file_1687842465250

POL´ITICAS DE SEGURIDAD

SCM LATAM

´Indice

Pol´ıticas de seguridad de la informacio´ n 5
1. Resumen de la pol´ıtica: 5
2. Introduccio´n: 5
3. Alcance: 5
4. Objetivos de seguridad de la informacio´n: 5
5. Principios de seguridad de la informacio´n: 5
6. Responsabilidades: 6
7. Indicadores clave: 6
8. Pol´ıticas relacionadas: 6
Gestio´ n de acceso 10
1. Objetivo general: 10
2. Objetivos espec´ıficos 10
3. Alcance 10
4. Control de acceso 10
  1. Reglas para el control de acceso 10
  2. Gestio´n de entidades 10
  3. Responsabilidad de los usuarios 11
  4. Control de acceso a la red 11
  5. Pol´ıtica de utilizacio´n de los servicios de red 11
  6. Identificacio´n de equipos en la Red 11
  7. Proteccio´n de los puertos de configuracio´n y diagnostico remoto 11
5. Control de acceso al sistema operativo 11
  1. Registro de inicio seguro 11
  2. Gestio´n de contrasen˜as 12
  3. Control de acceso a la informacio´n 12
6. Computacio´n Mo´vil y Trabajo Remoto 13
  1. Computacio´n y comunicaciones mo´viles 13
  2. Trabajo remoto 14
Proceso de evaluacio´ n de riesgo 15
1. Objetivo 15
2. Actividades del procedimiento 15
3. Identificacio´n de riesgos (identificar y documentar todos los riesgos que pueden afectar al proyecto) 16
4. Ana´lisis de riesgos cualitativos (determinar los efectos de los riesgos identificados sobre los objetivos del proyecto) 16
5. Ana´lisis de riesgos cuantitativos (asignar probabilidades nume´ricas a los riesgos y
  su impacto sobre los objetivos del proyecto) 16
6. Planificacio´n de respuesta ra´pida (decidir que´ acciones se requieren para reducir o suprimir amenazas, sobre todo las muy probables y de alto impacto) 16
7. Monitoreo y control de riesgos (responder a los riesgos en cuanto se presentan y cerciorarse de aplicar los procedimientos apropiados para la gestio´n de riesgos) 16
Capacitaciones en Seguridad de la informacio´ n 18
1. Certificacio´n 18
Seguridad f´ısica y del entorno 19
1. Objetivos 19
2. Objetivo 1 - A´ reas seguras 19
  1. Per´ımetro de seguridad f´ısica 19
  2. Controles de acceso f´ısico 19
  3. Seguridad de oficinas, despachos e instalaciones 19
  4. Proteccio´n contra amenazas externas y del ambiente 19
3. Objetivo 2 - Seguridad de los equipos 20
  1. Ubicacio´n y proteccio´n del equipamiento 20
  2. Elementos de soporte 20
  3. Seguridad en el cableado 21
  4. Mantenimiento del equipamiento 21
  5. Retiro de bienes 21
  6. Seguridad del equipamiento y de los activos fuera de las instalaciones 21
  7. Seguridad en la reutilizacio´n o eliminacio´n de equipos 22
  8. Equipamiento desatendido por el usuario 22
  9. Pol´ıtica de escritorio y pantalla limpios 22
Adquisicio´ n de Sistemas de Informacio´ n, Desarrollo y Mantencio´ n 23
1. Objetivo 23
2. Alcance 23
3. Definiciones 23
4. Pol´ıticas 23
Sanciones 26

Pol´ıticas de seguridad de la informacio´ n
1. Resumen de la pol´ıtica:
  La informacio´n debe ser siempre protegida, cualquiera que sea su forma de ser compartida, comunicada o almacenada.
2. Introduccio´ n:
  La informacio´n puede existir en diversas formas: impresa o escrita en papel, almacenada electro´nicamente, transmitida por correo o por medios electro´nicos, mostrada en proyecciones o en forma oral en las conversaciones.
  La seguridad de la informacio´n es la proteccio´n de la informacio´n contra una amplia gama de amenazas con el fin de garantizar la continuidad del negocio, minimizar los riesgos empresariales y maximizar el retorno de las inversiones y oportunidades de negocio.
3. Alcance:
  Esta pol´ıtica apoya la pol´ıtica general del Sistema de Gestio´n de Seguridad de la Informacio´n de la organizacio´n (SGSI).
  Esta pol´ıtica es de consideracio´n por parte de todos los miembros de la organizacio´n.
4. Objetivos de seguridad de la informacio´ n:
  Comprender y tratar los riesgos operacionales y estrate´gicos en seguridad de la informacio´n para que permanezcan en niveles aceptables para la organizacio´n.
  La proteccio´n de la confidencialidad de la informacio´n relacionada con los clientes y con los planes de desarrollo.
  La conservacio´n de la integridad de los registros contables.
  Los servicios Web de acceso pu´blico y las redes internas cumplen con las especificaciones de disponibilidad requeridas.
  Entender y dar cobertura a las necesidades de todas las partes interesadas.
5. Principios de seguridad de la informacio´ n:
  Esta organizacio´n afronta la toma de riesgos y tolera aquellos que, en base a la informacio´n disponible, son comprensibles, controlados y tratados cuando es necesario. Los detalles de la metodolog´ıa adoptada para la evaluacio´n del riesgo y su tratamiento se encuentran descritos en la pol´ıtica del SGSI.
