11 Dominios de La Norma Iso 27001

11 DOMINIOS DE LA NORMA ISO 27001 1. Política de Seguridad Es el documento que la empresa frma aceptando las politicas de calidad a revisar el cual debe contener: a.Una defnición de la seguridad de inormación y sus obetivos globales y el alcance y su importancia como un mecanismo que permite compartir inormación. b.Una breve e!plicación de las políticas" principios" normas y requisitos de conormidad m#s importantes para la organi$ación. c.Una defnición de las responsabilidades generales y específcas en materia de la gestión de seguridad de inormación" incluida el reporte de las incidencias de seguridad. Se debe establecer una estructura de la seguridad de la inormación" de tal manera que satisaga todos los requerimientos" para lo cual es indispensable la participación de los representantes de las dierentes #reas dentro de la organi$ación para cubrir las distintas necesidades por eemplo la participación de: %&omit' de gestión de seguridad de la inormación %&oordinación de la seguridad de la inormación. %(signación de las responsabilidades de la seguridad de inormación. %Procesos de autori$ación para los recursos de tratamiento de la inormación %(cuerdos %(cuerd os de confdencialidad. ).*rgani$ación ).*rgani$ació n de Seguridad Se debe asignar a los recursos de la organi$ació organi$ación" n" propietarios quienes ser#n los responsables de mantener una protección adecuada.+a organi$ación debe identifcar los activos y su valor e importancia. Sobre Sobre esta base la organi$ación puede proporcionar proporcionar niveles de protección proporcionales proporcionales a dic,o valor e importancia. -ebería establecerse y mantenerse el inventario de los activos importantes asociados con cada sistema de inormación. Propiedad Propieda d de los recursos  odos   odos los recursos de tratamiento de la inormación inormación y los activos activos de inormación de la organi$ación deben ser de propiedad de una parte designada. El due/o del recurso debe ser responsable de: 1. asegurar que recursos de tratamiento de la inormación y los activos de inormación sean apropiadame apropiadamente nte clasifcados0 ). defnir y revisar periódicamente las restricciones de acceso y clasifcación" tomando en cuenta políticas de control de acceso aplicables. . (dministración de (ctivos (segurar que cada persona dentro de la organi$ación comprenda sus responsabilidades" responsabilidad es" ya que es un actor que in2uye en la preservación de la seguridad de la inormación. a3 implementar y actuar de acuerdo con las políticas de seguridad de inormación0 b3 proteger los activos de accesos no autori$ados" divulgación" modifcación" destrucción e intererencia0 c3 eecutar procesos particulares de seguridad o actividades0

d3 garanti$ar que responsabilidades se asignen a los individuos para acciones tomadas0 e3 reportar eventos de seguridad o eventos potenciales u otros riesgos para la organi$ación. 4. Seguridad de los 5ecursos 6umanos. +os recursos importantes para el tratamiento de la inormación deben ser ubicados en #reas seguras de tal manera que se provenga el acceso no autori$ado. El perímetro de seguridad ísico +os perímetros de seguridad debe ser usadas para proteger #reas que contienen recursos de tratamiento de inormación. Se debe considerar los siguientes puntos: a3 el perímetro de seguridad deben ser defnidos claramente0 b3 el perímetro de un edifcio o un lugar que contenga recursos de tratamiento de inormación debería tener solide$ ísica0 c3 se debería instalar un #rea de recepción manual u otros medios de control del acceso ísico al edifcio o lugar. -ic,o acceso se debería restringir solo al personal autori$ado0 d3 las barreras ísicas se deberían e!tender" si es necesario" desde el suelo al tec,o para evitar entradas no autori$adas o contaminación del entorno0 e3 todas las puertas para incendios del perímetro de seguridad deberían tener alarma y cierre autom#tico. 7. Seguridad 8ísica y (mbiental 9. estión de &omunicaciones y *peraciones Establecer responsabilidades y procedimientos para la gestión y operación de todos los recursos de tratamiento de inormación" de tal manera que se consiga reducir el riesgo de un mal uso del sistema deliberado o por negligencia. -ocumentación de procedimientos operativos: Se deberían documentar los procedimientos de operación y ,acerlo disponible para todos los usuarios que necesitan de ellos. +os procedimientos de operación deberían especifcar las instrucciones necesarias para la eecución detallada de cada tarea" incluyendo: a3 el proceso y utili$ación correcto de la inormación0 b3 respaldo0 c3 los requisitos de planifcación" incluyendo las interdependencias con otros sistemas" con los tiempos de comien$o m#s temprano y fnal m#s tardío posibles de cada tarea ;. Sistema de &ontrol de (ccesos Se debería controlar el acceso a la inormación y los procesos del negocio sobre la base de los requisitos de seguridad y negocio. Se deberían tener en cuenta para ello las políticas de distribución de la inormación y de autori$aciones. En la política de control de accesos se debería tener bien defnido y documentado los requisitos del negocio para el control de acceso" defni'ndose

