Beruflich Dokumente
Kultur Dokumente
Seguridad de la Informacin
ISO 27002
GESI C1/1
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/2
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Infraestructura de Seguridad
Objetivo 1:
GESI C1/3
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/4
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Comit Gerencial sobre Seguridad
Control 1:
GESI C1/5
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/6
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Coordinacin de Seguridad
actividades de la seguridad de la informacin deberan ser
Control 2: Las
coordinadas por representantes de las diferentes reas de la
organizacin mediante la asignacin de roles funcionales.
La coordinacin de seguridad afectar a directores,
usuarios, administradores, diseadores, auditores,
personal de vigilancia, as como especialistas de las
reas seguros, legales y tecnologa.
Las funciones deberan ser:
asegurar que las actividades de seguridad son ejecutadas en conformidad
con la poltica de seguridad de la informacin
identificar la forma en que son manejadas las no conformidades
aprobar las metodologas y procesos de seguridad de la informacin, ej.:
anlisis de riesgos, clasificacin de la informacin
identificar amenazas, informacin expuesta e instalaciones de procesamiento
bajo amenaza
estimar la suficiencia de los controles de seguridad y coordinar su
implementacin
garantizar que la seguridad forma parte del proceso de planificacin de la
informacin
promover de forma efectiva la educacin, entrenamiento y concientizacin en
seguridad de la informacin a travs de toda la organizacin
evaluar la informacin obtenida del monitoreo e investigar incidentes de
seguridad recomendando acciones en respuesta a la ocurrencia de los mismos
Ing. Pablo Romanos
GESI C1/7
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/8
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades
Control 3:
GESI C1/9
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades
Actividades
Define
Solicita
Implanta
Usuario
Usa
Gestiona
Actores
Propietario
Implanta
Autoriza y
Define
Audita
Custodio
Ing. Pablo Romanos
GESI C1/10
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades
Actores:
Actividades:
GESI C1/11
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades
mbito Seguridad
mbito Negocio
Ing. Pablo Romanos
GESI C1/12
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades
Responsable de Seguridad
de la Informacin
Operaciones
y Tecnologa
Operaciones
y Tecnologa
Control de
Gestin
mbito de la
Seguridad
mbito del
Negocio
de la
Organizacin
Propietario
Propietario Delegado
Referente
(rea Usuaria)
Admin de
Puestos
Custodio
Sector / Plataforma
Afectada
GESI C1/13
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades en una Organizacin
Poltica de Seguridad de la Informacin
Actores
Revisar y proponer a la mxima autoridad para su
aprobacin la Poltica de Seguridad de la
Informacin y las funciones generales en la materia;
Monitorear cambios significativos en los riesgos
que afectan a los recursos
Supervisar la investigacin y monitoreo de los
incidentes de seguridad;
Promover la formacin, difusin y apoyo a la
seguridad de la informacin;
Coordinar el proceso de administracin de la
continuidad de las actividades
Definicin y supervisin de todos los
aspectos inherentes a los temas tratados en
la Poltica de Seguridad
Clasificar la informacin de acuerdo con el
grado de sensibilidad y criticidad de la misma;
Documentar y mantener actualizada la
clasificacin efectuada;
Definir qu usuarios debern tener permisos
de acceso a la informacin de acuerdo a sus
funciones y competencia
Practicar auditoras peridicas sobre los
sistemas y actividades vinculadas con la
tecnologa de informacin, a fin de verificar el
cumplimiento de la Poltica de Seguridad
Conocer, dar a conocer, cumplir y hacer cumplir
la Poltica de Seguridad de la Informacin vigente
Comit de Seguridad
de la Informacin
Coordinador
Responsable de Seguridad
de la Informacin
Propietarios de la
Informacin
Area de RRHH
Usuarios
Verificar el cumplimiento de la
Poltica en la gestin de todos los
contratos, acuerdos u otra
documentacin de la Organizacin
con sus empleados y con terceros;
Asesorar en materia legal a la
Organizacin, en lo que se refiere a
la seguridad de la informacin
GESI C1/14
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Ejemplo de Asignacin de Responsabilidades en una Organizacin
Comit Ejecutivo de la Seguridad de la Informacin.
Comit de Seguridad de la Informacin.
Direccin de IT.
- rea de Seguridad de la Informacin
- Area de IT.
- rea de Operaciones.