  Todo el personal sera´ informado y responsable de la seguridad de la informacio´n, segu´n sea relevante para el desempen˜o de su trabajo.
  Se dispondra´ de financiacio´n para la gestio´n operativa de los controles relacionados con la seguridad de la informacio´n y en los procesos de gestio´n para su implantacio´n y mantenimiento.
  Se tendra´n en cuenta aquellas posibilidades de fraude relacionadas con el uso abusivo de los sistemas de informacio´n dentro de la gestio´n global de los sistemas de informacio´n.
  Se hara´n disponibles informes regulares con informacio´n de la situacio´n de la seguridad.
  Los riesgos en seguridad de la informacio´n sera´n objeto de seguimiento y se adoptara´n medidas relevantes cuando existan cambios que impliquen un nivel de riesgo no aceptable.
  Los criterios para la clasificacio´n y la aceptacio´n del riesgo se encuentran referenciados en la pol´ıtica del SGSI.
  Las situaciones que puedan exponer a la organizacio´n a la violacio´n de las leyes y normas legales no sera´n toleradas.
6. Responsabilidades:
  El equipo directivo es el responsable de asegurar que la seguridad de la informacio´n se gestiona adecuadamente en toda la organizacio´n.
  Cada gerente es responsable de garantizar que las personas que trabajan bajo su control protegen la informacio´n de acuerdo con las normas establecidas por la organizacio´n.
  El responsable de seguridad asesora al equipo directivo, proporciona apoyo especializado al personal de la organizacio´n y garantiza que los informes sobre la situacio´n de la seguridad de la informacio´n esta´n disponibles.
  Cada miembro del personal tiene la responsabilidad de mantener la seguridad de informa-cio´n dentro de las actividades relacionadas con su trabajo.
7. Indicadores clave:
  Los incidentes en seguridad de la informacio´n no se traducira´n en costes graves e inesperados, o en una grave perturbacio´n de los servicios y actividades comerciales.
  Las pe´rdidas por fraude sera´n detectadas y permanecera´n dentro de unos niveles aceptables.
  La aceptacio´n del cliente de los productos o servicios no se vera´ afectada negativamente por aspectos relacionados con la seguridad de la informacio´n.
8. Pol´ıticas relacionadas:
  A continuacio´n, se detallan aquellas pol´ıticas que proporcionan principios y gu´ıa en aspectos espec´ıficos de la seguridad de la informacio´n:
  Pol´ıtica del Sistema de Gestio´n de Seguridad de la Informacio´n (SGSI).
  Pol´ıtica de control de acceso f´ısico. Pol´ıtica de limpieza del puesto de trabajo. Pol´ıtica de software no autorizado.
  Pol´ıtica de descarga de ficheros (red externa/interna). Pol´ıtica de copias de seguridad.
  Pol´ıtica de intercambio de informacio´n con otras organizaciones. Pol´ıtica de uso de los servicios de mensajer´ıa.
  Pol´ıtica de retencio´n de registros.
  Pol´ıtica sobre el uso de los servicios de red.
  Pol´ıtica de uso de informa´tica y comunicaciones en movilidad. Pol´ıtica de teletrabajo.
  Pol´ıtica sobre el uso de controles criptogra´ficos. Pol´ıtica de cumplimiento de disposiciones legales. Pol´ıtica de uso de licencias de software.
  Pol´ıtica de proteccio´n de datos y privacidad.
  En un nivel inferior, la pol´ıtica de seguridad de la informacio´n debe ser apoyada por otras normas o procedimientos sobre temas espec´ıficos que obligan au´n ma´s la aplicacio´n de los controles de seguridad de la informacio´n y se estructuran normalmente para tratar las necesidades de determinados grupos dentro de una organizacio´n o para cubrir ciertos temas.
  
  EJEMPLOS DE ESTOS TEMAS DE POL´ITICA INCLUYEN:
  Control de acceso.
  Clasificacio´n de la informacio´n. La seguridad f´ısica y ambiental.
  Y MA´ S DIRECTAMENTE DIRIGIDAS A USUARIOS:
  Pol´ıtica del Sistema de Gestio´n de Seguridad de la Informacio´n (SGSI). El uso aceptable de los activos.
  Escritorio limpio y claro de la pantalla. La transferencia de informacio´n.
  Los dispositivos mo´viles y el teletrabajo.
  Las restricciones a la instalacio´n de software y el uso. Copia de seguridad.
  La transferencia de informacio´n. La proteccio´n contra el malware.
  La gestio´n de vulnerabilidades te´cnicas. Controles criptogra´ficos.
  Las comunicaciones de seguridad.
  La intimidad y la proteccio´n de la informacio´n personal identificable.
  Estas pol´ıticas/normas/procedimientos deben ser comunicadas a los empleados y partes externas interesadas. La necesidad de normas internas de seguridad de la informacio´n var´ıa dependiendo de las organizaciones. Cuando algunas de las normas o pol´ıticas de seguridad de la informacio´n se distribuyen fuera de la organizacio´n, se debera´ tener cuidado de no revelar in-formacio´ n confidencial. Algunas organizaciones utilizan otros te´rminos para estos documentos de pol´ıtica, como: normas, directrices o reglas.
