externo


20/25

20

Ing. Pablo Romanos


GESI C1/39












Índice

Ing. Pablo Romanos


GESI C1/40

Control 1:

Elementos a considerar en la identificación de riesgos relacionados con accesos externos: Las instalaciones de procesamiento de información que un externo requiere para acceder

El tipo de acceso que tendrá a la información y a las instalaciones de procesamiento de información, ej.:

el acceso físico, (oficinas, salas de computadoras, archivadores) el acceso lógico, (bases de datos de la organización, sistemas de información)

conectividad de red entre la organización y la red del externo, conexiones permanentes, accesos remotos

si el acceso se realiza “on-site” u “off-site”

El valor y la sensibilidad de la información implicada, y de su criticidad para operaciones de negocio

Los controles necesarios para proteger información que, no debe estar accesible al personal externo

El personal externo implicado en el manejo de la información de la organización

Cómo el personal autorizado a tener acceso puede ser identificado, el chequeo de la autorización, y con quéfrecuencia necesita ser confirmada dicha autorización

Los diferentes medios y controles empleados por el externo al almacenar, procesar, comunicar, compartir eintercambiar información

El impacto de no estar disponible el acceso cuando el externo lo necesite, o si éste recibe información inexacta oconfusa

En caso de producirse un incidente de seguridad, cuáles son las prácticas y procedimientos para tratar dichosincidentes y los potenciales daños, y cuáles son los términos y condiciones para continuar con el acceso del externo

Los requisitosl egales y regulatorios y otras obligaciones contractuales pertinentes al externo

Cómo los intereses de los accionistas pueden ser afectados por los contratos

Debe identificarse el riesgo que implica el personal externoa las instalaciones de información relacionadas con losprocesos de negocio, estableciendo los controlesnecesarios antes de conceder el acceso.

Organización de Seguridad de la InformaciónIdentificación de Riesgos Relacionados con Accesos Externos


21/25

21

Ing. Pablo Romanos


GESI C1/41

declaro: Que todo tipo de datos o información a la que pudiera tener acceso con ocasión de la ejecución y desarrollo de losservicios prestados en el marco del contrato o acuerdo firmado entre y con independencia del medio en el que la misma se documente, ya sea papel o soporteinformático, así como aquella información que me pudiera ser comunicada verbalmente, es propiedad exclusiva de.

Salvo autorización previa y por escrito de , me comprometo a:

• No reproducir, bajo ningún medio, la información recibida.• Utilizar la misma únicamente para el desarrollo de las funciones o actividades que tengo encomendadas o derivendirectamente de la ejecución de los servicios del mencionado contrato o acuerdo, y no divulgar la misma a terceros,sean éstos, personas físicas o jurídicas, e independientemente de que su actividad no sea coincidente o confluyente conla actividad desarrollada por .• No utilizar la información o sistemas propiedad de en beneficio propio o de terceros ajenos aldesarrollo de los servicios enmarcados en el contrato o acuerdo con .• Tratar y proteger la información recibida, o aquella a la que tenga acceso en virtud de la prestación de mis servicios,con la debida diligencia, para evitar tanto su pérdida como su divulgación.

Las anteriores obligaciones subsistirán aun después de finalizada la ejecución del contrato o acuerdo y extinguida miparticipación en el mismo.

Asimismo manifiesto haber sido informado de que los datos personales que se facilitaron al inicio o durante la relaciónde colaboración suscrita con , forman parte de un archivo titularidad de con domicilio en y serán tratados con la finalidad del mantenimientode dicha relación y de que en cualquier momento puedo ejercer mis derechos como af ectado de los citados datos.

De igual manera manifiesto haber sido informado que mis datos de nombre, apellido y dirección de correo electrónico,serán cedidos a todas las empresas del grupo (las mismas se encuentran en la Intranet de) con la finalidad de homogeneizar las plataformas informáticas globales de la organización.

Por último conozco y acepto que el incumplimiento de las obligaciones anteriormente descritas, supondrá el derecho de a resarcirse de los daños y perjuicios que le sean ocasionados, sin perjuicio de las acciones queen derecho correspondan.