de orma clara las reglas y derec,os de cada usuario. -ebería contemplar: a3 requisitos de seguridad de cada aplicación de negocio individualmente0 b3 identifcación de toda la inormación relativa a las aplicaciones0 c3 políticas para la distribución de la inormación y las autori$aciones0 d3 co,erencia entre las políticas de control de accesos y las políticas de clasifcación de la inormación en los distintos sistemas y redes 8. Adquisición, Desarrollo  Man!eni"ien!o de Sis!e"as de In#or"ación  odos los requisitos de seguridad" incluyendo las disposiciones para contingencias" la inraestructura" las aplicaciones de negocio y las aplicaciones desarrolladas por usuario0 deberían ser identifcados y ustifcados en la ase de requisitos de un proyecto" consensuados y documentados como parte del proceso de negocio global para un sistema de inormación. (n#lisis y especifcación de los requisitos de seguridad: +os requisitos y controles de seguridad deberían re2ear el valor de los activos de inormación implicados y el posible da/o a la organi$ación que resultaría de allos o ausencia de seguridad. +a estimación del riesgo y su gestión son el marco de an#lisis de los requisitos de seguridad y de la identifcación de los controles y medidas para conseguirla (utenticación de mensaes +a autenticación de mensaes es una t'cnica utili$ada para detectar cambios no autori$ados o una corrupción del contenido de un mensae transmitido electrónicamente. Se debería establecer en aplicaciones que requieran protección de la integridad del contenido de los mensaes" por eemplo" transerencia electrónica de ondos" especifcaciones" contratos" propuestas u otros intercambios electrónicos de datos importantes. <. (dministración de =ncidentes de Seguridad de la =normación Para asegurar los eventos y las debilidades de la seguridad de la inormación asociados a los sistemas de inormación" los procedimientos ormales de la divulgación y de escalada del acontecimiento deben estar en lugar. odos los empleados" contratistas y usuarios de los terceros deben ser enterados de los procedimientos para divulgar diversos tipos de eventos y de debilidad que pudieron tener un impacto en la seguridad de activos de organi$ación. Procedimientos de divulgación ormal del acontecimiento de la seguridad de la inormación se deben establecer" unto con una respuesta del incidente y un procedimiento de escalada" precisando la acción que se adquirir# recibo de un inorme de un acontecimiento de la seguridad de la inormación. +os mismos que deben incluir: a3 el comportamiento correcto que se emprender# en caso de que se de un evento de la seguridad de la inormación0 b3 Un proceso disciplinario ormal establecido para los empleados" contratistas o usuarios de los terceros que ocasionen riesgos de la seguridad. .

1>. Plan de &ontinuidad del ?egocio +a gestión de la continuidad del negocio debería incluir controles para la identifcación y reducción de riesgos" limitar las consecuencias de incidencias da/inas y asegurar la reanudación" a tiempo" de las operaciones esenciales. (sí como reducir la interrupción causada por desastres y allas de seguridad. Proceso de gestión de la continuidad del negocio -ebería incluir los siguientes elementos clave: a3 comprender los riesgos que la organi$ación corre desde el punto de vista de su vulnerabilidad e impacto0 b3 identifcar los activos envueltos en el proceso crítico del negocio0 c3 comprender el impacto que tendrían las interrupciones en el negocio0 d3 considerar la adquisición de los seguros adecuados que ormar#n parte del proceso de continuidad del negocio &ontinuidad del negocio y an#lisis de impactos El estudio para la continuidad del negocio debería empe$ar por la identifcación de los eventos que pueden causar interrupciones en los procesos de negocio. Se debería continuar con una evaluación del riesgo para determinar el impacto de dic,as interrupciones. 11.&umplimiento &U@P+=@=E?* &*? +*S 5EAU=S=*S +E(+ES &on este control se busca evitar los incumplimientos de cualquier ley civil o penal" requisito reglamentario" regulación u obligación contractual" y de todo requisito de seguridad. El dise/o" operación" uso y gestión de los sistemas de inormación puede estar sueto a requisitos estatutarios" regulatorios y contractuales de seguridad. =dentifcación de la legislación aplicable Se deberían defnir y documentar de orma e!plícita todos los requisitos legales" regulatorios y contractuales que sean importantes para cada sistema de inormación. -erec,os de propiedad intelectual Se deberían implantar los procedimientos apropiados para asegurar el cumplimiento de las restricciones legales sobre el uso del material protegido como derec,os de autor y los productos de sotBare propietario. Se debería considerar: a3 publicar una política de conormidad de los derec,os de propiedad intelectual0 b3 publicar normas para los procedimientos de adquisición de productos de sotBare0