Organizacion de La Seguridad Informatica

Gestin Estratgica en
Seguridad de la Informacin
ISO 27002
Cdigo de Buenas Prcticas

para la Gestin de la
Organizacin de Seguridad
Ing. Pablo Romanos
GESI C1/1
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
Seguridad frente al acceso de personal externo

Identificacin de riesgos relacionados con el acceso de personal externo
Requisitos de seguridad en el trato con clientes
Requisitos de seguridad en contratos con terceros
Ing. Pablo Romanos
GESI C1/2
Organizacin de Seguridad de la Informacin
Infraestructura de Seguridad
Objetivo 1:
Administrar la seguridad de la informacin dentro de la

organizacin. Establecer un marco gerencial para
iniciar y controlar su implementacin.
Establecer comits de gestin liderados por niveles gerenciales,
que puedan:
aprobar la poltica de seguridad de la informacin
asignar funciones de seguridad
coordinar la implementacin de la seguridad en toda la organizacin
Mantener contactos con especialistas externos en materia de

seguridad para estar al corriente de las tendencias
Monitorear estndares y mtodos de evaluacin
Establecer puntos de enlace adecuados al afrontar incidentes de
seguridad
Alentar un enfoque multidisciplinario de la seguridad de la
informacin, por ej.:
comprometiendo la cooperacin de gerentes
usuarios, administradores, diseadores, auditores,
expertos en reas de seguros y administracin de riesgos.
Ing. Pablo Romanos
GESI C1/3
ndice

Ing. Pablo Romanos
GESI C1/4
Comit Gerencial sobre Seguridad
Control 1:
Un comit gerencial debera garantizar una clara direccin y un apoyo

manifiesto de la direccin a las iniciativas de seguridad, mediante un
adecuado compromiso y una apropiada asignacin de responsabilidades.
El comit gerencial de seguridad debera:

asegurar que los objetivos y requerimientos de seguridad
sean identificados e integrados en los procesos de la organizacin
formular, revisar y aprobar la poltica de seguridad
evaluar en todo momento la efectividad de la poltica de
seguridad
proveer una direccin clara y soporte adecuado a las iniciativas
de seguridad
proveer de los recursos necesarios para la gestin de la
seguridad de la informacin
aprobar la asignacin de roles y responsabilidades especficas
en materia de seguridad de la informacin
iniciar planes y programas de concientizacin en seguridad de
la informacin
asegurar que la implementacin de controles de seguridad se
realice a lo largo de toda la organizacin
El comit gerencial debera identificar los requerimientos de
auditoras de seguridad internas o externas, revisando y
coordinando los resultados con todas las reas de la
organizacin.
Ing. Pablo Romanos
GESI C1/5
ndice

Ing. Pablo Romanos
GESI C1/6
Coordinacin de Seguridad
actividades de la seguridad de la informacin deberan ser
Control 2: Las
coordinadas por representantes de las diferentes reas de la
organizacin mediante la asignacin de roles funcionales.
La coordinacin de seguridad afectar a directores,
usuarios, administradores, diseadores, auditores,
personal de vigilancia, as como especialistas de las
reas seguros, legales y tecnologa.
Las funciones deberan ser:
asegurar que las actividades de seguridad son ejecutadas en conformidad
con la poltica de seguridad de la informacin
identificar la forma en que son manejadas las no conformidades
aprobar las metodologas y procesos de seguridad de la informacin, ej.:
anlisis de riesgos, clasificacin de la informacin
identificar amenazas, informacin expuesta e instalaciones de procesamiento
bajo amenaza
estimar la suficiencia de los controles de seguridad y coordinar su
implementacin
garantizar que la seguridad forma parte del proceso de planificacin de la
informacin
promover de forma efectiva la educacin, entrenamiento y concientizacin en
seguridad de la informacin a travs de toda la organizacin
evaluar la informacin obtenida del monitoreo e investigar incidentes de
seguridad recomendando acciones en respuesta a la ocurrencia de los mismos
Ing. Pablo Romanos
GESI C1/7
ndice

Ing. Pablo Romanos
GESI C1/8
Asignacin de Responsabilidades
Control 3:
Las responsabilidades en materia de seguridad de la informacin

deberan ser claramente definidas.
Definir responsabilidades sobre los recursos ,

procesos y continuidad de los negocios.
La poltica de seguridad debe suministrar
orientacin acerca de la asignacin de funciones
de seguridad dentro la organizacin.
Designar un propietario para cada recurso de
informacin.
Los propietarios podrn delegar tareas pero en
ltimo trmino son responsables de la seguridad
del recurso.
Establecer claramente las reas sobre las cuales
es responsable cada gerente.
Las funciones deberan abarcar:
identificar y definir claramente los diversos recursos y procesos
de seguridad relacionados con cada uno de los sistemas.
designar al gerente responsable de cada recurso o proceso de
seguridad y documentar los detalles de esta responsabilidad.
documentar y definir claramente los niveles de autorizacin.
Ing. Pablo Romanos
GESI C1/9
Actividades
Define
Solicita
Implanta
Usuario
Usa
Gestiona
Actores
Propietario
Implanta
Autoriza y
Define
Audita
Custodio
Ing. Pablo Romanos
GESI C1/10
Actores:
Propietario: Responsable de la gestin y utilizacin de

una informacin determinada.
Custodio: Responsable de la posesin de la informacin
y de la gestin de los sistemas que utilizan esa
informacin.
Usuario: Tiene acceso a la informacin y/o sistemas de
la organizacin, para su uso.
Actividades:
Define: Definicin de las normas, tecnologas, estrategias y