Organización de Seguridad de la InformaciónIdentificación de Riesgos Relacionados con Accesos Externos

Ing. Pablo Romanos


GESI C1/42












Índice


22/25

22

Ing. Pablo Romanos


GESI C1/43

Control 2:Términos a considerar antes de otorgar acceso a los clientes : La protección de los activos, incluyendo:

procedimientos para proteger los activos (información, software, y manejo de vulnerabilidadesconocidas) procedimientos para determinar si algún activo ha sido comprometido (ej.: pérdida o modificación dedatos) la integridad las restricciones de copia y revelaciónde información

La descripcióndetallada del producto o el servicio que será provisto Las razones, requisitos, y beneficios del acceso por parte del cliente La política del control del acceso, cubriendo:

métodos de acceso permitidos, y el control y uso de identificadores únicos (ID + contraseña) el proceso de autorización para otorgar accesos y privilegios la declaración formal de que: “todo acceso que no esté explícitamente permitido, estará prohibido” un proceso para revocar los derechos del acceso o interrumpir la conexión entre sistemas

Los acuerdos para el reporte, notificación e investigación sobre inexactitudes en la información (ej.: detallespersonales), e incidentes o infracciones de seguridad de la información La descripción de cada servicio que deberáestar disponible Los acuerdos de nivel del servicio y los niveles inaceptables del mismo El derecho a monitorear y revocar en todo momento, actividades relacionada con los activos de laorganización Las obligaciones respectivas de la organización y el cliente Las responsabilidades con respecto a asuntos legales Los derechos de propiedad intelectual y derecho de autor, así como la protección de cualquier trabajo encolaboración entre ambas partes

Deben identificarse los requisitos de seguridad antes de otorgar los accesos a la información o a los activos de la organización.

Cliente

Organización

Organización de Seguridad de la InformaciónRequisitos de Seguridad en el Trato con Clientes

Ing. Pablo Romanos


GESI C1/44

CONVENIO DE CONFIDENCIALIDAD Y NO DIVULGACIÓN CON CLIENTES

Por medio de la presente, las partes EMPRESA S.A. y EL CLIENTE, DIRECCION, Comuna, ciudad, ( nombre comercial), firman este acuerdode confidencialidad y no divulgación, con el fin de que representantes de EMPRESA S.A. y CLIENTE, intercambien correspondencia, prototiposy cualquier otro tipo de información mutua, relacionada a los productos y servicios de ambas partes. Cada parte divulgará importanteinformación a su contraparte. Además, cualquiera de las partes puede enviar muestras y prototipos confidenciales a la contraparte, para suspruebas y análisis. La parte que ha enviado el/los prototipos o muestras, no garantiza la disponibilidad comercial y mantiene el derecho absolutosobre ellos. En relación a las muestras, prototipos e información intercambiada entre las partes, se acuerda lo siguiente:

1.La información se considera “información confidencial” para el receptor, si es presentada y/o identificada por su contraparte comoconfidencial por medio escrito, oral u otro medio de comunicación.2.Las muestras y/o prototipos confidenciales también incluyen toda la información y conocimiento obtenido mediante la inspección y

pruebas de ellos.3.La parte receptora de las muestras y/o prototipos confidenciales no puede analizar, vender, exponer, mostrar ni divulgar esosproductos, ni productos derivados de ellos, ni información sobre resultados de experimentos ni pruebas efectuadas sobre ellos, aterceras personas sin el previo consentimiento de la contraparte, en un plazo de 3 años.4.La parte receptora de las muestras y/o prototipos no puede hacer uso ni divulgar la información confidencial a terceras personas porun período de tres (3) años desde la recepción de esa información; sin embargo, esta obligación no aplica en caso que la información:

a.Sea información pública o se haga pública sin que la parte receptora de la información sea responsable; b.Exista evidencia de que esa información ya fuera conocida por la parte receptora previo a este acuerdo; c.Se haga conocida la información por medio de una tercera parte con derecho a divulgarla; d.La parte receptora se vea obligada a divulgarla producto de alguna ley, regulación u orden gubernamental para hacerlo.