- rea de Planificacin y Desarrollo.
GESI C1/15
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Funciones de los Comit de Seguridad en una Organizacin
Direcciones Corporativas.
Responsable Sistemas Informacin.
Auditoria de Seguridad.
Asesora Jurdica.
Comit de Seguridad de la
Informacin
Departamento de Seguridad.
rea de Sistemas.
rea Planificacin y Desarrollo.
Auditoria de Seguridad.
Asesora Jurdica.
GESI C1/16
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Principales Funciones de Seguridad en la Direccin de IT
Responsable de Seguridad.
Consultor de Seguridad.
Responsable Planes de Contingencia.
Especialista en Documentacin.
Consultora de Seguridad.
Documentacin de Seguridad.
Planes de Contingencias.
rea de IT
Responsable de Sistemas.
Ingeniero de Seguridad.
Administrador de Sistemas.
Administrador de Red.
Operador.
GESI C1/17
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Funciones Externas a la Direccin de IT
Auditoria
Unidad Auditora
Asesoria Juridica
Responsable Legal de
Seguridad
GESI C1/18
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 1
Comit de Direccin
Comit Corporativo de
Seguridad de la Informacin
- Coordinadores de Seguridad de
Filiales y Centros
Seguridad
-Define
Auditora
Asesora Jurdica
Auditora de
Seguridad
-Audita
Direccion de SSII
Tesorera, Finanzas
y Riesgos Corp.
Direccin de RRHH
Otros
Departamentos
Comit de Seguridad
de la Informacin
- Seguridad
- Auditora de Seg.
- Implantacin de Seg.
Planificacin e Innovacin
Proyectos
Gestin
Infraestructura Tecnolgica
Polo de Compras
Gestin de
Servicio
Secretaria
Implantacin
& Gestin de
la Seguridad
Gestin de la
Prod.
-Implanta
Soporte
Gest. Prod.
Define
Gestin
Archivos
Tecnolog.
y Soport.
Sistemas
Redes y
Comunic.
Infraestruct
. Distrib.
-Gestiona
-Gestiona
-Gestiona
Implanta
Gestiona
Infraest.
de Red
Audita
Modelo de Organizativo de la
Seguridad de la Informacin
GESI C1/19
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 2
GESI C1/20
10
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 3
GESI C1/21
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 4
CONSEJO DE ADMINISTRACIN
PRESIDENTE
ASESORA JURDICA
Comit de Seguridad de la
Informacin
+
Direcciones Corporativas
Responsable Legislacin de
Seguridad
DIRECCIONES CORPORATIVAS
TECNOLOGA Y
SISTEMAS
RECURSOS
HUMANOS
COMERCIAL
AUDITORA
Auditora de Seguridad
Audita
DEPARTAMENTO DE
SEGURIDAD DE LA
INFORMACIN
Define - Implanta
Implanta
Comit de
Seguridad de
la Informacin
PLANIFICACIN Y DESARROLLO DE
SISTEMAS
ESTRATEGIA Y
DESARROLLO
SUBDIRECCIN DE GESTIN
INFORMTICA
Gestiona
ECONOMICO
FINANCIERA
Comit Ejecutivo de
Seguridad de la Informacin
GESI C1/22
11
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 5
GESI C1/23
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 6
GESI C1/24
12
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 7
Comit Seguridad
Principales rea y Lneas de Negocio
Gerencia
General
Gerencia
Comercial
Gerencia de
Asuntos Jurdicos
AUDITA
TA
AN
PL
IM
Control de
Gestin
/G
TI
ES
A
ON
Gerencia de
RRHH
Gerencia de
Sistemas
DEFINE
Comit de Seguridad
de la Informacin
Seguridad de la
Informacin
Subgerencia de
Sistemas
Funciones
Preventivas
Desarrollo
Normativo
IMPLANTA
IMPLANTA / GESTIONA
Planeamiento
Operaciones
Tecnologa
Atencin a
Usuarios
Desarrollo
Aplicaciones
IMPLANTA / GESTIONA
Aseguramiento
de la Calidad
Arquitectura y
Soporte Tec.
BBDD
Gestin
Proyectos
Microinformtica
Arquitectura
Respuesta
a Incidentes
Interfases
Gestin de
Proyectos
Soporte Tec.