  Todas estas pol´ıticas deben servir de apoyo para la identificacio´ n de riesgos mediante la disposicio´ n de controles en relacio´n a un punto de referencia que pueda ser utilizado para identificar las deficiencias en el disen˜o e implementacio´n de los sistemas, y el tratamiento de los riesgos mediante la posible identificacio´n de tratamientos adecuados para las vulnerabilidades y amenazas localizadas.
  Esta identificacio´n y tratamiento de los riesgos forman parte de los procesos definidos en la seccio´n de Principios dentro de la pol´ıtica de seguridad o, como se referencia en el ejemplo, suelen formar parte de la propia pol´ıtica del SGSI, tal y como se observa a continuacio´n.
  LA DIRECCIO´ N EJECUTIVA DE LA EMPRESA ES LA RESPONSABLE DE APROBAR UNA POL´ITICA DE SEGURIDAD DE LA INFORMACIO´ N QUE ASEGURE QUE:
  1. La informacio´n estara´ protegida contra cualquier acceso no autorizado.
  2. La confidencialidad de la informacio´n, especialmente aquella relacionada con los datos de cara´cter personal de los empleados y clientes.
  3. La integridad de la informacio´n se mantendra´ en relacio´n a la clasificacio´n de la informacio´n (especialmente la de “uso interno”).
  4. La disponibilidad de la informacio´n cumple con los tiempos relevantes para el desarrollo de los procesos cr´ıticos de negocio.
  5. Se cumplen con los requisitos de las legislaciones y reglamentaciones vigentes, especialmente con la Ley de Proteccio´n de Datos y de Firma Electro´nica.
  6. Los planes de continuidad de negocio sera´n mantenidos, probados y actualizados al menos con cara´cter anual.
  7. La capacitacio´n en materia de seguridad se cumple y se actualiza suficientemente para todos los empleados.
  8. Todos los eventos que tengan relacio´n con la seguridad de la informacio´n, reales como supuestos, se comunicara´n al responsable de seguridad y sera´n investigados.
  Adicionalmente, se dispone de procedimientos de apoyo que incluyen el modo espec´ıfico en que se deben acometer las directrices generales indicadas en las pol´ıticas y por parte de los responsables designados.
  El cumplimiento de esta pol´ıtica, as´ı como de la pol´ıtica de seguridad de la informacio´n y de cualquier procedimiento o documentacio´n incluida dentro del repositorio de documentacio´n del SGSI, es obligatorio y atan˜ e a todo el personal de la organizacio´ n.
  Las visitas y personal externo que accedan a nuestras instalaciones no esta´n exentas del cumplimiento de las obligaciones indiciadas en la documentacio´n del SGSI, y el personal interno observara´ su cumplimiento.
  En cualquier caso, de duda, aclaracio´n o para ma´s informacio´n sobre el uso de esta pol´ıtica y la aplicacio´n de su contenido, por favor, consulte por tele´fono o e-mail al responsable del SGSI designado formalmente en el organigrama corporativo.
Gestio´ n de acceso
1. Objetivo general:
  Se establece como Pol´ıtica de Control de Acceso el controlar el acceso a la informacio´n, a las instalaciones de procesamiento de la informacio´n (Datacenter) y a los procesos de provisio´n, los cuales debera´n ser controlados sobre la base de los requisitos y seguridad. Para ello, a trave´s de sus diferentes a´reas de Operaciones, Software, Seguridad y Soporte permitira´ administrar el ciclo de vida de los usuarios, desde la creacio´n automa´tica de las cuentas, roles y permisos necesarios hasta su inoperancia; a partir de los requerimientos reportadas por el Departamento de Recursos Humanos y/o directamente de su Jefatura directa; lo anterior para que el funcionario tenga acceso adecuado a los sistemas de informacio´n y recursos tecnolo´gicos, validando su autenticacio´n, autorizacio´n y auditor´ıa.
2. Objetivos espec´ıficos
  Identificar los requerimientos de seguridad de cada una de las aplicaciones. Identificar toda la informacio´n relacionada con las aplicaciones.
  Definir los perfiles de acceso de usuarios esta´ndar, comunes a cada categor´ıa de estaciones de trabajo.
  Administrar los derechos de acceso en un ambiente distribuido y de red, que reconozcan todos los tipos de conexiones disponibles.
3. Alcance
  Esta pol´ıtica se aplica a todos los colaboradores de SCM LATAM, que tengan derechos de acceso a la informacio´n que puedan afectar los activos de informacio´n y a todas sus relaciones con terceros que impliquen el acceso a sus datos, recursos y/o a la administracio´n y control de sus sistemas de informacio´n.
4. Control de acceso
  1. Reglas para el control de acceso
    Las reglas para el control de acceso, estara´ documentado a trave´s de los diferentes procedimientos de control de acceso a los recursos tecnolo´gicos.
  2. Gestio´ n de entidades
    Se debera´ asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado
    a los sistemas de informacio´n. Se usara´ para la asignacio´n de las credenciales de accesos a
    los diferentes sistemas, un formulario con el nombre del sistema, nombre usuario, contrasen˜a temporal y la asignacio´n de derechos al sistema y/o los servicios.
  3. Responsabilidad de los usuarios
    Todos los funcionarios o terceros que tengan un usuario en alguna plataforma tecnolo´gica, debera´n conocer y cumplir con su uso de esta Pol´ıtica espec´ıfica, donde se dictan pautas sobre derechos y deberes con respecto al uso adecuado de los usuarios, as´ı como pol´ıticas de proteccio´n de usuario desatendido, escritorio y pantalla limpia.