responsabilidades de la Seguridad de la Informacin.
Implanta: Ingeniera de seguridad, certificacin y paso a produccin,
soporte en todo el ciclo de vida de los sistemas o mdulos de seguridad.
Gestiona: Mantenimiento y supervisin, operacin, administracin y
explotacin de los sistemas o mdulos de seguridad implantados.
Audita: Recopilar los requisitos de seguridad y verificar / contrastar su
cumplimiento, informar a la direccin los resultados.
Ing. Pablo Romanos
GESI C1/11
mbito Seguridad
mbito Negocio
Ing. Pablo Romanos
GESI C1/12
Responsable de Seguridad
de la Informacin
Operaciones
y Tecnologa
Operaciones
y Tecnologa
Control de
Gestin
mbito de la
Seguridad
mbito del
Negocio
de la
Organizacin
Propietario
Propietario Delegado
Referente
(rea Usuaria)
Admin de
Puestos
Custodio
Sector / Plataforma
Afectada
Ing. Pablo Romanos
GESI C1/13
Asignacin de Responsabilidades en una Organizacin
Poltica de Seguridad de la Informacin
Actores
Revisar y proponer a la mxima autoridad para su
aprobacin la Poltica de Seguridad de la
Informacin y las funciones generales en la materia;
Monitorear cambios significativos en los riesgos
que afectan a los recursos
Supervisar la investigacin y monitoreo de los
incidentes de seguridad;
Promover la formacin, difusin y apoyo a la
seguridad de la informacin;
Coordinar el proceso de administracin de la
continuidad de las actividades
Definicin y supervisin de todos los
aspectos inherentes a los temas tratados en
la Poltica de Seguridad
Clasificar la informacin de acuerdo con el
grado de sensibilidad y criticidad de la misma;
Documentar y mantener actualizada la
clasificacin efectuada;
Definir qu usuarios debern tener permisos
de acceso a la informacin de acuerdo a sus
funciones y competencia
Practicar auditoras peridicas sobre los
sistemas y actividades vinculadas con la
tecnologa de informacin, a fin de verificar el
cumplimiento de la Poltica de Seguridad
Conocer, dar a conocer, cumplir y hacer cumplir
la Poltica de Seguridad de la Informacin vigente
Coordinar las acciones del Comit de

Seguridad de la Informacin y de impulsar la
implementacin y cumplimiento de la Poltica
Cubrir los requerimientos de

seguridad informtica establecidos
para la gestin e implantacin de
los controles de seguridad sobre
los sistemas y recursos de
tecnologa de la Organizacin.
Efectuar las tareas de desarrollo
y mantenimiento de sistemas,
siguiendo una metodologa de
ciclo de vida de sistemas
apropiada, y que contemple la
inclusin de medidas de seguridad
en todas las fases del desarrollo
Comit de Seguridad
de la Informacin
Coordinador
Responsable de Seguridad
de la Informacin
Responsable del Area

Informtica
Propietarios de la
Informacin
Responsable del Area Legal
Unidad de Auditora Interna
Area de RRHH
Usuarios
Verificar el cumplimiento de la
Poltica en la gestin de todos los
contratos, acuerdos u otra
documentacin de la Organizacin
con sus empleados y con terceros;
Asesorar en materia legal a la
Organizacin, en lo que se refiere a
la seguridad de la informacin
Notificar a todo el personal que ingresa de sus obligaciones respecto del

cumplimiento de la Poltica de Seguridad de la Informacin y de todas las
normas, procedimientos y prcticas que de ella surjan.
Notificar a todo el personal los cambios que se produzcan en la Poltica, la
implementacin de la suscripcin de los Compromisos de Confidencialidad
(entre otros) y las tareas de capacitacin continua en materia de seguridad
Ing. Pablo Romanos
GESI C1/14
Ejemplo de Asignacin de Responsabilidades en una Organizacin
Comit Ejecutivo de la Seguridad de la Informacin.
Comit de Seguridad de la Informacin.
Direccin de IT.
- rea de Seguridad de la Informacin
- Area de IT.
- rea de Operaciones.
- rea de Planificacin y Desarrollo.
Auditoria de Seguridad (interna o externa).

Asesora Jurdica (Legales).
Recursos Humanos
Seguridad Fsica.
Ing. Pablo Romanos
GESI C1/15
Funciones de los Comit de Seguridad en una Organizacin
Comit Ejecutivo de Seguridad de la

Informacin
Direcciones Corporativas.
Responsable Sistemas Informacin.
Auditoria de Seguridad.
Asesora Jurdica.
Promover los proyectos de Seguridad.
Aprobar la Poltica de Seguridad.
Definir la estructura organizativa de Seguridad.
Definir la estrategia a seguir en el mbito de la Seguridad.
Definir la delimitacin de responsabilidades.
Comit de Seguridad de la
Informacin
Departamento de Seguridad.
rea de Sistemas.
rea Planificacin y Desarrollo.
Auditoria de Seguridad.
Asesora Jurdica.
Coordinar todos los grupos internos con responsabilidades sobre la

seguridad de la informacin.
Coordinar los proyectos de mejora o cambio en los Sistemas de Seguridad.
Colaborar en la definicin y refinamiento de los procedimientos para la

identificacin de activos de informacin y su clasificacin.
Revisar propuestas para mejorar o modificar la infraestructura de los

Sistemas de Informacin.
Revisar los Planes de Contingencias.
Colaborar en la seleccin e instalacin de herramientas automticas que

permitan monitorizar o asegurar el cumplimiento de las polticas y estndares
de seguridad de la organizacin.
Ing. Pablo Romanos
GESI C1/16
Principales Funciones de Seguridad en la Direccin de IT
Area de Seguridad de la Informacin
Responsable de Seguridad.
Consultor de Seguridad.
Responsable Planes de Contingencia.
Especialista en Documentacin.
Custodia y actualizacin de la Poltica de Seguridad.
Estndares de Seguridad global.
Consultora de Seguridad.
Documentacin de Seguridad.
Planes de Contingencias.
Coordinar la resolucin de incidentes de Seguridad.
Coordinar los planes de mejora de Seguridad.
Mantener el cuadro de mando de Seguridad.
Llevar un control interno del cumplimiento de la Poltica.
Control de Accesos (Revisin de Logs, ACLs, Requerimientos de Acceso,

Privilegios...).
Verificaciones para comprobar la vigencia de las medidas adoptadas de

seguridad de la informacin.
Consultora tcnica para integrar o implantar en produccin sistemas que

mejoren los niveles de la seguridad de la informacin.
Asistencia tcnica de diseo, instalacin, operacin, servicio y mantenimiento

sobre mecanismos de seguridad de la informacin.
Investigacin y mantenimiento actualizado sobre las principales amenazas

que puedan impactar sobre los sistemas de informacin de la Organizacin
(infecciones de virus, ataques de denegacin de servicio, intrusiones de
hackers, etc.).
Administracin de Sistemas y Redes.
rea de IT
Responsable de Sistemas.
Ingeniero de Seguridad.
Administrador de Sistemas.
Administrador de Red.
Operador.
Ing. Pablo Romanos
GESI C1/17
Funciones Externas a la Direccin de IT
Desarrollar programas de auditoria de cumplimiento de la Poltica de seguridad

que ha sido aprobada.
Desarrollar programas de auditoria contemplando la totalidad de los riesgos de

negocio a los que la Organizacin est sometida.
Evaluar el grado de cumplimiento en las operaciones de la Organizacin con

requerimientos externos, como acuerdos contractuales, leyes y regulaciones.
Gestionar el proceso de aceptacin de riesgo, all donde los Directores de