5.Nada en este acuerdo puede ser interpretado como garantía sobre derechos o licencias sobre patentes, diseños o marcas de lacontraparte.6.Las patentes que sean aplicadas por alguna de las partes como resultado del trabajo individual de esa parte, serán de su exclusivapropiedad. Patentes presentadas por alguna de las partes como resultado del trabajo en conjunto producto de este acuerdo, serán depropiedad de ambas partes.7.Todos los documentos, borradores, diseños, correos, productos, muestras y prototipos intercambiados, son de propiedad de la parteque los ha enviado a su contraparte y deberán ser devueltos o destruidos, junto a todas sus copias, si así fuera solicitado.8.Nada en este acuerdo será interpretado como prohibición de las partes a divulgar la información confidencial a subordinados,empleados o trabajadores dentro de la empresa, considerando que todos los receptores quedan regidos por los términos de esteacuerdo.9.Este acuerdo expira en tres (3) años, desde la fecha de su firma, a menos que se dé por expirado con anterioridad por elconsentimiento escrito de ambas partes. La expiración de este acuerdo no afectan las obligaciones de los puntos 3 y 4.

Organización de Seguridad de la InformaciónRequisitos de Seguridad en el Trato con Clientes


23/25

23

Ing. Pablo Romanos


GESI C1/45












Índice

Ing. Pablo Romanos


GESI C1/46

Control 3:

Los acuerdos deben asegurar que en el intercambio no existan imprevistos,cubriendo siempre los intereses de la organización.

Elementos a tener en cuenta en la identificación de los requisitos relacionadoscon los acuerdos de terceros: La política de la seguridad de la información Los controles para asegurar la protección de los activos, incluyendo:

los procedimientos para proteger los activos de la organización, incluyendo la información, elsoftware y el hardware los controles de protección y mecanismos físicos requeridos los controles para asegurar la protección contra software malicioso los procedimientos para determinar si algún activo ha sido comprometido (ej.: pérdida omodificación de datos, software o hardware los controles a considerar cuando la información o los activos deben ser devueltos o destruidosal finalizar el contrato o al finalizar un hito especifico identificado en el acuerdo la confidencialidad, la integridad, la disponibilidad, y cualquier otra propiedad relacionada con losactivos las restricciones de copia y revelación de información, y los acuerdos de confidencialidad que seutilizan

La formación de usuarios y administradores en métodos, procedimientos y seguridad Que los usuarios conozcan sus responsabilidades en materia de seguridad de la información Disposición que contemple la transferencia de personal, si fuese necesario Definición de responsabilidades en la instalación y mantenimiento de hardware y software La estructura definida y el formato acordado de los documentos entregables Un proceso claro y detallado de la gestión de cambios

Los acuerdos con terceros, relacionados con el acceso, procesamiento, comunicación ymanejo de la información o de las instalaciones de procesamiento de información de laorganización, deben cubrir los principales aspectos de la seguridad .

Intercambio

Organización de Seguridad de la InformaciónRequisitos de Seguridad en Contratos con Terceros (I)


24/25

24

Ing. Pablo Romanos


GESI C1/47

La política del control del acceso, cubriendo: las razones, requisitos, y beneficios del acceso que hacen necesario el acceso del clientemétodos de acceso permitidos, y el control y uso de identificadores únicos (ID + contraseña) el proceso de autorización para otorgar accesos y privilegios un requerimiento para mantener actualizada la lista de individuos autorizados, servicios a los que accederán, derechos y privilegios la declaración formal de que: “todo acceso que no esté explícitamente permitido, estará prohibido” un proceso para revocar los derechos del acceso o interrumpir la conexión entre sistemas

Los acuerdos para el reporte, notificación e investigación de incidentes o infracciones de seguridad de la información, así como lasviolaciones a los requerimientos establecidos en el acuerdo La descripción del producto / servicio que seráprovisto y la información que deberá estar disponiblejunto a su clasificación en seguridad Los acuerdos de nivel del servicio y los niveles inaceptables del mismo La definición de criterios de desempeño verificables, su monitoreo y presentación de informes El derecho a monitorear y revocar (impedir), actividades relacionada con los activos de la organización El derecho a auditar responsabilidades contractuales o a contratar a un tercero para su realización El establecimiento de un proceso gradual para la resolución de problemas Los requisitos de la continuidad del servicio, incluyendo medidas para la disponibilidad y la confiabilidad,

de acuerdo con las prioridades del negocio de la organización Las obligaciones respectivas acordadas por ambas partes Las responsabilidadescon respecto a asuntos legales y como asegurar que estos se cumplan