  4. Control de acceso a la red
    Las conexiones no seguras a los servicios de red pueden afectar a toda la institucio´n, por
    lo tanto, se controlara´ el acceso a los servicios de red tanto internos como externos. Esto es
    necesario para garantizar que los usuarios que tengan acceso a las redes y a sus servicios, no comprometan la seguridad de los mismos. Las reglas de acceso a la red a trave´s de los puertos, estara´n basadas en la premisa —todo esta´ restringido, a menos que este´ expresamente permitido“.
  5. Pol´ıtica de utilizacio´ n de los servicios de red
    Se desarrollara´n procedimientos para la activacio´n y desactivacio´n de derechos de acceso a las redes, los cuales comprendera´n:
    Controlar el acceso a los servicios de red tanto internos como externos. Identificar las redes y servicios de red a los cuales se permite el acceso. Realizar normas y procedimientos de autorizacio´n de acceso entre redes.
    Establecer controles y procedimientos de administracio´n para proteger el acceso.
  6. Identificacio´ n de equipos en la Red
    SCM LATAM controlara´
    e identificara´
    los equipos conectados a su red, mediante el uso de
    controladores de dominio, asignacio´n manual de IP y portal cautivo para la conexio´n WIFI.
  7. Proteccio´ n de los puertos de configuracio´ n y diagnostico remoto
    Los puertos que permitan realizar mantenimiento y soporte remoto a los equipos de red, servidores y equipos de usuario final, estara´ restringido a los administradores de red o servidores. Los usuarios finales debera´n permitir tomar el control remoto de sus equipos para el A´ rea de Soporte, teniendo en cuenta, no tener archivos con informacio´n sensible a la vista, no desatender el equipo mientras que se tenga el control del equipo por un tercero.
5. Control de acceso al sistema operativo
  1. Registro de inicio seguro
    El acceso a los sistemas operativos estara´ protegido, mediante un inicio seguro de sesio´n, que contemplara´ las siguientes condiciones:
    No mostrar informacio´n del sistema, hasta que el proceso de inicio se haya completado. Validar los datos de acceso, una vez que se han diligenciado todos los datos de entrada. Limitar el nu´mero de intentos fallidos de conexio´n auditando los intentos no exitosos.
    No mostrar las contrasen˜as digitadas.
  2. Gestio´ n de contrasen˜ as
    La asignacio´n de contrasen˜as se debera´ controlar a trave´s de un proceso formal de gestio´n a cargo del A´ rea de soporte. Las recomendaciones son:
    No escribirlas en papeles de fa´cil acceso, ni en archivos sin cifrar
    No habilitar la opcio´n ”recordar clave en este equipo”, que ofrecen los programas No enviarla por correo electro´nico
    Nunca guarde sus contrasen˜as, en ningu´n tipo de papel, agenda, etc. Las contrasen˜as se deben mantener confidenciales en todo momento No compartir las contrasen˜as, con otros usuarios.
    Cambia tu contrasen˜a si piensas que alguien ma´s la conoce y si ha tratado de dar mal uso de ella.
    Selecciona contrasen˜as que no sean fa´ciles de adivinar.
    Nunca grabes tu contrasen˜a en una tecla de funcio´n o en un comando de caracteres predefinido.
    Cambia tus contrasen˜as regularmente.
    No utilizar la opcio´n de almacenar contrasen˜as en Internet.
    No utilizar contrasen˜a con nu´meros telefo´nicos, nombre de familia etc No utilizar contrasen˜a con variables (soporte1, soporte2, soporte3, etc.)
  3. Control de acceso a la informacio´ n
    El control de acceso a la informacio´n a trave´s de una aplicacio´n, se realizara´ a trave´s de roles que administren los privilegios de los usuarios dentro del sistema de informacio´n. El control de acceso a informacio´n f´ısica o digital, se realizara´ teniendo en cuenta los niveles de clasificacio´n y el manejo de intercambio de informacio´n.
6. Computacio´ n Mo´ vil y Trabajo Remoto
  Teniendo en cuenta las ventajas de la computacio´n mo´vil y el trabajo remoto, as´ı mismo el nivel de exposicio´n a amenazas que pongan en riesgo la seguridad de la informacio´n institucional, a continuacio´n se establecen directrices que permitira´n regular el uso de la computacio´n mo´vil y trabajo remoto:
  1. Computacio´ n y comunicaciones mo´ viles
    Se entiende como dispositivos de co´mputo y comunicacio´n mo´viles, todos aquellos que permitan tener acceso y almacenar informacio´n de la organizacio´n, desde lugares diferentes a las instalaciones.
    El uso de equipos de co´mputo y dispositivos de almacenamiento mo´viles, esta´ restringido
    u´nicamente a los provistos por la organizacio´n y debera´n contemplar las siguientes directrices: Uso de usuario y contrasen˜a para acceso al mismo.
    Cifrado de la informacio´n.
    Uso de software antivirus.
    Restriccio´n de privilegios administrativos para los usuarios. Uso de software licenciado.
    Realizacio´n de copias de seguridad perio´dicas.
    Uso de mecanismos de seguridad que protejan la informacio´n en caso de pe´rdida o hurto de los dispositivos.
    Permanecer siempre cerca del dispositivo. No dejar desatendidos los equipos
    No llamar la atencio´n, acerca de portar equipos mo´viles
    No identificar el dispositivo con distintivos de la organizacio´n. No colocar datos de contacto te´cnico en el dispositivo.