Unidades o Departamentos hayan aprobado o apoyado que una situacin
particular est fuera de la Poltica de la Organizacin.
Auditoria
Unidad Auditora
Asesoria Juridica
Responsable Legal de
Seguridad
Colaborar con el Responsable de Seguridad de la Informacin en la creacin y

evolucin del sistema de clasificacin de la informacin.
Informar a la Direccin sobre sus responsabilidades legales y su exposicin a

denuncias o acusaciones bajo las leyes.
Revisar y evaluar nuevas legislaciones y regulaciones.
Har recomendaciones para prevenir que la Organizacin asuma riesgos excesivos

como resultado del uso de nuevas tecnologas.
Identificar y especificar cmo la Direccin puede preservar y proteger los derechos

de propiedad intelectual de la organizacin
Ing. Pablo Romanos
GESI C1/18
Caso de Estudio 1
Comit de Direccin
Comit Ejecutivo de Seguridad

de la Informacin
Comit Corporativo de
- Comite Central de Seguridad
- Comite Central de Seguridad
- Ppales Dptos y Lneas de Negocio
- Coordinadores de Seguridad de
Filiales y Centros
Seguridad
-Define
Auditora
Asesora Jurdica
Auditora de
Seguridad
-Audita
Direccion de SSII
Tesorera, Finanzas
y Riesgos Corp.
Direccin de RRHH
Otros
Departamentos
Comit de Seguridad
de la Informacin
- Seguridad
- Auditora de Seg.
- Implantacin de Seg.
Planificacin e Innovacin
Proyectos
Gestin
Infraestructura Tecnolgica
Polo de Compras
Gestin de
Servicio
Secretaria
Implantacin
& Gestin de
la Seguridad
Gestin de la
Prod.
-Implanta
Soporte
Gest. Prod.
Define
Gestin
Archivos
Tecnolog.
y Soport.
Sistemas
Redes y
Comunic.
Infraestruct
. Distrib.
-Gestiona
-Gestiona
-Gestiona
Implanta
Gestiona
Infraest.
de Red
Audita
Modelo de Organizativo de la
Ing. Pablo Romanos
GESI C1/19
Caso de Estudio 2
Ing. Pablo Romanos
GESI C1/20
10
Caso de Estudio 3
Ing. Pablo Romanos
GESI C1/21
Caso de Estudio 4
CONSEJO DE ADMINISTRACIN
PRESIDENTE
ASESORA JURDICA
Comit de Seguridad de la
Informacin
+
Direcciones Corporativas
Responsable Legislacin de
Seguridad
DIRECCIONES CORPORATIVAS
TECNOLOGA Y
SISTEMAS
RECURSOS
HUMANOS
COMERCIAL
AUDITORA
Auditora de Seguridad
Audita
DEPARTAMENTO DE
SEGURIDAD DE LA
INFORMACIN
Define - Implanta
Implanta
Comit de
Seguridad de
la Informacin
PLANIFICACIN Y DESARROLLO DE
SISTEMAS
ESTRATEGIA Y
DESARROLLO
SUBDIRECCIN DE GESTIN
INFORMTICA
Gestiona
ECONOMICO
FINANCIERA
UNIDADES APOYO SUPERIOR

DIRECCIN
Comit Ejecutivo de
Ing. Pablo Romanos
GESI C1/22
11
Caso de Estudio 5
Ing. Pablo Romanos
GESI C1/23
Caso de Estudio 6
Ing. Pablo Romanos
GESI C1/24
12
Caso de Estudio 7
Comit Seguridad
Principales rea y Lneas de Negocio
Gerencia
General
Gerencia
Comercial
Comit Ejecutivo de Seguridad

de la Informacin
Gerencia de
Asuntos Jurdicos
AUDITA
TA
AN
PL
IM
Control de
Gestin
/G
TI
ES
A
ON
Gerencia de
RRHH
Gerencia de
Sistemas
DEFINE
Comit de Seguridad
de la Informacin
Comit Corporativo de Seguridad

de la Informacin
Resp. Seguridad de la Informacin Comit Seguridad

Resp. Auditoria
Coordinadores de Seguridad Filiales
Resp. Implantacin
Seguridad de la
Informacin
Subgerencia de
Sistemas
Funciones
Preventivas
Desarrollo
Normativo
IMPLANTA
IMPLANTA / GESTIONA
Planeamiento
Operaciones
Tecnologa
Atencin a
Usuarios
Desarrollo
Aplicaciones
IMPLANTA / GESTIONA
Aseguramiento
de la Calidad
Arquitectura y
Soporte Tec.
BBDD
Gestin
Proyectos
Microinformtica
Arquitectura
Respuesta
a Incidentes
Interfases
Gestin de
Proyectos
Soporte Tec.
Plataformas
Gestor de Clientes
Soporte Tcnico
Tecnologas
Mesa de Ayuda
AUDITA
Control
Interno
Tecnologa
Comunicaciones
y Difusin
Gestin de
Procesos y
Versiones
Gestor Filiales
Comunicaciones
Funciones
Correctivas
Testing
Ing. Pablo Romanos
GESI C1/25
ndice

Ing. Pablo Romanos
GESI C1/26
13
Proceso de Aprobacin en Instalaciones de Procesamiento de Informacin
Control 4:
Debe establecerse un proceso de autorizacin gerencial para

nuevas instalaciones de procesamiento de informacin.
Funciones a ser contempladas en el

proceso de autorizacin:
Las nuevas instalaciones deben ser
adecuadamente aprobadas por la gerencia
usuaria y por el gerente responsable del
mantenimiento del ambiente de seguridad local,
a fin de garantizar que se cumplen todas las
polticas y requerimientos de seguridad
pertinentes
Debe verificarse el hardware y software para
garantizar que son compatibles con los
componentes de otros sistemas
El uso de equipos personales de
procesamiento de informacin en el lugar de
trabajo (notebooks, PCs o dispositivos de
bolsillo) puede ocasionar nuevas
vulnerabilidades y en consecuencia debe ser
evaluado y autorizado
Ing. Pablo Romanos
GESI C1/27
ndice

Ing. Pablo Romanos
GESI C1/28
14
Control 5:
Los requisitos de confidencialidad y no divulgacin deben ser

identificados y revisados regularmente en los contratos.
Elementos considerados en acuerdos:

