MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM6.5.6 Control: Las personas responsables por la<br />
administración de conexiones a terceros deb<strong>en</strong> t<strong>en</strong>er<br />
acceso a:<br />
a) la información sobre los riesgos asociados con el<br />
acceso a terceros<br />
b) las normas y procedimi<strong>en</strong>tos que ilustran las medidas<br />
que se deb<strong>en</strong> adoptar para lograr conexiones seguras<br />
c) las herrami<strong>en</strong>tas de soporte (por ejemplo, listas de<br />
chequeo, muestras de contratos y acuerdos de niveles<br />
de servicio)<br />
d) las fu<strong>en</strong>tes de conocimi<strong>en</strong>to para obt<strong>en</strong>er consejo y<br />
accesoria de especialistas (por ejemplo, la función de<br />
seguridad de la información)<br />
SM6.6 Comercio electrónico<br />
SM6.6.1 Control: Se debe responsabilizar a un ger<strong>en</strong>te de alto<br />
nivel para todo lo relacionado con las iniciativas de<br />
comercio electrónico<br />
SM6.6.2 Control: Se debe establecer un comité directivo o grupo<br />
directivo para coordinar las iniciativas de comercio<br />
electrónico que incluya repres<strong>en</strong>tantes de las áreas<br />
claves de la organización que participan <strong>en</strong> las iniciativas<br />
de comercio electrónico (por ejemplo, la alta dirección,<br />
los propietarios de negocio, el departam<strong>en</strong>to jurídico, la<br />
administración de TI, y la función de seguridad de la<br />
información)<br />
SM6.6.3 Control: Los riesgos asociados con iniciativas de<br />
comercio electrónico deb<strong>en</strong> ser objeto de un análisis de<br />
riesgos de información<br />
SM6.6.4 Control: Se deb<strong>en</strong> establecer y docum<strong>en</strong>tar normas y<br />
procedimi<strong>en</strong>tos para administrar las iniciativas de<br />
comercio electrónico las cuales requier<strong>en</strong> que:<br />
a) las bu<strong>en</strong>as prácticas de seguridad de la información<br />
no se sacrifiqu<strong>en</strong> <strong>en</strong> aras de la velocidad de <strong>en</strong>trega<br />
b) las iniciativas estén impulsadas por los requerimi<strong>en</strong>tos<br />
del negocio<br />
c) se minimice la dep<strong>en</strong>d<strong>en</strong>cia de la tecnología inmadura<br />
d) se evalú<strong>en</strong> las implicaciones de seguridad al<br />
implem<strong>en</strong>tar las soluciones de proveedores<br />
SM6.6.5 Control: Se debe establecer un proceso para asegurar<br />
que los tomadores de decisiones:<br />
a) compr<strong>en</strong>dan las necesidades de seguridad de los<br />
cli<strong>en</strong>tes<br />
b) sean consci<strong>en</strong>tes de los riesgos asociados con el<br />
comercio electrónico y no pas<strong>en</strong> por alto las principales<br />
am<strong>en</strong>azas técnicas<br />
c) aprueban los riesgos residuales<br />
d) id<strong>en</strong>tifican las compet<strong>en</strong>cias necesarias de seguridad<br />
para apoyar las iniciativas de comercio electrónico y<br />
emplean al personal sufici<strong>en</strong>te con las habilidades<br />
necesarias (por ejemplo, utilizando terceros que sean<br />
expertos o capacitando al personal interno)<br />
Página 169 de 207