    Mantener cifrada la informacio´n clasificada. No conectarse a redes WiFi publicas.
    Mantener apagado el Bluetooth o cualquier otra tecnolog´ıa inala´mbrica que exista o llegara a existir.
    Informar de inmediato a la organizacio´n sobre la pe´rdida o hurto del dispositivo, quien pro-cedera´ al bloqueo del usuario.
    Para dispositivos de comunicacio´n mo´vil (telefon´ıa celular) de la empresa se aplicaran los controles antes mencionados y los detallados a continuacio´n:
    Activar la clave del tele´fono, para acceso a la agenda telefo´nica, mensajes de texto, llamadas entrantes, salientes, perdidas. Archivos de voz, imagen y videos.
    No hablar de temas confidenciales cerca de personas que no requieran conocer dicha infor-macio´n.
  2. Trabajo remoto
    El trabajo remoto solo sera´ autorizado por el responsable de la unidad organizativa de la cual dependa el funcionario que solicite el permiso. Dicha autorizacio´n solo se otorgara´ por el A´ rea de Seguridad una vez se verifique las condiciones de seguridad del ambiente de trabajo.
Proceso de evaluacio´ n de riesgo
1. Objetivo
  Describir la metodolog´ıa y criterios a aplicar para llevar adelante el proceso de identificacio´n de peligros y evaluacio´n de riesgos, con el objeto de facilitar las decisiones para el control de sus consecuencias
2. Actividades del procedimiento
  Au´n cuando gran parte de la atencio´n del monitoreo y evaluacio´n se centra en los elementos verticales del marco lo´gico del proyecto u horas de servicio en consultor´ıa (Recursos, Actividades, Productos, Objetivos, Metas), el equipo del proyecto debe monitorear tambie´n los supuestos (que forman la lo´gica horizontal). Estos supuestos corresponden a los riesgos que podr´ıan impedir el e´xito. El riesgo del proyecto es la posibilidad de que algo salga mal, o al menos que no resulte como fue planificado. Los riesgos son diferentes en cada proyecto y van cambiando a medida que el proyecto avanza. Los riesgos espec´ıficos del proyecto, tal como podr´ıan aparecer en la columna de supuestos en los marcos lo´gicos, pueden incluir lo siguiente: · ¿La pol´ıtica/prioridad del gobierno apoya la estrategia y los objetivos del proyecto? · ¿Hay nuevas inversiones/desa-rrollos en el a´rea del proyecto que pueden impactar los objetivos del proyecto? · ¿Los cambios en el contexto sociocultural afectara´n al proyecto? · ¿Hay cambios en la situacio´n pol´ıtica o de seguridad? · ¿Es estable la situacio´n econo´mica (tipos de cambio, sistemas de banca, riesgos de devaluacio´n)? · ¿Co´mo parecen ser las relaciones con los actores clave? · ¿Es posible que el proyecto pierda empleados clave? · ¿La disponibilidad de proveedores y habilidades es fiable?
  La meta de la gestio´n de riesgos es ”controlar” esos riesgos y que la identificacio´n, ana´lisis y respuesta a ellos sea u´til para la toma de decisiones. La gestio´n de riesgos intenta maximizar la probabilidad y generacio´n de los eventos positivos y minimizar la probabilidad y las consecuencias de los eventos adversos. En la pra´ctica, la gestio´n de los riesgos del proyecto se centra en las siguientes preguntas:
  ¿Estamos al tanto de lo que ocurre en el contexto del proyecto?
  En SCM tratamos que nuestros v´ınculos con nuestros clientes sean lo ma´s estrecho posible, con el fin de comprender la realidad de las necesidades de cada uno, e ir ma´s alla´ de las solicitudes originales, y entender posibles factores de riesgo para mitigar bajo el contexto en el que el proyecto u las horas de servicios se ejecuten.
  ¿Estamos reconsiderando los supuestos cr´ıticos y los riesgos que podr´ıan afectar la capacidad del proyecto para actuar?
  Utilizando los protocolos y u´ltimas tecnicas en seguridad, nos encargamos d´ıa a d´ıa de estar bajo los u´ltimos esta´ndares en seguridad en cuanto a proteccio´n de informacio´n, es por eso que situaciones cr´ıticas y posibles riesgos que puedan afectar directamente a los labores con nuestros clientes, son evidenciados y expuestos (en el caso que existan) a los clientes, para que ellos este´n conscientes de los posibles riesgos.
  ¿Estamos identificando estrategias, contingencias o planes de emergencia alternativos?
  La identificacio´n de estas estrategias se basa en el resultado de este documento, para la toma de accio´n en caso de que sucedan ca´ıdas del servicio, tales como: errores de conexio´n en los servidores, backups/restore de la base de datos, entre otros.
  ¿Estamos asignando fondos suficientes para atender los riesgos del proyecto?
  Dado a que muchos de nuestros servicios de informacio´n esta´n externalizados, usando Amazon Web Services (AWS) y Google Cloud Platform (GCP), asignamos los fondos suficientes para minimizar lo ma´s posible el uptime que tienen nuestros servicios.
  ¿Los cambios en el entorno, como nuevos sistemas o nuevo liderazgo, han creado nuevos riesgos que sea necesario atender?