Tipo de informacin que se pretende proteger (Ej.:.
informacin confidencial)
Duracin del acuerdo, en especial aquellos casos en los
que la confidencialidad debiera mantenerse indefinidamente
Acciones a realizar una vez finalizado el acuerdo
Responsabilidades y acciones de las partes para evitar la
divulgacin no autorizada de informacin (ej:. need to know)
Propiedad de la informacin, secreto comercial y
propiedad intelectual, y como estos elementos se relacionan
con la proteccin de la confidencialidad de la informacin
Permisos de uso y derechos de acceso de las partes a la
informacin confidencial
Derecho a auditar y monitorear actividades relacionadas
con la confidencialidad de la informacin
Procesos de notificacin de divulgacin de informacin no
autorizada o prdida de la confidencialidad
Trminos a considerar para que la informacin sea
devuelta o destruida al finalizar el contrato
Acciones que deben ser tomadas en caso de
incumplimiento de acuerdos
Ing. Pablo Romanos
GESI C1/29
Ejemplo Acuerdo de Confidencialidad
DEBER DE SECRETO PROFESIONAL
El empleado deber considerar como secreto profesional a toda informacin secreta no
difundible a terceros, relativa a listas de clientes / contactos / afiliados, necesidades y datos de
los mismos; estructura, organizacin, datos contables, fiscales o financieros; datos personales de
los empleados, datos salariales o contractuales de empleados, en especial no se podrn
comunicar a terceros; contenido y estructura de bases de datos de la <nombre organizacin> o
de clientes / contactos / afiliados de sta; tcnicas de software o hardware, procedimientos y
soluciones tcnicas aplicadas por la <nombre organizacin>; programas de software o
DESARROLLOS Y DESCUBRIMIENTOS
adaptaciones de programas informticos o de afiliados o prestadores/proveedores de la misma,
Cualquier desarrollo, descubrimiento, metodologa, mtodo, diseo, mejora, idea, escrito o
as como proyectos tcnicos, y en general se considerar secreta toda informacin tcnica o
cdigo, sea o no objeto de registro, relacionado de algn modo con los negocios o posibles
financiera de <nombre organizacin>, de clientes/afiliados de <nombre organizacin> o de
negocios
de colaboradoras
<nombre organizacin>
que sean
concebidossiempre
o realizados
el empleado
durante
empresas
o prestadoras
/ proveedoras,
que nopor
haya
sido expresamente
USO
MEDIOS
la DE
vigencia
delINFORMATICOS
contrato, por s slo o en colaboracin con otras personas, pasarn
autorizada
difusin a de
terceros.
El empleado
empresarioque
acuerdan
que la presente
Queda
prohibida su
la realizacin
copias dey laelinformacin
se encuentre
una
inmediatamente
a pertenecer
acualesquiera
<nombre organizacin>.
El empleado
est
obligado aenrevelar
obligacin
permanecer
vigente
aunque asignado
hubiese al
finalizado
la as
relacin
laboral.
La presente
computadora
de
escritorio
o
porttil
(notebook)
empleado,
como
la
de
informacin
inmediatamente a <nombre organizacin> todos sus desarrollos, metodologas, diseos o ideas,
obligacin
no en
regir
en soportes
el supuesto
queellosempleado
datos se pueda
soliciten
por la
autoridad
judicial
con las
quey se
encuentre
a lade
que
tener
salvo
que sea
estar
obligado
aotros
elaborar
y firmar
los
documentos necesarios
paraacceso,
registrar
o patentar
los
debidas garantas
procesales,
aunque
en este
caso se no
deber
comunicar aa <nombre
expresamente
autorizadoa
para
estas
actividades.
El empleado
podr
desarrollos
realizados
nombre
de <nombre
organizacin>,
sin perjuicio
de acceder
figurar comootros
autor
organizacin>
que
se est
requiriendo
el suministro
de los datos.
directorios
de
la
red
interna
de
<nombre
organizacin>
distintos
a
los
que
se
le
hubiesen
asignado
de los mismos, de igual modo, tampoco podr poner en conocimiento de terceros lo desarrollado,
Al
finalizar
la
relacin
laboral
con
<nombre
organizacin>,
el
empleado
estar
obligado
a
para
ejercicio deprevia
sus funciones.
Asimismo,
el uso del
correo electrnico ser nicamente para
sinelautorizacin
al considerarse
informacin
secreta.
a <nombre
organizacin>
todos lospor
documentos
e informacin
le hubiesen
sido
fines devolver
profesionales
de <nombre
organizacin>,
lo que el citado
servicio que
no tendr
el carcter
PROTECCION
DE DATOS
entregados,
aspropiedad
comoPERSONALES
la documentacin
o trabajos que Queda
hubieseprohibido
elaboradoelen
el marco
de la
de privado,
siendo
de <nombre organizacin>.
acceso
mediante
El empleado
queda
obligado
al cumplimiento
deo lo
dispuesto
en la
legislacin vigente
en materia el
relacin
existente
(incluidas
las
agendas
listados
con
clientes
Internet a pginas Web de contenido ertico, chat, ociolas
y direcciones
cualesquieradeotras
que/ afiliados),
no sean
de Proteccin
deen
Datos
Personales
y dems normativa
la desarrolle,
en
especial ono
podr:
empleado
ningn
caso estar
a tenerque
copia
del material
entregado
elaborado
necesarias
para
el
desempeo
de autorizado
la labor profesional.
Queda
terminantemente
prohibido por
Hacer l
copias
documentos
con datos
tanto de una compaa cliente como de la
enalmacenamiento
el de
marco
de la relacin
laboral.personales,
cualquier
de informacin
o programas que no estn directamente relacionados
propia empresa, salvo que sea autorizado expresamente por la empresa propietaria de los
con la actividad profesional, tanto en la computadora de escritorio como en los servidores
documentos y que dichas copias sean para un uso legitimo; Acceder, intentar o permitir el acceso
corporativos. En caso de cese, el empleado deber devolver aquellos medios informticos que le
a documentos que contengan datos personales, salvo que sea autorizado expresamente por
hubiesen sido facilitados. <nombre organizacin> se reserva el derecho a comprobar, sin previo
<nombre organizacin> y dicho acceso sea para un fin legitimo; Hacer copias de documentos con
aviso, el cumplimiento de lo anteriormente acordado.
datos de carcter personal y conservarlas en su domicilio o cederlas a un tercero; Comunicar a
PROHIBICION DE COMPETENCIA DESLEAL
terceros las claves o medios de acceso a documentos, salvo que este autorizado expresamente y
El
empleado
no se sea
asociar
propietario, empleado, agente, consultor, oficial, socio,
dicha
comunicacin
para uncomo
fin legitimo.
directivo, o en cualquier otra categora con ninguna empresa que se halle envuelta en un
negocio que proporcione servicios o productos similares a los de la Sociedad o de cualquier
manera compita con la organizacin.
Ing. Pablo Romanos
GESI C1/30
15
ndice

