Este documento proporciona una guía para el desarrollo de una política de seguridad de la información. Explica que la política debe ser aprobada por la dirección y comunicada a todos los empleados. Además, la política debe revisarse periódicamente para garantizar que siga siendo adecuada y efectiva. El documento también ofrece recomendaciones sobre el contenido que debe incluir la política, como los objetivos de seguridad, las responsabilidades de los empleados y las referencias a otras políticas y procedimientos relacionados.
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
Conferencia sobre Certificacion ISO 27001 Practicas de manejo de seguridad de la Informacion, dirijida por Ingeniero Alejandro hernandez Isec-segurity
que junto con securinf realizan las mejores ponencias en el tema de seguridad informatica
http://www.securinf.com
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma.
Conferencia sobre Certificacion ISO 27001 Practicas de manejo de seguridad de la Informacion, dirijida por Ingeniero Alejandro hernandez Isec-segurity
que junto con securinf realizan las mejores ponencias en el tema de seguridad informatica
http://www.securinf.com
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma.
En esta presentación de presentaremos las relaciones de las diferentes normas de estandarización relacionadas con los sistemas informático y el Sistema Gestor de Seguridad de la Información.
1. Primer Dominio
POLÍTICA DE SEGURIDAD
Gestión de Seguridad Informática
Chicaiza Jami Paola
Díaz Villafuerte Alex
2. Política de seguridad de la
información
Objetivo:
Proporcionar la guía y apoyo de la Dirección para la
seguridad de la información en relación a los requisitos
del negocio y a las leyes y regulaciones relevantes.
3. Política de seguridad de la
información
Principios:
La Dirección debería establecer una política clara y en
línea con los objetivos del negocio y demostrar su apoyo
y compromiso con la seguridad de la información
mediante la publicación y mantenimiento de una política
de seguridad de la información para toda la organización
4. Política de seguridad de la
información
¿Qué hacer?:
Piense en términos de un manual o wiki de políticas de
seguridad de la información que contenga un conjunto
coherente e internamente consistente de políticas, normas,
procedimientos y directrices.
Determine la frecuencia de revisión de la política de seguridad
de la información y las formas de comunicación a toda la
organización.
La revisión de la idoneidad y adecuación de la política de
seguridad de la información puede ser incluida en las
revisiones de la dirección
5. Política de seguridad de la
información
Cobertura de la política: porcentaje de secciones de
ISO/IEC 27001/2 para las cuales se han especificado,
escrito, aprobado y publicado políticas y sus normas,
procedimientos y directrices asociadas.
Grado de despliegue y adopción de la política en la
organización (medido por auditoría, gerencia o auto-
evaluación)
6. Controles
Documento de política de seguridad de la información
La Dirección debería aprobar y publicar un documento
de la política de seguridad de la información y comunicar
la política a todos los empleados y las partes externas
relevantes.
Revisión de la política de seguridad de la información
La política de seguridad de la información se debería
revisar a intervalos planificados (o en caso que se
produzcan cambios significativos)para garantizar que es
adecuada, eficaz y suficiente.
7. Contenido del Documento
Una definición de la seguridad de información y sus
objetivos globales y el alcance y su importancia como
un mecanismo que permite compartir información.
El objetivo de la gerencia como soporte de los
objetivos y principios de la seguridad de la información.
Una estructura para el establecimiento de los objetivos
de control y controles, incluida la estructura de la
valoración del riesgo y el manejo de riesgos.
8. Contenido del Documento
Una breve explicación de las políticas, principios, normas y
requisitos de conformidad más importantes para la
organización.
Una definición de las responsabilidades generales y
específicas en materia de la gestión de seguridad de
información, incluida el reporte de las incidencias de
seguridad.
Las referencias a documentación que pueda sustentar
la política, ejemplo: políticas y procedimientos mucho
más detallados para sistemas de información específicos
o las reglas que los usuarios deberían cumplir.
9. Referencias
CNI: Los documentos CCN-STIC del Centro Criptológico
Nacional español incluyen normas, instrucciones, guías y
recomendaciones para garantizar la seguridad de los
sistemas de las TIC en la Administración española.
PSSI: Guía de redacción de políticas de seguridad de la
información de la " Direction Centrale de la Sécurité des
Systèmes d’Information" francesa.
ARCERT: Modelo de Política de Seguridad de la
Información para la Administración de Argentina, basado
en la norma ISO/IRAM 17799 (norma ISO 17799
homologada por IRAM, Instituto Argentino de
Normalización).
10. Referencias
UCISA: Toolkit de la "Universities and Colleges Information
Systems Association" del Reino Unido para la generación
de políticas de seguridad de la información basado en BS-
7799:2002.
dmoz.org: Conjunto de políticas de seguridad variadas.
Infosecwriters: Creación de políticas de seguridad para
Pymes.
SANS Policies: Conjunto de plantillas de políticas de
seguridad del SANS Institute.
SANS whitepapers: Guía de desarrollo de una política de
seguridad de la información.
11. Referencias
DTI: Guía de protección de activos de información del
"Department of Trade and Industry" del Reino Unido.
DTI: Guía de tipos de políticas de seguridad de la
información del "Department of Trade and Industry " del
Reino Unido.
NIST: Guías sobre distintos aspectos técnicos de la
seguridad de la información del NIST (National Institute of
Standards and Technology) de EEUU. Sirven de apoyo a la
hora de redactar políticas.
TBS: Política de Seguridad del Gobierno de Canadá.
12. Referencias
ISACA: Muchas de las directrices de ISACA para auditores
de sistemas de información son útiles también como apoyo
para redactar políticas de seguridad.
CCCURE: Guía de creación de una política de seguridad.
Notice bored: Plantilla para manual de políticas de
seguridad de la información basado en ISO 17799. No
gratuito.
Senado: Normativa de uso de sistemas de información del
Senado español.