  Cada nuevo cliente, es un nuevo desafio que atender, desde las implementaciones que se realizan en base a los servicios que se proveen. Desde balanceadores de carga provistos por AWS, e instancias aseguradas por protocolos de confianza, hacen de nuestros servicios l´Ideres en el mercado.
  La elaboracio´n de una estrategia de gestio´n de riesgos a nivel de proyecto ayuda a garantizar que el proceso se lleve a cabo con eficacia. Algunos elementos clave del proceso de gestio´n de riesgos del proyecto son:
3. Identificacio´ n de riesgos (identificar y documentar todos los riesgos que pueden afectar al proyecto)
4. Ana´lisis de riesgos cualitativos (determinar los efectos de los riesgos identificados sobre los objetivos del proyecto)
5. Ana´lisis de riesgos cuantitativos (asignar probabilidades nume´ricas a los riesgos y su impacto sobre los objetivos del proyecto)
6. Planificacio´ n de respuesta ra´pida (decidir que´ acciones se requieren
  para reducir o suprimir amenazas, sobre todo las muy probables y de alto impacto)
7. Monitoreo y control de riesgos (responder a los riesgos en cuanto se presentan y cerciorarse de aplicar los procedimientos apropiados para la gestio´ n de riesgos)
  Una vez identificados, los riesgos se deben atender con una combinacio´n de las siguientes estrategias:
  Evitar el riesgo No hacer (o hacer de otra manera) alguna parte del alcance que implique un alto impacto y/o una alta probabilidad de riesgo, si aun as´ı es posible alcanzar los objetivos del proyecto. Ejemplos: Limitar el alcance geogra´fico si cierta regio´n es problema´tica o reducir el nu´mero de unidades que se entregan, como letrinas, si faltan materiales de construccio´n para el proyecto.
  Transferir el riesgo – Transferir el riesgo: Trasladar a terceros el riesgo (o compartirlo) sobre algu´n aspecto del proyecto mediante un contrato, seguro u otros medios. Ejemplo: en sitios inseguros, los contratos de log´ıstica se subcontratan con proveedores privados con ma´s conocimiento y experiencia de la regio´n.
  Mitigar el riesgo – Tomar acciones espec´ıficas para reducir la probabilidad y/o el impacto de un riesgo potencial. Ejemplo: instituir un sistema de seguridad que prevenga el acceso no autorizado a las a´reas de almacenamiento de materiales de construccio´n del proyecto.
  Aceptar el riesgo – Si un riesgo evaluado es razonable, una organizacio´n puede optar por no tomar accio´n inmediata y comprometerse a monitorear la situacio´n para ver si la probabilidad y el impacto siguen siendo aceptables. Ejemplo: una comunidad puede saber que enfrenta un riesgo estacional de deslizamiento de tierras, pero prefiere aceptar la probabilidad y las consecuencias del percance en vez de tratar de evitarlo, transferirlo o mitigarlo.
Capacitaciones en Seguridad de la informacio´ n
La informacio´n es uno de los principales activos de nuestra organizacio´n. La defensa de este activo es una tarea esencial de todos los colaboradores de SCM para asegurar la continuidad y el desarrollo del negocio, as´ı como tambie´n es una exigencia legal (proteccio´n de la propiedad intelectual, proteccio´n de datos personales, servicios para la sociedad de la informacio´n), y adema´s traslada confianza a los clientes y/o usuarios.
Cuanto mayor es el valor de la informacio´n, mayores son los riesgos asociados a su pe´rdida, deterioro, manipulacio´n indebida o malintencionada.
Nuestros Sistemas de Gestio´n de Seguridad de la Informacio´n (SGSI) son el medio ma´s eficaz de minimizar los riesgos, al asegurar que se identifican y valoran los activos y sus riesgos, considerando el impacto para la organizacio´n, y se adoptan los controles y procedimientos ma´s eficaces y coherentes con la estrategia de negocio.
Una gestio´n eficaz de la seguridad de la informacio´n permite garantizar:
Su confidencialidad, asegurando que so´lo quienes este´n autorizados puedan acceder a la informacio´n de nuestros clientes.
Su integridad, asegurando que la informacio´n y sus me´todos de proceso son exactos y completos.
Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la informacio´n y a sus activos asociados cuando lo requieran.
1. Certificacio´ n
  Estamos en el proceso de certificacio´n del Sistema de Gestio´n de Seguridad de la Informacio´n de AENOR, de acuerdo a UNE-ISO/IEC 27001:2014, lo cual contribuir´ıa a fomentar las actividades de proteccio´n de la informacio´n en nuestra organizacio´n, mejorando nuestra imagen y generando confianza con nuestros clientes.
Seguridad f´ısica y del entorno
1. Objetivos
  En coordinacio´n con las medidas tecnolo´gicas esta seccio´n se centra en la necesidad de identificar y establecer medidas de control f´ısicas para proteger adecuadamente los activos de infor-macio´n para evitar incidentes que afecten a la integridad f´ısica de la informacio´n o interferencias no deseadas
2. Objetivo 1 - A´ reas seguras
  Evitar accesos f´ısicos no autorizados, dan˜os e interferencias contra las instalaciones de procesamiento de informacio´n y la informacio´n de la organizacio´n
  1. Per´ımetro de seguridad f´ısica
    Control orientado a proveer proteccio´n contra la entrada no autorizada. Tanto los per´ımetros y controles o defensas previstas deben determinarse en un ana´lisis o evaluacio´n de riesgos
  2. Controles de acceso f´ısico
    Aquellas a´reas que se consideran seguras deben estar protegidas por controles de entrada que permitan solo personal autorizado
  3. Seguridad de oficinas, despachos e instalaciones
    En cuanto a las instalaciones deben disen˜arse para evitar al ma´ximo posible el riesgo que la informacio´n confidencial sea accesible para los visitantes.