Ing. Pablo Romanos
GESI C1/31
Contactos con Autoridades
Control 6:
Mantener contactos apropiados

con autoridades referentes.
Elementos a ser considerados dentro de

los procedimientos:
Especificar cundo y con qu cuerpo de autoridades
(seguridad privada, bomberos, equipos de supervisin tcnica)
se debe entrar en contacto
De qu forma los incidentes deben divulgarse de manera
oportuna, si se sospecha de violaciones a la legalidad vigente.
Si la organizacin si ha sufrido un ataque desde Internet, qu
acciones debe tomar contra la fuente de ataque (ej:. contactar
con terceros externos como son los ISP u operadores de
telecomunicaciones)
Identificar los contactos con:
rganos reguladores de la ley,
servicios de emergencia,
servicios de salud,
servicios de seguridad, ej:. cuerpos de bomberos
(relacionados con la continuidad del negocio)
proveedores de telecomunicaciones (relacionados con el
encaminamiento y la disponibilidad)
suministro de agua (relacionados con las instalaciones de
refrigeracin para los equipos)
suministro de electricidad
Ing. Pablo Romanos
GESI C1/32
16
ndice

Ing. Pablo Romanos
GESI C1/33
Contactos con Grupos de Inters Comn
Control 7:
Mantener contactos apropiados con grupos, asociaciones de

profesionales y foros especializados en seguridad de la informac.
El contacto con otros grupos de inters

comn permitir:
Mejorar el conocimiento sobre las buenas prcticas y
mantenerse actualizado con respecto a la informacin relevante
de seguridad
Garantizar que el ambiente de la seguridad de la informacin
se mantiene actual y completo
Recibir alertas tempranas, avisos y parches de nuevas
vulnerabilidades,
Acceder a consultas con especialistas en seguridad de la
informacin
Compartir e intercambiar informacin sobre nuevas
tecnologas, productos, amenazas, o vulnerabilidades
Proporcionar adecuados puntos de enlace cuando aparezcan
incidentes relacionados con la seguridad de la informacin
La cooperacin y coordinacin de asuntos de seguridad,

puede mejorarse compartiendo cierta informacin comn.
Dicha informacin sensible deber ser adecuadamente
protegida mediante el establecimiento de acuerdos que
identifiquen los requisitos de seguridad necesarios.
Ing. Pablo Romanos
GESI C1/34
17
ndice

Ing. Pablo Romanos
GESI C1/35
Revisin Independiente de la Seguridad
Control 8:
La gestin e implementacin de seguridad de la informacin, debe ser

revisada de forma independiente en intervalos planeados o cuando
ocurran cambios significativos de seguridad.
Elementos a ser considerados en el proceso de

revisin:
La direccin deber establecer una revisin
independiente para asegurar la conveniencia, suficiencia y
eficacia del enfoque de la organizacin al gestionar la
seguridad de informacin.
La revisin debe incluir los puntos evaluados y los
cambios necesarios para garantizar la seguridad,
incluyendo la poltica y los objetivos de control.
Auditor
Los resultados de la revisin deben registrarse y ser

informados a la direccin que inici la revisin. Los
resultados deben ser archivados.
La direccin deber establecer cules sern las acciones
correctivas, si la revisin identifica que la gestin e
implementacin no son adecuadas o no corresponden con
las directrices establecidas en la poltica de seguridad de la
organizacin.
Ing. Pablo Romanos
GESI C1/36
18
ndice

Ing. Pablo Romanos
GESI C1/37
Seguridad Frente al Acceso de Personal Externo
Objetivo 2:
Mantener la seguridad de la informacin y las

instalaciones de procesamiento de la organizacin,
cuando stas son accedidas, procesadas, comunicadas
con o gestionadas por personal externo.
La seguridad de la informacin y de las instalaciones de
procesamiento de la organizacin no debe ser restringida por
la introduccin de productos o servicios externos.
Cualquier acceso a las instalaciones de procesamiento de
informacin por parte de personal externo deber ser
controlado.
Cuando por motivos de negocio se requiera del acceso,
tratamiento o provisin de un producto por parte de personal
externo, se deber realizar un anlisis de riesgo a fin de
determinar los requisitos y controles de seguridad que son
necesarios. Dichos controles se debern convenir y definir en
un acuerdo con la parte externa.
Ing. Pablo Romanos
GESI C1/38
19
ndice

Ing. Pablo Romanos
GESI C1/39
Identificacin de Riesgos Relacionados con Accesos Externos
Control 1:
Debe identificarse el riesgo que implica el personal externo

a las instalaciones de informacin relacionadas con los
procesos de negocio, estableciendo los controles
necesarios antes de conceder el acceso.
Elementos a considerar en la identificacin de riesgos relacionados con accesos externos:

