You are on page 1of 18

1.NIVEL I Manual de Seguridad de Información Cláusula 4. ¿quién hace qué y cuándo? NIVEL III Describe como se realizan las tareas y actividades específicas Instrucciones de trabajo Documentos NIVEL IV Proveen evidencia objetiva de la conformidad con el SGSI / Proporcionan información .3. Procedimientos NIVEL II Descripción de procesos.

Declaración de aplicabilidad .3. ‡ Organiza la documentación ‡ Facilita la auditoría ‡ Agrupa la documentación de la ISO 27001 ‡ Cláusula 4. Descripción de la metodología de evaluación del riesgo 5.1 ‡ Está conformado por: 1. Procedimientos y controles de soporte 4. Enunciado de la política del SGSI 2. Alcance del SGSI 3. Reporte de evaluación del riesgo 6.Nivel I: Manual de seguridad ‡ No es un requisito del modelo. Plan de tratamiento del riesgo 7.

‡ Apéndice 3.Nivel II: Procedimientos ‡ Todos los procedimientos exigidos por la norma. se encuentran los documentos más importantes que se debieran documentar. se debiera documentar el procedimiento a seguir. ´Documentación del ISO 27001µ. ‡ Cuando se decide por un control para la reducción del riesgo. .

. tablas de decisión. etc. ‡ La utilización de instrucciones de trabajo dependerá directamente de la experiencia y el nivel de entrenamiento consumido por parte del ejecutor de las tareas.Nivel III: Instrucciones de trabajo ‡ Es la información que explica en detalle cómo se efectúa una operación concreta. ayudas visuales. flujogramas. ‡ Listas de chequeo.

Ejemplo: política. un reporte o un formulario. ‡ Documento: información y su medio de soporte.Nivel IV: Documentos ‡ Agrupa los registros y documentos utilizados en un SGSI. ‡ ¿Qué documento o dato permitirá demostrarle a un tercero que se está cumpliendo con los requisitos indicados? . ‡ Registro: es un aval de que se cumplió con una exigencia.

Enunciado de la política del SGSI Una política de seguridad es un conjunto de directrices. procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional. con el objetivo de establecer. normas. . estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico.

etc. . pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios.Para su formulación se deben tener en cuenta dos elementos: Tecnología: definir los aspectos técnicos del buen funcionamiento de servidores. acceso a Internet. El apoyo de la Administración es fundamental. estaciones de trabajo. Dirigir las acciones necesarias para modificar la cultura de seguridad actual. Personas: definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados.

administradores y ejecutivos de la empresa . depende de las necesidades de la organización y su delimitación se hace a partir de: ‡ el conocimiento del ambiente organizacional. humano o tecnológico. es necesario delimitar los temas que serán convertidos en normas.Temas de la política Para elaborar una política. ‡ la recopilación de las preocupaciones sobre seguridad de parte de los usuarios.

formación y creación de conciencia.Seguridad física: acceso físico. Auditoria de seguridad: análisis de riesgo. revisiones periódicas. visitas técnicas. Internet. . privilegios. copias de seguridad y recuperación. Seguridad de la red corporativa: configuración de los SO. contratos y acuerdos comerciales. autenticación. clasificación. antivirus. acceso lógico y remoto. infraestructura del edificio. Aspectos legales: prácticas personales. Centro de Datos. Seguridad de usuarios: composición de claves. monitoreo y auditoria. seguridad en estaciones de trabajo. leyes y reglamentación gubernamental. Seguridad de datos: criptografía.

Alcance del SGSI En la cláusula 4.2. activos. tecnología e incluyendo los detalles y la justificación de cualquier exclusión del alcanceµ. la organización.1 la norma plantea: ´Definir el alcance y los límites del SGSI en términos de las características del negocio. su ubicación. .

‡ Importancia del riesgo. Incluir las siguientes tablas: ‡ Activos con su valoración y su propietario ‡ Amenazas + vulnerabilidades y probabilidad de ocurrencia ‡ Cálculo del Riesgo (Activo + amenaza = Riesgo) y su valoración en impacto y ocurrencia.Descripción de la metodología de evaluación del riesgo Una breve descripción de cómo se llevó a cabo el análisis de los riesgos y su respectiva evaluación. .

Reporte de la evaluación del riesgo Este reporte contempla la siguiente información: ‡ Lista de riesgos ordenados por prioridad (de mayor a menor) ‡ Controles que se eligieron para el tratamiento del riesgo. Riesgo Activ o Amenaza Valor Prioridad Estrategia Controles .

Plan de tratamiento del riesgo .

.

1.1.6.6.2. ya que aquí se tiene toda la información vital del negocio.5. Política de seguridad de información Controles A.1 Organización interna A.2 Si Si Si Si Si No .1 A.3 A.1.1. A. Es necesario revisar periódicamente las políticas de seguridad de las BD para asegurar que se cumplan.6.1.1.2 Si A.2 A. Es necesario tener controles y políticas para el manejo de la seguridad de la información dentro de la organización.6.2 Entidades externas A.5.2.1 A.1. No se necesitan controles para mitigar riesgos con terceros.1 Aplica bilidad Si Justificación Es necesario establecer las políticas de seguridad de la BD.5.6.6.4 A.6. Es necesario establecer requerimientos de seguridad porque hay documentos muy confidenciales que son trasladados por terceros.Declaración de aplicabilidad Objetivos de control A.6.

Reporte de la Evaluación del Riesgo 7. Índice 2. Política del Sistema de Gestión de Seguridad de Información 4. Declaración de Aplicabilidad 9. Plan de Tratamiento del Riesgo 8. Metodología de Evaluación del Riesgo 6. Alcance del Sistema de Seguridad de Información 5.MANUAL DE SEGURIDAD 1. Introducción 3. Conclusiones 10.Anexos .

incluyendo una carátula. Fecha de presentación y sustentación: 15 de noviembre .Ejercicio 8: Elaborar el Manual de Seguridad con todas las partes que se revisaron en clase.