Plataformas
Gestor de Clientes
Soporte Tcnico
Tecnologas
Mesa de Ayuda
AUDITA
Control
Interno
Tecnologa
Comunicaciones
y Difusin
Gestin de
Procesos y
Versiones
Gestor Filiales
Comunicaciones
Funciones
Correctivas
Testing
GESI C1/25
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/26
13
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Proceso de Aprobacin en Instalaciones de Procesamiento de Informacin
Control 4:
GESI C1/27
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/28
14
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades
Control 5:
GESI C1/29
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Ejemplo Acuerdo de Confidencialidad
DEBER DE SECRETO PROFESIONAL
El empleado deber considerar como secreto profesional a toda informacin secreta no
difundible a terceros, relativa a listas de clientes / contactos / afiliados, necesidades y datos de
los mismos; estructura, organizacin, datos contables, fiscales o financieros; datos personales de
los empleados, datos salariales o contractuales de empleados, en especial no se podrn
comunicar a terceros; contenido y estructura de bases de datos de la <nombre organizacin> o
de clientes / contactos / afiliados de sta; tcnicas de software o hardware, procedimientos y
soluciones tcnicas aplicadas por la <nombre organizacin>; programas de software o
DESARROLLOS Y DESCUBRIMIENTOS
adaptaciones de programas informticos o de afiliados o prestadores/proveedores de la misma,
Cualquier desarrollo, descubrimiento, metodologa, mtodo, diseo, mejora, idea, escrito o
as como proyectos tcnicos, y en general se considerar secreta toda informacin tcnica o
cdigo, sea o no objeto de registro, relacionado de algn modo con los negocios o posibles
financiera de <nombre organizacin>, de clientes/afiliados de <nombre organizacin> o de
negocios
de colaboradoras
<nombre organizacin>
que sean
concebidossiempre
o realizados
el empleado
durante
empresas
o prestadoras
/ proveedoras,
que nopor
haya
sido expresamente
USO
MEDIOS
la DE
vigencia
delINFORMATICOS
contrato, por s slo o en colaboracin con otras personas, pasarn
autorizada
difusin a de
terceros.
El empleado
empresarioque
acuerdan
que la presente
Queda
prohibida su
la realizacin
copias dey laelinformacin
se encuentre
una
inmediatamente
a pertenecer
acualesquiera
<nombre organizacin>.
El empleado
est
obligado aenrevelar
obligacin
permanecer
vigente
aunque asignado
hubiese al
finalizado
la as
relacin
laboral.
La presente
computadora
de
escritorio
o
porttil
(notebook)
empleado,
como
la
de
informacin
inmediatamente a <nombre organizacin> todos sus desarrollos, metodologas, diseos o ideas,
obligacin
no en
regir
en soportes
el supuesto
queellosempleado
datos se pueda
soliciten
por la
autoridad
judicial
con las
quey se
encuentre
a lade
que
tener
salvo
que sea
estar
obligado
aotros
elaborar
y firmar
los
documentos necesarios
paraacceso,
registrar
o patentar
los
debidas garantas
procesales,
aunque
en este
caso se no
deber
comunicar aa <nombre
expresamente
autorizadoa
para
estas
actividades.
El empleado
podr
desarrollos
realizados
nombre
de <nombre
organizacin>,
sin perjuicio
de acceder
figurar comootros
autor
organizacin>
que
se est
requiriendo
el suministro
de los datos.
directorios
de
la
red
interna
de
<nombre
organizacin>
distintos
a
los
que
se
le
hubiesen
asignado
de los mismos, de igual modo, tampoco podr poner en conocimiento de terceros lo desarrollado,
Al
finalizar
la
relacin
laboral
con
<nombre
organizacin>,
el
empleado
estar
obligado
a
para
ejercicio deprevia
sus funciones.
Asimismo,
el uso del
correo electrnico ser nicamente para
sinelautorizacin
al considerarse
informacin
secreta.
a <nombre
organizacin>
todos lospor
documentos
e informacin
le hubiesen
sido
fines devolver
profesionales
de <nombre
organizacin>,
lo que el citado
servicio que
no tendr
el carcter
PROTECCION
DE DATOS
entregados,
aspropiedad
comoPERSONALES
la documentacin
o trabajos que Queda
hubieseprohibido
elaboradoelen
el marco
de la
de privado,
siendo
de <nombre organizacin>.
acceso
mediante
El empleado
queda
obligado
al cumplimiento
deo lo
dispuesto
en la
legislacin vigente
en materia el
relacin
existente
(incluidas
las
agendas
listados
con
clientes
Internet a pginas Web de contenido ertico, chat, ociolas
y direcciones
cualesquieradeotras
que/ afiliados),
no sean
de Proteccin
deen
Datos
Personales
y dems normativa
la desarrolle,
en
especial ono
podr:
empleado
ningn
caso estar
a tenerque
copia
del material
entregado
elaborado
necesarias
para
el
desempeo
de autorizado
la labor profesional.
