GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...
0 Fd 27001 Directores Y Alta Gerencia
1. Analista de Seguridad Informática
Especialista en Seguridad de la Información
Security Information
Awareness Program
SGSI y La Alta Gerencia
Celular (011) 15 6034-2822
fabiandescalzo@yahoo.com.ar
http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6
1
v1.0
2. Que debo conocer como responsable del
Negocio?
Ventajas de implantar la Seguridad de la Información en el Negocio
Con respecto al Negocio:
Integrar la gestión de la seguridad de la información con otras
modalidades de gestión empresarial
Mejorar la imagen confianza y competitividad empresarial. La
organización que desarrolle un SGSI según la norma, tendrá ventajas
de reconocimiento por los organismos que certifican los sistemas.
Comprobar su compromiso con el cumplimiento de la legislación:
protección de datos de carácter personal, servicios sociedad de
información, comercio electrónico, propiedad intelectual, etc...
Dar satisfacción a accionistas y demostrar el valor añadido de las
actividades de seguridad de la información en la empresa
2
3. Protección de Información
El gerenciar la Protección de la Información requiere contar con el
compromiso de cada área de negocios, quienes brindan los recursos
humanos que le permiten administrar y controlar la seguridad de la
información a través de la función o rol de cada usuario seleccionado como:
Lider de Seguridad de la Información:
Responsable por la empresa o locación en caso de tratarse de Compañías con más de una Sede.
Coordina las actividades de implementación de la seguridad o respuesta ante incidentes según lo
informado por cada Responsable de Sector
Responsable de Seguridad de la Información:
Asegura la información de su sector colaborando con el Líder de la Compañía o de la Sede, controla
que se cumplan los requerimientos de seguridad acorde a lo informado por los propietarios de la
información y las medidas de seguridad implementadas por el Líder.
Propietario de la información:
Responsable de clasificarla y establecer su nivel de criticidad y disposición final, informa al
Responsable del Sector
Usuario Clave:
Administrador de Seguridades Aplicativas, responsable de aplicar las medidas de seguridad
necesarias acorde a la clasificación de la información establecida por el Propietario de la
Información.
3
4. Los Objetivos de Control
La norma ISO 27.001 le brinda a la Organización el marco normativo necesario
para establecer los objetivos de control acordes a su estructura y negocio, de los
cuales surgen las medidas de seguridad que adopta y adecúa a su cultura y
entorno para la protección de la información más sensible y las aplicaciones
más críticas para cada área de negocio establecidos .
Estos objetivos de control y su implantación debe ser conocida desde el inicio
por la Organización en sus diferentes niveles, participando en el cumplimiento
de la acción política de la Empresa y formando parte responsable de la
estrategia de la Seguridad de la Información. Y así se asegura desde todas las
áreas de negocio que se proporciona un sistema de control adecuado para el
tratamiento de la información.
Como primer paso para implantar la gestión de la seguridad de la información, la
Organización debe establecer e informar su POLITICA DE SEGURIDAD.
4
5. Los Objetivos de Control
Según lo que establezca como alcance la Compañía a través de su Política de
Seguridad, cada área de negocios participa en la gestión de:
El Negocio El Personal
Gestión de la Seguridad Funciones y responsabilidades
Gestión de Información Confidencialidad y contraseñas
Gestión con Terceras Partes Uso de hardware
Medios de Comunicación Uso de software y aplicaciones
Concientización y Educación
Para aportar resultados y conocimientos para el control de:
La Revisión del Sistema Los sistemas de Información
Control de registros Seguridad Física del entorno
Auditorías de Sistemas Seguridad Física de los soportes
Seguimiento del Cumplimiento Seguridad Lógica en los sistemas
Manejo de incidentes
5
6. Los Usuarios y los Objetivos de Control
los Usuarios de cada área de negocios deben saber que, de acuerdo a los
Objetivos de Control definidos, las medidas de seguridad adecuadas al
contexto de la Compañía tienen que cumplirse para asegurar:
Y con ello poner la Disponibilidad
Asegurar que los usuarios autorizados tienen
Gestión de la acceso cuando lo requieran en los tiempos
Seguridad al servicio adecuados.
de los objetivos de Integridad
Garantía de la exactitud y de que la información sea
negocio de la completa, así como los métodos de su
procesamiento.
Organización
Confidencialidad
Asegurar que la información es sólo accesible para
aquellos autorizados.
7. La Documentación
Los usuarios aportan la documentación referente a los objetos de información
basándose en su experiencia y conocimientos. Esto permite establecer
programas adecuados que disminuyen la potencialidad de eventos negativos y el
mantenimiento organizado de los mismos.
Establecer bases respecto a
Conjunto de
Normativas y Guías Documentar
de implementación resultados en
Matrices para identificación
de riesgos y su posterior
mitigación
Para actualizar el
Manual de Protección
de la Información
7
8. La Documentación
La Información ofrecida desde las Áreas Usuarias ayudan a
establecer y documentar medidas preventivas y obtener un Plan
Metodológico Integral de la Seguridad de la Información, que
incluye:
Clasificación de la
Identificación del información, estableciendo
riesgo potencial y de su importancia de acuerdo a
exposición por su nivel de Confidencialidad,
objetivo de control Integridad y Disponibilidad
necesaria
Otros documentos
Análisis de procesos del área, Mapa de interacción con otras áreas,
Nómina de Proveedores Críticos, Nómina de personal en contingencia,
Lista de requerimientos mínimos del área, etc.
8
9. Procesando la información
La certeza sobre la Información de respaldo y pruebas
objetivas brindadas por los Usuarios para el control y
desarrollo de la Seguridad de la Información aportarán un
sólido desarrollo para:
9
10. Que esperamos de la Organización
Incrementar la conciencia de la necesidad de proteger la información y a entrenar
a los usuarios en la utilización de la misma para que ellos puedan llevar a cabo sus
funciones en forma segura, minimizando la ocurrencia de errores y pérdidas.
Conocer su responsabilidad en
cuanto a la Seguridad de la
Información y lo que se espera de él.
Entrenamiento inicial y continuo a
sus colegas de área, y aporte en el
mantenimiento activo de la
documentación y los controles
Conocer las políticas organizacionales,
haciendo hincapié en el cumplimiento
de la Política de Seguridad.
10
11. Analista de Seguridad Informática
Especialista en Seguridad de la Información
Celular (011) 15 6034-2822
011) 6034-
fabiandescalzo@yahoo.com.ar
http://ar.linkedin.com/pub/fabian-descalzo/a/a15/
http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6
11