    Se debe considerar la posibilidad de en uso de te´cnicas de enmascaramiento (“masking”) de datos referidos a nombres o actividades de clientes.
    Supongamos por ejemplo el caso un centro de tratamiento de datos donde muchas l´ıneas telefo´nicas esta´n abiertas en cualquier momento o situaciones como la formacio´n de usuarios o pruebas de software.
  4. Proteccio´ n contra amenazas externas y del ambiente
    En un mundo de crecientes inestabilidades y amenazas terroristas y de un clima impredecible, se debe considerar, disen˜ar y aplicar la proteccio´n f´ısica contra factores externos.
    Si bien las leyes vigentes nos obligan a tener planes de proteccio´n y emergencias deber´ıamos ir ma´s alla´ y si fuera necesario buscar asesoramiento especializado.
    Tambie´n podr´ıamos pensar que las amenazas externas y del medioambiente quedan cubiertos con el desarrollo de “Planes de Continuidad del Negocio” y de “Recuperacio´n ante desastres”, sin embargo convendr´ıa considerar en este apartado las medidas de proteccio´n contra inundaciones, incendios y terremotos para mitigar sus efectos.
3. Objetivo 2 - Seguridad de los equipos
  Prevenir pe´rdidas, dan˜os, hurtos o comprometer los activos as´ı como la interrupcio´n de las actividades de la organizacio´n.
  Los dan˜os en los equipos pueden causar interrupciones en la actividad de una organizacio´n o vulnerar la confidencialidad de la informacio´n causada por robos de activos
  Veamos los controles que deberemos revisar en nuestra evaluacio´n de riesgos para la seguridad de la informacio´n
  1. Ubicacio´ n y proteccio´ n del equipamiento
    Controles para proteger los equipos de dan˜os ambientales y accesos no autorizados Evitar accesos no necesarios
    Proteger los equipos de a´reas sensibles como centros de datos o salas de servidores
    Controles de proteccio´n en lugares de almacenamiento de equipos si estos contienen infor-macio´n
    Medidas de proteccio´n contra dan˜os ele´ctricos (fuentes de alimentacio´n reguladas, l´ıneas de alimentacio´n separadas y respaldadas etc.)
    Control medioambiental para cumplir con las especificaciones del fabricante en cuanto a condiciones de humedad, temperatura proteccio´n contra polvo o materiales que puedan dan˜ar los equipos
    Medidas de proteccio´n contra radiaciones
    Deben establecerse pautas para comer, beber y fumar cerca del equipo para evitar dan˜os o simplemente evitar que los empleados este´n en contacto con los equipos si no esta´n trabajando en ellos.
  2. Elementos de soporte
    Se trata de establecer medidas de control para el suministro necesario para mantener operativas las instalaciones y los equipos
    A menudo esta seccio´n se pasa por alto en pequen˜as y medianas empresas como nosotros, pero conviene que tengamos en cuenta controles para garantizarnos segu´n nuestras posibilidades la cobertura ante fallos del suministro ele´ctrico y las comunicaciones.
    Los controles van enfocados a:
    Cumplir con las especificaciones del fabricante de los equipos en cuanto a suministros (elec-tica, gas etc.)
    Cumplir los requisitos legales
    Establecer algu´n proceso de deteccio´n de fallos de suministro
    Mantener si es posibles alternativas a fallos de suministro (sistemas de alimentacio´n ininterrumpida, rutas alternativas en comunicaciones etc.)
    Entonces, deberemos ser imaginativos pues no siempre esta´ a nuestro alcance poder duplicar las comunicaciones o los suministros de energ´ıa ele´ctrica o gas etc. A veces pasa por reforzar sistemas como Teletrabajo, soportes CLOUD o convenios con empresas ma´s grandes como clientes importantes de confianza con mayor infraestructura en caso de desastres que no podamos asumir.
  3. Seguridad en el cableado
    Controles para proteccio´n del cableado de energ´ıa y de comunicaciones que afecta a los sistemas de informacio´n. Se trata de evitar tanto el posible dan˜o de las infraestructuras como las posibles interferencias que corrompan los datos o el suministro a nuestros clientes.
  4. Mantenimiento del equipamiento
    Garantizar que los equipos se mantienen adecuadamente para garantizar que no se deterioren y este´n siempre disponibles.
    Para ello tomamos en cuenta:
    Las recomendaciones del fabricante
    Solo personal autorizado debe mantener equipos cr´ıticos y se deben mantener registros. La informacio´n sensible deber´ıa removerse del equipo cuando sea necesario
    Cumplir con todos los requisitos de las po´lizas de seguros
  5. Retiro de bienes
    Cuando se trata de la retirada de un activo de informacio´n ya sea equipos, software u otros dispositivos de informacio´n deber´ıamos controlar
    La identificacio´n y autorizacio´n de personal autorizado a retirar equipos o activos fuera de la organizacio´n
    Fijamos l´ımites de tiempo
    Llevamos un registro de equipos retirados y de su retorno as´ı como de la identificacio´n de personal.