Queda
terminantemente
prohibido por
Hacer l
copias
documentos
con datos
tanto de una compaa cliente como de la
enalmacenamiento
el de
marco
de la relacin
laboral.personales,
cualquier
de informacin
o programas que no estn directamente relacionados
propia empresa, salvo que sea autorizado expresamente por la empresa propietaria de los
con la actividad profesional, tanto en la computadora de escritorio como en los servidores
documentos y que dichas copias sean para un uso legitimo; Acceder, intentar o permitir el acceso
corporativos. En caso de cese, el empleado deber devolver aquellos medios informticos que le
a documentos que contengan datos personales, salvo que sea autorizado expresamente por
hubiesen sido facilitados. <nombre organizacin> se reserva el derecho a comprobar, sin previo
<nombre organizacin> y dicho acceso sea para un fin legitimo; Hacer copias de documentos con
aviso, el cumplimiento de lo anteriormente acordado.
datos de carcter personal y conservarlas en su domicilio o cederlas a un tercero; Comunicar a
PROHIBICION DE COMPETENCIA DESLEAL
terceros las claves o medios de acceso a documentos, salvo que este autorizado expresamente y
El
empleado
no se sea
asociar
propietario, empleado, agente, consultor, oficial, socio,
dicha
comunicacin
para uncomo
fin legitimo.
directivo, o en cualquier otra categora con ninguna empresa que se halle envuelta en un
negocio que proporcione servicios o productos similares a los de la Sociedad o de cualquier
manera compita con la organizacin.
GESI C1/30
15
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/31
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Contactos con Autoridades
Control 6:
GESI C1/32
16
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/33
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Contactos con Grupos de Inters Comn
Control 7:
GESI C1/34
17
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/35
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Revisin Independiente de la Seguridad
Control 8:
Auditor
GESI C1/36
18
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/37
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Seguridad Frente al Acceso de Personal Externo
Objetivo 2:
GESI C1/38
19
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/39
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Identificacin de Riesgos Relacionados con Accesos Externos
Control 1:
GESI C1/40
20
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Identificacin de Riesgos Relacionados con Accesos Externos
<nombre y apellido del empleado contratado> declaro:
Que todo tipo de datos o informacin a la que pudiera tener acceso con ocasin de la ejecucin y desarrollo de los
servicios prestados en el marco del contrato o acuerdo firmado entre <nombre y apellido del empleado contratado> y
<nombre organizacin> con independencia del medio en el que la misma se documente, ya sea papel o soporte
informtico, as como aquella informacin que me pudiera ser comunicada verbalmente, es propiedad exclusiva de
<nombre organizacin>.
Salvo autorizacin previa y por escrito de <nombre organizacin>, me comprometo a:
No reproducir, bajo ningn medio, la informacin recibida.
Utilizar la misma nicamente para el desarrollo de las funciones o actividades que tengo encomendadas o deriven
directamente de la ejecucin de los servicios del mencionado contrato o acuerdo, y no divulgar la misma a terceros,
sean stos, personas fsicas o jurdicas, e independientemente de que su actividad no sea coincidente o confluyente con
la actividad desarrollada por <nombre organizacin>.
No utilizar la informacin o sistemas propiedad de <nombre organizacin> en beneficio propio o de terceros ajenos al
desarrollo de los servicios enmarcados en el contrato o acuerdo con <nombre empresa de servicios>.
Tratar y proteger la informacin recibida, o aquella a la que tenga acceso en virtud de la prestacin de mis servicios,
con la debida diligencia, para evitar tanto su prdida como su divulgacin.
Las anteriores obligaciones subsistirn aun despus de finalizada la ejecucin del contrato o acuerdo y extinguida mi
participacin en el mismo.