Las instalaciones de procesamiento de informacin que un externo requiere para acceder
El tipo de acceso que tendr a la informacin y a las instalaciones de procesamiento de informacin, ej.:
el acceso fsico, (oficinas, salas de computadoras, archivadores)
el acceso lgico, (bases de datos de la organizacin, sistemas de informacin)
conectividad de red entre la organizacin y la red del externo, conexiones permanentes, accesos remotos
si el acceso se realiza on-site u off-site
El valor y la sensibilidad de la informacin implicada, y de su criticidad para operaciones de negocio
Los controles necesarios para proteger informacin que, no debe estar accesible al personal externo
El personal externo implicado en el manejo de la informacin de la organizacin
Cmo el personal autorizado a tener acceso puede ser identificado, el chequeo de la autorizacin, y con qu
frecuencia necesita ser confirmada dicha autorizacin
Los diferentes medios y controles empleados por el externo al almacenar, procesar, comunicar, compartir e
intercambiar informacin
El impacto de no estar disponible el acceso cuando el externo lo necesite, o si ste recibe informacin inexacta o
confusa
En caso de producirse un incidente de seguridad, cules son las prcticas y procedimientos para tratar dichos
incidentes y los potenciales daos, y cules son los trminos y condiciones para continuar con el acceso del externo
Los requisitos legales y regulatorios y otras obligaciones contractuales pertinentes al externo
Cmo los intereses de los accionistas pueden ser afectados por los contratos
Ing. Pablo Romanos
GESI C1/40
20
Identificacin de Riesgos Relacionados con Accesos Externos
<nombre y apellido del empleado contratado> declaro:
Que todo tipo de datos o informacin a la que pudiera tener acceso con ocasin de la ejecucin y desarrollo de los
servicios prestados en el marco del contrato o acuerdo firmado entre <nombre y apellido del empleado contratado> y
<nombre organizacin> con independencia del medio en el que la misma se documente, ya sea papel o soporte
informtico, as como aquella informacin que me pudiera ser comunicada verbalmente, es propiedad exclusiva de
<nombre organizacin>.
Salvo autorizacin previa y por escrito de <nombre organizacin>, me comprometo a:
No reproducir, bajo ningn medio, la informacin recibida.
Utilizar la misma nicamente para el desarrollo de las funciones o actividades que tengo encomendadas o deriven
directamente de la ejecucin de los servicios del mencionado contrato o acuerdo, y no divulgar la misma a terceros,
sean stos, personas fsicas o jurdicas, e independientemente de que su actividad no sea coincidente o confluyente con
la actividad desarrollada por <nombre organizacin>.
No utilizar la informacin o sistemas propiedad de <nombre organizacin> en beneficio propio o de terceros ajenos al
desarrollo de los servicios enmarcados en el contrato o acuerdo con <nombre empresa de servicios>.
Tratar y proteger la informacin recibida, o aquella a la que tenga acceso en virtud de la prestacin de mis servicios,
con la debida diligencia, para evitar tanto su prdida como su divulgacin.
Las anteriores obligaciones subsistirn aun despus de finalizada la ejecucin del contrato o acuerdo y extinguida mi
participacin en el mismo.
Asimismo manifiesto haber sido informado de que los datos personales que se facilitaron al inicio o durante la relacin
de colaboracin suscrita con <nombre empresa de servicios>, forman parte de un archivo titularidad de <nombre
organizacin> con domicilio en <domicilio legal de la organizacin> y sern tratados con la finalidad del mantenimiento
de dicha relacin y de que en cualquier momento puedo ejercer mis derechos como afectado de los citados datos.
De igual manera manifiesto haber sido informado que mis datos de nombre, apellido y direccin de correo electrnico,
sern cedidos a todas las empresas del grupo <nombre organizacin> (las mismas se encuentran en la Intranet de
<nombre organizacin>) con la finalidad de homogeneizar las plataformas informticas globales de la organizacin.
Por ltimo conozco y acepto que el incumplimiento de las obligaciones anteriormente descritas, supondr el derecho de
<nombre organizacin> a resarcirse de los daos y perjuicios que le sean ocasionados, sin perjuicio de las acciones que
en derecho correspondan.
Ing. Pablo Romanos
GESI C1/41
ndice

Ing. Pablo Romanos
GESI C1/42
21
Requisitos de Seguridad en el Trato con Clientes
Control 2:
Deben identificarse los requisitos de seguridad antes de otorgar

los accesos a la informacin o a los activos de la organizacin.
Trminos a considerar antes de otorgar acceso a los clientes :

La proteccin de los activos, incluyendo:
procedimientos para proteger los activos (informacin, software, y manejo de vulnerabilidades
conocidas)
procedimientos para determinar si algn activo ha sido comprometido (ej.: prdida o modificacin de
datos)
la integridad
las restricciones de copia y revelacin de informacin
La descripcin detallada del producto o el servicio que ser provisto
Las razones, requisitos, y beneficios del acceso por parte del cliente
La poltica del control del acceso, cubriendo:
mtodos de acceso permitidos, y el control y uso de identificadores nicos (ID + contrasea)
el proceso de autorizacin para otorgar accesos y privilegios
la declaracin formal de que: todo acceso que no est explcitamente permitido, estar prohibido
un proceso para revocar los derechos del acceso o interrumpir la conexin entre sistemas
Los acuerdos para el reporte, notificacin e investigacin sobre inexactitudes en la informacin (ej.: detalles
personales), e incidentes o infracciones de seguridad de la informacin
La descripcin de cada servicio que deber estar disponible
Los acuerdos de nivel del servicio y los niveles inaceptables del mismo
El derecho a monitorear y revocar en todo momento, actividades relacionada con los activos de la
organizacin
Las obligaciones respectivas de la organizacin y el cliente
Las responsabilidades con respecto a asuntos legales
Los derechos de propiedad intelectual y derecho de autor, as como la proteccin de cualquier trabajo en
colaboracin entre ambas partes
Organizacin
Ing. Pablo Romanos
Cliente
GESI C1/43
Requisitos de Seguridad en el Trato con Clientes
CONVENIO DE CONFIDENCIALIDAD Y NO DIVULGACIN CON CLIENTES
Por medio de la presente, las partes EMPRESA S.A. y EL CLIENTE, DIRECCION, Comuna, ciudad, ( nombre comercial), firman este acuerdo
de confidencialidad y no divulgacin, con el fin de que representantes de EMPRESA S.A. y CLIENTE, intercambien correspondencia, prototipos
y cualquier otro tipo de informacin mutua, relacionada a los productos y servicios de ambas partes. Cada parte divulgar importante
informacin a su contraparte. Adems, cualquiera de las partes puede enviar muestras y prototipos confidenciales a la contraparte, para sus
pruebas y anlisis. La parte que ha enviado el/los prototipos o muestras, no garantiza la disponibilidad comercial y mantiene el derecho absoluto
sobre ellos. En relacin a las muestras, prototipos e informacin intercambiada entre las partes, se acuerda lo siguiente:
1.La informacin se considera informacin confidencial para el receptor, si es presentada y/o identificada por su contraparte como
confidencial por medio escrito, oral u otro medio de comunicacin.
2.Las muestras y/o prototipos confidenciales tambin incluyen toda la informacin y conocimiento obtenido mediante la inspeccin y
pruebas de ellos.
3.La parte receptora de las muestras y/o prototipos confidenciales no puede analizar, vender, exponer, mostrar ni divulgar esos
productos, ni productos derivados de ellos, ni informacin sobre resultados de experimentos ni pruebas efectuadas sobre ellos, a
terceras personas sin el previo consentimiento de la contraparte, en un plazo de 3 aos.
4.La parte receptora de las muestras y/o prototipos no puede hacer uso ni divulgar la informacin confidencial a terceras personas por
un perodo de tres (3) aos desde la recepcin de esa informacin; sin embargo, esta obligacin no aplica en caso que la informacin:
a.Sea informacin pblica o se haga pblica sin que la parte receptora de la informacin sea responsable;
b.Exista evidencia de que esa informacin ya fuera conocida por la parte receptora previo a este acuerdo;
c.Se haga conocida la informacin por medio de una tercera parte con derecho a divulgarla;
d.La parte receptora se vea obligada a divulgarla producto de alguna ley, regulacin u orden gubernamental para hacerlo.
5.Nada en este acuerdo puede ser interpretado como garanta sobre derechos o licencias sobre patentes, diseos o marcas de la
contraparte.
6.Las patentes que sean aplicadas por alguna de las partes como resultado del trabajo individual de esa parte, sern de su exclusiva
propiedad. Patentes presentadas por alguna de las partes como resultado del trabajo en conjunto producto de este acuerdo, sern de
propiedad de ambas partes.
7.Todos los documentos, borradores, diseos, correos, productos, muestras y prototipos intercambiados, son de propiedad de la parte
que los ha enviado a su contraparte y debern ser devueltos o destruidos, junto a todas sus copias, si as fuera solicitado.
8.Nada en este acuerdo ser interpretado como prohibicin de las partes a divulgar la informacin confidencial a subordinados,
empleados o trabajadores dentro de la empresa, considerando que todos los receptores quedan regidos por los trminos de este
acuerdo.
9.Este acuerdo expira en tres (3) aos, desde la fecha de su firma, a menos que se d por expirado con anterioridad por el
consentimiento escrito de ambas partes. La expiracin de este acuerdo no afectan las obligaciones de los puntos 3 y 4.
Ing. Pablo Romanos
GESI C1/44
22
ndice