(ej.: legislación de protección de datos, entre organizaciones de diferentes países) Los derechos de propiedad intelectual y derecho de autor, así como la protección de cualquier trabajo en

colaboración entre ambas partes La relación entre proveedores y subcontratistas, y los controles de seguridad necesarios Las condiciones de renegociación / finalización del acuerdo, cubriendo

un plan de contingencia en caso de que el tercero finalice anticipadamente el acuerdo la renegociación del acuerdo si los requisitos de seguridad de la organización cambian la lista de activos actualizada, licencias, acuerdos y los derechos relacionados con estos

Acuerdo

Control 3:Los acuerdos con terceros, relacionados con el acceso, procesamiento, comunicacióny manejo de la información o de las instalaciones de procesamiento de información dela organización, deben cubrir los principales aspectos de la seguridad .

Organización de Seguridad de la InformaciónRequisitos de Seguridad en Contratos con Terceros (II)

Ing. Pablo Romanos


GESI C1/48

Requisitos de seguridad en contratos conterceros

CONVENIO DE CONFIDENCIALIDAD PARA PROVEEDORES Este CONVENIO DE CONFIDENCIALIDAD de fecha ____ de __________de 20XX, se celebra entre y ____________________ (en adelante EL PROVEEDOR): POR CUANTO, ha encargado a EL PROVEEDOR, la ejecución de Servicios de

________________________, y teniendo presente que posee derechos sobredeterminada información que no es de dominio público, relativa a sus negocios y que incluye, sin caráctertaxativo, información financiera, técnica, y comercial, incluyendo la que se encuentra en forma electrónica aligual que cualquier tipo de desarrollo del cual sea propietario.TENIENDO EN CUENTA que EL PROVEEDOR durante el desarrollo de sus actividades, eventualmente puedetener acceso a la Información, EN CONSECUENCIA, en consideración de lo expuesto, y EL PROVEEDOR acuerdan lo siguiente: Toda la información que provea a EL PROVEEDOR, y toda la información que ELPROVEEDOR provea a en su gestión de asesoramiento, se recibirá y mantendrá encarácter de CONFIDENCIAL de acuerdo con lo dispuesto en el presente. Ambas partes acuerdan asimismo quetodas las operaciones entre y EL PROVEEDOR, así como toda conversaciónrelacionada, se considerarán Información a los fines de este Convenio.Ambas partes mantendrán la Información bajo confidencialidad y no podrán, sin el previo consentimiento escritode la otra: distribuir o revelar a terceros, la Información que le sea suministrada de conformidad con el presente (salvo a sus funcionarios y empleados, según se indica más adelante: brindar acceso a terceros a la Informaciónque le sea revelada conforme al presente; ni utilizar Información que reciba en virtud de este Convenio paracualquier otro fin distinto del Uso Permitido, EL PROVEEDOR acuerda transmitir la Información que le seasuministrada bajo EL presente únicamente a los funcionarios y empleados que deban tener conocimiento de lamisma, al sólo efecto del Uso Permitido, y que hayan aceptado obligarse por las disposiciones de esteConvenio.Para el caso de que se le exija a EL PROVEEDOR revelar la información en un procedimiento judicial oadministrativo, deberá notificarlo inmediatamente a para que ésta pueda iniciar lasacciones legales que estime necesarias a fin de proteger sus derechos.(...)EL PROVEEDOR debe comprometerse a: Minimizar la rotación de su personal asignado a .No transferir al personal asignado a otras cuentas de clientes que sean competencia de durante la ejecución del proyecto.EL PROVEEDOR es responsable del cumplimiento del presente contrato de confidencialidad por parte delpersonal asignado a .(...)EN FE DE LO CUAL, ambas partes firman este Convenio a través de sus funcionarios debidamente autorizados,en la fecha indicada en el encabezamiento.


25/25

organizacion de la seguridad informatica

Documents

Transcript of organizacion de la seguridad informatica