Asimismo manifiesto haber sido informado de que los datos personales que se facilitaron al inicio o durante la relacin
de colaboracin suscrita con <nombre empresa de servicios>, forman parte de un archivo titularidad de <nombre
organizacin> con domicilio en <domicilio legal de la organizacin> y sern tratados con la finalidad del mantenimiento
de dicha relacin y de que en cualquier momento puedo ejercer mis derechos como afectado de los citados datos.
De igual manera manifiesto haber sido informado que mis datos de nombre, apellido y direccin de correo electrnico,
sern cedidos a todas las empresas del grupo <nombre organizacin> (las mismas se encuentran en la Intranet de
<nombre organizacin>) con la finalidad de homogeneizar las plataformas informticas globales de la organizacin.
Por ltimo conozco y acepto que el incumplimiento de las obligaciones anteriormente descritas, supondr el derecho de
<nombre organizacin> a resarcirse de los daos y perjuicios que le sean ocasionados, sin perjuicio de las acciones que
en derecho correspondan.
GESI C1/41
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/42
21
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Requisitos de Seguridad en el Trato con Clientes
Control 2:
Organizacin
Cliente
GESI C1/43
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Requisitos de Seguridad en el Trato con Clientes
CONVENIO DE CONFIDENCIALIDAD Y NO DIVULGACIN CON CLIENTES
Por medio de la presente, las partes EMPRESA S.A. y EL CLIENTE, DIRECCION, Comuna, ciudad, ( nombre comercial), firman este acuerdo
de confidencialidad y no divulgacin, con el fin de que representantes de EMPRESA S.A. y CLIENTE, intercambien correspondencia, prototipos
y cualquier otro tipo de informacin mutua, relacionada a los productos y servicios de ambas partes. Cada parte divulgar importante
informacin a su contraparte. Adems, cualquiera de las partes puede enviar muestras y prototipos confidenciales a la contraparte, para sus
pruebas y anlisis. La parte que ha enviado el/los prototipos o muestras, no garantiza la disponibilidad comercial y mantiene el derecho absoluto
sobre ellos. En relacin a las muestras, prototipos e informacin intercambiada entre las partes, se acuerda lo siguiente:
1.La informacin se considera informacin confidencial para el receptor, si es presentada y/o identificada por su contraparte como
confidencial por medio escrito, oral u otro medio de comunicacin.
2.Las muestras y/o prototipos confidenciales tambin incluyen toda la informacin y conocimiento obtenido mediante la inspeccin y
pruebas de ellos.
3.La parte receptora de las muestras y/o prototipos confidenciales no puede analizar, vender, exponer, mostrar ni divulgar esos
productos, ni productos derivados de ellos, ni informacin sobre resultados de experimentos ni pruebas efectuadas sobre ellos, a
terceras personas sin el previo consentimiento de la contraparte, en un plazo de 3 aos.
4.La parte receptora de las muestras y/o prototipos no puede hacer uso ni divulgar la informacin confidencial a terceras personas por
un perodo de tres (3) aos desde la recepcin de esa informacin; sin embargo, esta obligacin no aplica en caso que la informacin:
a.Sea informacin pblica o se haga pblica sin que la parte receptora de la informacin sea responsable;
b.Exista evidencia de que esa informacin ya fuera conocida por la parte receptora previo a este acuerdo;
c.Se haga conocida la informacin por medio de una tercera parte con derecho a divulgarla;
d.La parte receptora se vea obligada a divulgarla producto de alguna ley, regulacin u orden gubernamental para hacerlo.
5.Nada en este acuerdo puede ser interpretado como garanta sobre derechos o licencias sobre patentes, diseos o marcas de la
contraparte.
6.Las patentes que sean aplicadas por alguna de las partes como resultado del trabajo individual de esa parte, sern de su exclusiva
propiedad. Patentes presentadas por alguna de las partes como resultado del trabajo en conjunto producto de este acuerdo, sern de
propiedad de ambas partes.
7.Todos los documentos, borradores, diseos, correos, productos, muestras y prototipos intercambiados, son de propiedad de la parte
que los ha enviado a su contraparte y debern ser devueltos o destruidos, junto a todas sus copias, si as fuera solicitado.
8.Nada en este acuerdo ser interpretado como prohibicin de las partes a divulgar la informacin confidencial a subordinados,
empleados o trabajadores dentro de la empresa, considerando que todos los receptores quedan regidos por los trminos de este
acuerdo.