Ing. Pablo Romanos
GESI C1/45
Requisitos de Seguridad en Contratos con Terceros (I)
Control 3:
Los acuerdos con terceros, relacionados con el acceso, procesamiento, comunicacin y

manejo de la informacin o de las instalaciones de procesamiento de informacin de la
organizacin, deben cubrir los principales aspectos de la seguridad.
Los acuerdos deben asegurar que en el intercambio no existan imprevistos,

cubriendo siempre los intereses de la organizacin.
Elementos a tener en cuenta en la identificacin de los requisitos relacionados
con los acuerdos de terceros:
Intercambio
La poltica de la seguridad de la informacin

Los controles para asegurar la proteccin de los activos, incluyendo:
los procedimientos para proteger los activos de la organizacin, incluyendo la informacin, el
software y el hardware
los controles de proteccin y mecanismos fsicos requeridos
los controles para asegurar la proteccin contra software malicioso
los procedimientos para determinar si algn activo ha sido comprometido (ej.: prdida o
modificacin de datos, software o hardware
los controles a considerar cuando la informacin o los activos deben ser devueltos o destruidos
al finalizar el contrato o al finalizar un hito especifico identificado en el acuerdo
la confidencialidad, la integridad, la disponibilidad, y cualquier otra propiedad relacionada con los
activos
las restricciones de copia y revelacin de informacin, y los acuerdos de confidencialidad que se
utilizan
La formacin de usuarios y administradores en mtodos, procedimientos y seguridad
Que los usuarios conozcan sus responsabilidades en materia de seguridad de la informacin
Disposicin que contemple la transferencia de personal, si fuese necesario
Definicin de responsabilidades en la instalacin y mantenimiento de hardware y software
La estructura definida y el formato acordado de los documentos entregables
Un proceso claro y detallado de la gestin de cambios
Ing. Pablo Romanos
GESI C1/46
23
Requisitos de Seguridad en Contratos con Terceros (II)
Control 3:
Los acuerdos con terceros, relacionados con el acceso, procesamiento, comunicacin

y manejo de la informacin o de las instalaciones de procesamiento de informacin de
la organizacin, deben cubrir los principales aspectos de la seguridad.
La poltica del control del acceso, cubriendo:

