MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM2.3.2 Control: Los coordinadores locales de seguridad de la<br />
información deb<strong>en</strong> ser designados para coordinar la<br />
seguridad de la información <strong>en</strong> la empresa incluy<strong>en</strong>do<br />
las aplicaciones comerciales, de instalaciones de<br />
computación, los ambi<strong>en</strong>tes de red, las actividades de<br />
desarrollo del sistema y ambi<strong>en</strong>tes de usuario final.<br />
SM2.3.3 Control: Los coordinadores locales de seguridad de la<br />
información deb<strong>en</strong> t<strong>en</strong>er:<br />
a) una clara compr<strong>en</strong>sión de sus roles y<br />
responsabilidades<br />
b) sufici<strong>en</strong>tes conocimi<strong>en</strong>tos técnicos, tiempo,<br />
herrami<strong>en</strong>tas necesarias (por ejemplo, listas de<br />
verificación y especialistas <strong>en</strong> productos de software) y la<br />
autoridad para llevar a cabo sus funciones asignadas<br />
c) acceso a expertos internos o externos <strong>en</strong> seguridad de<br />
la información<br />
d) normas y procedimi<strong>en</strong>tos docum<strong>en</strong>tados para apoyar<br />
el día a día las actividades de seguridad de la<br />
información<br />
e) información actualizada sobre técnicas (por ejemplo,<br />
información de metodologías de análisis de riesgos, de<br />
investigación for<strong>en</strong>se, arquitectura de seguridad<br />
empresarial) relacionados con la seguridad de la<br />
información.<br />
SM2.3.4 Control: La información acerca de la condición de<br />
seguridad de la información debería ser:<br />
a) reportada al jefe de la función de seguridad de la<br />
información<br />
b) pres<strong>en</strong>tada periódicam<strong>en</strong>te de manera consist<strong>en</strong>te<br />
SM2.4 Conci<strong>en</strong>cia de seguridad<br />
SM2.4.1 Control: Se deb<strong>en</strong> desarrollar actividades específicas<br />
para promover conci<strong>en</strong>cia de seguridad <strong>en</strong> toda la<br />
empresa. Estas actividades deb<strong>en</strong><br />
ser:<br />
a) aprobadas por la dirección<br />
b) responsabilidad de una persona <strong>en</strong> particular, de una<br />
unidad de la organización, de un grupo de trabajo o<br />
comité<br />
c) apoyado por un conjunto de objetivos docum<strong>en</strong>tado<br />
d) <strong>en</strong>tregadas como parte de un programa de conci<strong>en</strong>cia<br />
<strong>en</strong> seguridad<br />
e) sujetas a disciplinas de gestión de proyectos<br />
f) mant<strong>en</strong>erse actualizadas con las prácticas y requisitos<br />
actuales<br />
g) basadas <strong>en</strong> los resultados de un análisis de riesgos de<br />
información docum<strong>en</strong>tado<br />
h) ori<strong>en</strong>tadas a reducir la frecu<strong>en</strong>cia y magnitud de los<br />
incid<strong>en</strong>tes de seguridad de la información<br />
i) medibles.<br />
Página 137 de 207