Capitulo 6
Aspectos Organizativos para la
Seguridad
Estudiantes:
Orlando Apaza
Emerson Goyzueta
Angel Gutierrez
Marcelo Rocha
Wilmer Rondo
Alexei Torrico
Organización Interna
Gestionar la seguridad de la
información dentro de la
organización para lo cual debe
establecerse una estructura de
gestión
Comité de gestión de seguridad de la
información
 Control.- La gerencia debe apoyar
activamente en la seguridad dentro de la
organización.
 Guía de implementación.- El comité de
gestión de seguridad debe realizar las
funciones que son:
 a) Asegurar que las metas de la seguridad de
información sean identificadas.
 b) Formular
 c) revisión de la política de información.
 d) Proveer direcciones claras
 e) Proveer los recursos necesarios
 f) Aprobar asignaciones de roles específicos y
responsabilidades.
 g) Iniciar planes y programas
 h) Asegurar la implementación de los controles
6.1.8 Revisión independiente de
la seguridad de la información.
 Control.- El alcance de la organización para gestionar
la seguridad de información y su implementación
deben ser revisados independientemente en intervalos
planificados cuando cambios significativos a la puesta
en marcha de la seguridad ocurran.
6.2 Seguridad en los accesos de
terceras partes
 La seguridad en los accesos de terceras partes tiene
como objetivo mantener la seguridad de que los
recursos de tratamiento de la información y de los
activos de información de la organización sean
accesibles por terceros.
6.2.1 Identificación de riesgos por
el acceso de terceros
 Control.- Los riesgos a la información de la
organización y a las instalaciones del procesamiento
de información desde los procesos del negocio que
impliquen a terceros deben ser identificados y se debe
implementar controles apropiados antes de conceder
el acceso a los mismos.
6.2.2 Requisitos de seguridad
cuando sea trata con clientes
 Control.- Todos los requisitos identificados de
seguridad deben ser anexados antes de dar a los
clientes acceso a la información o a los activos de la
organización.
Requisitos de seguridad
cuando se trata con clientes
 Control.- Todos los requisitos identificados de seguridad
deben ser anexados antes de dar a los clientes acceso a la
información o a los activos de la organización.
 Guía de implementación.- Los términos deben ser
considerados para ser anexados a la seguridad antes de
dar a los clientes acceso a los activos de seguridad
 a) Protección de activos, incluyendo:
 a.1) procedimientos para proteger los activos de la
organización.
 a.2) procedimientos para determinar riesgos de los
activos
 a.3) medidas de integridad.
 a.4) restricciones en la copia o divulgación de la
información.
 b) La descripción del servicio o producto disponible.
 c) Las diferentes razones, requerimientos y beneficios para el





acceso del cliente.
d) Acuerdos sobre control de accesos, incluyendo:
d.1) los métodos de acceso permitidos.
d.2) el procedimiento de autorización del acceso y privilegios a los
usuarios.
d.3) una declaración de que todo acceso que no esta
explícitamente autorizado es prohibido.
d.4) un proceso para revocar el derecho de acceso o interrumpir la
conexión entre sistemas.
 e) Arreglos para reportar, notificar e investigar
inexactitudes de información.
 f) Una descripción de cada servicio.
 g) El nivel de servicio.
 h) El derecho para controlar y revocar.
 i) Las respectivas responsabilidades de la
organización y de los clientes.
 j) Las responsabilidades en materia de legislación.
 k) Los derechos de propiedad intelectual.
Requisitos de seguridad en
contratos de outsourcing
Control.- Los acuerdos con terceras partes que implican
el acceso, proceso, comunicación o gestión de la
información de la organización o de las instalaciones
de procesamiento de información o la adición de
productos o servicios a las instalaciones, debe cubrir
todos los requisitos de seguridad relevantes.
Guía de implementación
 a) La política de información de seguridad.
 b) Los controles que aseguren la protección del activo, incluyendo:
Proteger los activos organizacionales: información, software y hardware
protección física requerida y mecanismos.
protección contra software malicioso.
Saber si hubo la perdida o modificación de la información, software y hardware, ha ocurrido.
Ver la seguridad cada cierto tiempo, por si retorna el daño.
confidencialidad, integridad, disponibilidad relevante de los activos.
restricciones para el uso de acuerdos de confidencialidad.
c) Capacitación en los métodos, procedimientos y seguridad para usuario y administrador.
d) Asegurar el conocimiento del usuario para temas y responsabilidades de la seguridad de información.
e) Disposición para transferir personal, cuando sea apropiado.
f) Responsabilidades con respecto a la instalación y el mantenimiento del hardware y software.







 g) Una clara estructura y formatos de reportes.
 h) Un claro y especificado proceso de cambio de gestión.
 i) Política de control de acceso, cubriendo:
 i.1) las diferentes razones, requerimientos y beneficios que hacen el acceso por
terceros necesario.
 i.2) métodos permitidos de acceso y el control y uso de identificadores únicos
como ID de usuario y contraseñas.
 i.3) un proceso autorizado para acceso de usuarios y los privilegios.
 i.4) un requerimiento para mantener una lista de individuos autorizados a
usar el servicio que ha sido disponible y cual son sus derechos y privilegios
respecto a su uso.
 i.5) una declaración de que todos los accesos que no son explícitamente
autorizados son prohibidos.
 j) Arreglos para reportar, notificar e investigar incidentes de la seguridad de
información y aperturas de seguridad, como violaciones de los requerimientos
establecidos en el acuerdo.
 k) Una descripción del producto o servicio ha ser provisto y una descripción de
la información ha ser disponible de acuerdo con su clasificación de seguridad;
 l) El objetivo de nivel de servicio y los niveles de no aceptación.
•Definicion del criterio de funcionalidad, control
y reporte.
•Derecho de controlar/revocar actividaes de la
organizacin.
•Derecho de auditar responsabilidades
•Establece un proceso para resolver problemas
•Brindar requisitos de servicios continuos tanto
para la disponibilidad como para la
confiabilidad.
•Responsabilidades del acuerdo .
•Responsabilidad con los temas y aspectos
legales
•Derecho de propiedad intelectual, copyright .
 CONCLUSIONES.-
El ISO 17799, no valida los aspectos referidos a la
seguridad de la informacion de una organización, solo
que dentro de los aspectos organizativos, se enseña al
plantel de la organización, la forma correcta de
ajustarse con respecto a la situacion por la cual se
atraviesa para poder llegarlos a resolver sin ningun
inconveniente.
Descargar

Requisitos de seguridad en contratos de outsourcing