las razones, requisitos, y beneficios del acceso que hacen necesario el acceso del cliente
mtodos de acceso permitidos, y el control y uso de identificadores nicos (ID + contrasea)
el proceso de autorizacin para otorgar accesos y privilegios
un requerimiento para mantener actualizada la lista de individuos autorizados, servicios a los que accedern, derechos y privilegios
la declaracin formal de que: todo acceso que no est explcitamente permitido, estar prohibido
un proceso para revocar los derechos del acceso o interrumpir la conexin entre sistemas
Los acuerdos para el reporte, notificacin e investigacin de incidentes o infracciones de seguridad de la informacin, as como las
violaciones a los requerimientos establecidos en el acuerdo
La descripcin del producto / servicio que ser provisto y la informacin que deber estar disponible junto a su clasificacin en seguridad
Los acuerdos de nivel del servicio y los niveles inaceptables del mismo
La definicin de criterios de desempeo verificables, su monitoreo y presentacin de informes
El derecho a monitorear y revocar (impedir), actividades relacionada con los activos de la organizacin
Acuerdo
El derecho a auditar responsabilidades contractuales o a contratar a un tercero para su realizacin
El establecimiento de un proceso gradual para la resolucin de problemas
Los requisitos de la continuidad del servicio, incluyendo medidas para la disponibilidad y la confiabilidad,
de acuerdo con las prioridades del negocio de la organizacin
Las obligaciones respectivas acordadas por ambas partes
Las responsabilidades con respecto a asuntos legales y como asegurar que estos se cumplan
(ej.: legislacin de proteccin de datos, entre organizaciones de diferentes pases)
Los derechos de propiedad intelectual y derecho de autor, as como la proteccin de cualquier trabajo en
colaboracin entre ambas partes
La relacin entre proveedores y subcontratistas, y los controles de seguridad necesarios
Las condiciones de renegociacin / finalizacin del acuerdo, cubriendo
un plan de contingencia en caso de que el tercero finalice anticipadamente el acuerdo
la renegociacin del acuerdo si los requisitos de seguridad de la organizacin cambian
la lista de activos actualizada, licencias, acuerdos y los derechos relacionados con estos
Ing. Pablo Romanos
GESI C1/47
Requisitos
de seguridaden
en contratos con
Gestin
Estratgica
terceros
CONVENIO DE CONFIDENCIALIDAD PARA PROVEEDORES
Este CONVENIO DE CONFIDENCIALIDAD de fecha ____ de __________de 20XX, se celebra entre <nombre
organizacin> y ____________________ (en adelante EL PROVEEDOR):
POR CUANTO, <nombre organizacin> ha encargado a EL PROVEEDOR, la ejecucin de Servicios de
________________________, y teniendo presente que <nombre organizacin> posee derechos sobre
determinada informacin que no es de dominio pblico, relativa a sus negocios y que incluye, sin carcter
taxativo, informacin financiera, tcnica, y comercial, incluyendo la que se encuentra en forma electrnica al
igual que cualquier tipo de desarrollo del cual <nombre organizacin> sea propietario.
TENIENDO EN CUENTA que EL PROVEEDOR durante el desarrollo de sus actividades, eventualmente puede
tener acceso a la Informacin, EN CONSECUENCIA, en consideracin de lo expuesto, <nombre organizacin>
y EL PROVEEDOR acuerdan lo siguiente:
Toda la informacin que <nombre organizacin> provea a EL PROVEEDOR, y toda la informacin que EL
PROVEEDOR provea a <nombre organizacin> en su gestin de asesoramiento, se recibir y mantendr en
carcter de CONFIDENCIAL de acuerdo con lo dispuesto en el presente. Ambas partes acuerdan asimismo que
todas las operaciones entre <nombre organizacin> y EL PROVEEDOR, as como toda conversacin
relacionada, se considerarn Informacin a los fines de este Convenio.
Ambas partes mantendrn la Informacin bajo confidencialidad y no podrn, sin el previo consentimiento escrito
de la otra: distribuir o revelar a terceros, la Informacin que le sea suministrada de conformidad con el presente (
salvo a sus funcionarios y empleados, segn se indica ms adelante: brindar acceso a terceros a la Informacin
que le sea revelada conforme al presente; ni utilizar Informacin que reciba en virtud de este Convenio para
cualquier otro fin distinto del Uso Permitido, EL PROVEEDOR acuerda transmitir la Informacin que le sea
suministrada bajo EL presente nicamente a los funcionarios y empleados que deban tener conocimiento de la
misma, al slo efecto del Uso Permitido, y que hayan aceptado obligarse por las disposiciones de este
Convenio.
Para el caso de que se le exija a EL PROVEEDOR revelar la informacin en un procedimiento judicial o
administrativo, deber notificarlo inmediatamente a <nombre organizacin> para que sta pueda iniciar las
acciones legales que estime necesarias a fin de proteger sus derechos.
(...)
EL PROVEEDOR debe comprometerse a:
Minimizar la rotacin de su personal asignado a <nombre organizacin>.
No transferir al personal asignado a otras cuentas de clientes que sean competencia de <nombre organizacin>
durante la ejecucin del proyecto.
EL PROVEEDOR es responsable del cumplimiento del presente contrato de confidencialidad por parte del
personal asignado a <nombre organizacin>.
(...)
EN FE DE LO CUAL, ambas partes firman este Convenio a travs de sus funcionarios debidamente autorizados,
en la fecha indicada en el encabezamiento.
Ing. Pablo Romanos
GESI C1/48
24
Muchas Gracias!
Ing. Pablo Romanos
GESI C1/49
25

Organizacion de La Seguridad Informatica

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Organizacion de La Seguridad Informatica

Hochgeladen von

Copyright:

Verfügbare Formate

Gestin Estratgica en

Cdigo de Buenas Prcticas

Ing. Pablo Romanos

Seguridad frente al acceso de personal externo

Ing. Pablo Romanos

Administrar la seguridad de la informacin dentro de la

Mantener contactos con especialistas externos en materia de

Seguridad frente al acceso de personal externo

Ing. Pablo Romanos

Un comit gerencial debera garantizar una clara direccin y un apoyo

El comit gerencial de seguridad debera:

Ing. Pablo Romanos

Seguridad frente al acceso de personal externo

Ing. Pablo Romanos

Seguridad frente al acceso de personal externo

Ing. Pablo Romanos

Las responsabilidades en materia de seguridad de la informacin

Definir responsabilidades sobre los recursos ,

Propietario: Responsable de la gestin y utilizacin de

Define: Definicin de las normas, tecnologas, estrategias y

Ing. Pablo Romanos

Coordinar las acciones del Comit de

Cubrir los requerimientos de

Responsable del Area

Responsable del Area Legal

Unidad de Auditora Interna

Notificar a todo el personal que ingresa de sus obligaciones respecto del

Ing. Pablo Romanos

Auditoria de Seguridad (interna o externa).

Comit Ejecutivo de Seguridad de la

Promover los proyectos de Seguridad.

Aprobar la Poltica de Seguridad.

Definir la estructura organizativa de Seguridad.

Definir la estrategia a seguir en el mbito de la Seguridad.

Definir la delimitacin de responsabilidades.

Coordinar todos los grupos internos con responsabilidades sobre la

Coordinar los proyectos de mejora o cambio en los Sistemas de Seguridad.

Colaborar en la definicin y refinamiento de los procedimientos para la

Revisar propuestas para mejorar o modificar la infraestructura de los

Revisar los Planes de Contingencias.

Colaborar en la seleccin e instalacin de herramientas automticas que

Ing. Pablo Romanos

Area de Seguridad de la Informacin

Custodia y actualizacin de la Poltica de Seguridad.

Estndares de Seguridad global.

Coordinar la resolucin de incidentes de Seguridad.

Coordinar los planes de mejora de Seguridad.

Mantener el cuadro de mando de Seguridad.

Llevar un control interno del cumplimiento de la Poltica.

Control de Accesos (Revisin de Logs, ACLs, Requerimientos de Acceso,

Verificaciones para comprobar la vigencia de las medidas adoptadas de

Consultora tcnica para integrar o implantar en produccin sistemas que

Asistencia tcnica de diseo, instalacin, operacin, servicio y mantenimiento

Investigacin y mantenimiento actualizado sobre las principales amenazas

Administracin de Sistemas y Redes.

Ing. Pablo Romanos

Desarrollar programas de auditoria de cumplimiento de la Poltica de seguridad

Desarrollar programas de auditoria contemplando la totalidad de los riesgos de

Evaluar el grado de cumplimiento en las operaciones de la Organizacin con

Gestionar el proceso de aceptacin de riesgo, all donde los Directores de

Colaborar con el Responsable de Seguridad de la Informacin en la creacin y

Informar a la Direccin sobre sus responsabilidades legales y su exposicin a

Revisar y evaluar nuevas legislaciones y regulaciones.