9.Este acuerdo expira en tres (3) aos, desde la fecha de su firma, a menos que se d por expirado con anterioridad por el
consentimiento escrito de ambas partes. La expiracin de este acuerdo no afectan las obligaciones de los puntos 3 y 4.
GESI C1/44
22
Gestin Estratgica en
Seguridad de la Informacin
ndice
Infraestructura de Seguridad de la Informacin
Comit gerencial sobre seguridad de la informacin
Coordinacin de la seguridad de la informacin
Asignacin de responsabilidades en materia de seguridad
Proceso de aprobacin en instalaciones de procesamiento de informacin
Acuerdos de confidencialidad
Contactos con autoridades
Contacto con grupos de inters especial
Revisin independiente de la seguridad de la informacin
GESI C1/45
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Requisitos de Seguridad en Contratos con Terceros (I)
Control 3:
Intercambio
GESI C1/46
23
Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Requisitos de Seguridad en Contratos con Terceros (II)
Control 3:
GESI C1/47
Requisitos
de seguridaden
en contratos con
Gestin
Estratgica
terceros
Seguridad de la Informacin
CONVENIO DE CONFIDENCIALIDAD PARA PROVEEDORES
Este CONVENIO DE CONFIDENCIALIDAD de fecha ____ de __________de 20XX, se celebra entre <nombre
organizacin> y ____________________ (en adelante EL PROVEEDOR):
POR CUANTO, <nombre organizacin> ha encargado a EL PROVEEDOR, la ejecucin de Servicios de
________________________, y teniendo presente que <nombre organizacin> posee derechos sobre
determinada informacin que no es de dominio pblico, relativa a sus negocios y que incluye, sin carcter
taxativo, informacin financiera, tcnica, y comercial, incluyendo la que se encuentra en forma electrnica al
igual que cualquier tipo de desarrollo del cual <nombre organizacin> sea propietario.
TENIENDO EN CUENTA que EL PROVEEDOR durante el desarrollo de sus actividades, eventualmente puede
tener acceso a la Informacin, EN CONSECUENCIA, en consideracin de lo expuesto, <nombre organizacin>
y EL PROVEEDOR acuerdan lo siguiente:
Toda la informacin que <nombre organizacin> provea a EL PROVEEDOR, y toda la informacin que EL
PROVEEDOR provea a <nombre organizacin> en su gestin de asesoramiento, se recibir y mantendr en
carcter de CONFIDENCIAL de acuerdo con lo dispuesto en el presente. Ambas partes acuerdan asimismo que
todas las operaciones entre <nombre organizacin> y EL PROVEEDOR, as como toda conversacin
relacionada, se considerarn Informacin a los fines de este Convenio.
Ambas partes mantendrn la Informacin bajo confidencialidad y no podrn, sin el previo consentimiento escrito
de la otra: distribuir o revelar a terceros, la Informacin que le sea suministrada de conformidad con el presente (
salvo a sus funcionarios y empleados, segn se indica ms adelante: brindar acceso a terceros a la Informacin
que le sea revelada conforme al presente; ni utilizar Informacin que reciba en virtud de este Convenio para
cualquier otro fin distinto del Uso Permitido, EL PROVEEDOR acuerda transmitir la Informacin que le sea
suministrada bajo EL presente nicamente a los funcionarios y empleados que deban tener conocimiento de la
misma, al slo efecto del Uso Permitido, y que hayan aceptado obligarse por las disposiciones de este
Convenio.
Para el caso de que se le exija a EL PROVEEDOR revelar la informacin en un procedimiento judicial o
administrativo, deber notificarlo inmediatamente a <nombre organizacin> para que sta pueda iniciar las
acciones legales que estime necesarias a fin de proteger sus derechos.
(...)
EL PROVEEDOR debe comprometerse a:
Minimizar la rotacin de su personal asignado a <nombre organizacin>.
No transferir al personal asignado a otras cuentas de clientes que sean competencia de <nombre organizacin>
durante la ejecucin del proyecto.
EL PROVEEDOR es responsable del cumplimiento del presente contrato de confidencialidad por parte del
personal asignado a <nombre organizacin>.
(...)
EN FE DE LO CUAL, ambas partes firman este Convenio a travs de sus funcionarios debidamente autorizados,
en la fecha indicada en el encabezamiento.
GESI C1/48
24
Gestin Estratgica en
Seguridad de la Informacin
Muchas Gracias!
GESI C1/49
25