  6. Seguridad del equipamiento y de los activos fuera de las instalaciones
    Mantenemos un registro de la custodia de los activos que abandonan la organizacio´n y realizamos las evaluaciones de riesgo para instalaciones donde sera´n utilizados.
  7. Seguridad en la reutilizacio´ n o eliminacio´ n de equipos
    Para los equipos que van a ser reutilizados garantizamos
    La informacio´n que conten´ıan se ha destruido o sobre escribido correctamente antes de su reutilizacio´n
    Que las informacio´n se ha eliminado completamente considerando que los formateos esta´ndar no realizan esta tarea de forma adecuada
    Los equipos averiados deben estar sujetos a una evaluacio´n de riesgos antes de disponer de ellos para una reparacio´n
  8. Equipamiento desatendido por el usuario
    Los usuarios no deben dejar las sesiones abiertas mientras el equipo no este atendido.
    Adema´s de los procedimientos de bloqueo de pantalla, la sesio´n de la aplicacio´n y de la red debe cerrarse cuando las conexiones no se utilizan.
    Esto deber´ıa aplicarse tanto a los dispositivos mo´viles como a los equipos fijos.
  9. Pol´ıtica de escritorio y pantalla limpios
    Las pantallas no deben mostrar informacio´n cuando el equipo no este´ en uso y los escritorios deben estar libres de papeles cuando no este´n en uso o desatendidos. Dependiendo de la clasifi-cacio´n de los documentos en papel y la cultura de la organizacio´n, el papel y los medios extra´ıbles deben asegurarse segu´n la pol´ıtica cuando no este´n en uso.
    Las evaluaciones de riesgos deber´ıan considerar el uso de tecnolog´ıas que permitan realizar copias de la informacio´n tales como: Impresoras, fotocopiadoras, esca´neres y ca´maras (especialmente en tele´fonos). Las impresoras se pueden configurar de modo que solo el creador pueda acceder a las copias una vez que se haya ingresado un co´digo en la ma´quina para evitar el acceso no autorizado.
Adquisicio´ n de Sistemas de Informacio´ n, Desarrollo y Man-tencio´ n
1. Objetivo
  Atender los requerimientos de mejoramiento o de automatizacio´n de procesos a trave´s del desarrollo o adquisicio´n de sistemas de informacio´n para la Superintendencia de Sociedades.
2. Alcance
  Se aplica sobre los requerimientos de los usuarios que atiendan las necesidades de los diferentes procesos que adelanta la entidad y que requieren ser automatizados, una vez sean aprobados por el grupo de arquitectura Empresarial.
3. Definiciones
  Desarrollo: Proceso de creacio´n y mantenimiento de programas y sistemas de informacio´n.
  Herramientas utilizadas para el desarrollo Herramienta que se utiliza para escribir el co´di-go de programacio´n (desarrollo) de los Sistemas de Informacio´n.
  Implementacio´ n La implementacio´n de sistemas informa´ticos es una de las etapas del desarrollo de sistemas, consiste en colocar en funcionamiento el sistema de informacio´n una vez desarrollado y probado
  Mantenimiento Son las modificaciones que se realizan en sistema de informacio´n (software) despue´s de la entrega al usuario. Estas modificaciones podra´n ser realizadas para mejorar el rendimiento, corregir defectos, adaptar el sistema de informacio´n a un nuevo de entorno, software o hardware, u otras propiedades deseables.
  Usuario final Funcionario que requiere de una funcionalidad mediante actualizacio´n o ad-quisicio´n de un sistema de informacio´n
4. Pol´ıticas
  La solicitud o requerimiento realizado se debe registrar de manera completa, clara y posible con todos los antecedentes, mediante la herramienta que la Direccio´n de Informa´tica y Desarrollo defina. Esto puede ser Punto u´nico de atencio´n DID, mesa de ayuda, System Center, memorando o e-mail dirigido a la Direccio´n de Informa´tica y Desarrollo o al Grupo de Innovacio´n y Desarrollo.
  La Direccio´n de Informa´tica y Desarrollo debe asegurar que:
  En el desarrollo o adquisicio´n de sistemas de informacio´n se definan todos los requerimientos necesarios para su buen funcionamiento.
  Exista integracio´n de los sistemas de informacio´n con los que cuenta la organizacio´n.
  Se ejecuten todas las pruebas necesarias antes de la puesta en funcionamiento (produc-cio´n) cualquier solucio´n que se implemente.
  Se documenten los sistemas de informacio´n y que se realicen las actualizaciones correspondientes cuando estas son modificadas. Toda adquisicio´n, desarrollo o modificacio´n de sistemas de informacio´n debera´n incluir el suministro y/o actualizacio´n de la documentacio´n correspondiente del sistema o mo´dulo:
  - Especificaciones funcionales
  - Especificaciones de seguridad
  - Manual de Instalacio´n y configuracio´n
  - Manual de administracio´n, operacio´n y mantenimiento
  - Manual de usuario
    Sean actualizados los documentos de inventario de sistemas de informacio´n con las modificaciones y adquisiciones que se generen.
    La seguridad de la informacio´n sea parte integral en el ciclo de vida de las aplicaciones.
    Existan los ambientes de trabajo requeridos en el desarrollo de sistemas de informacio´n o implementacio´n de sistemas de informacio´n que se adquieran. (ambientes de desarrollo, pruebas, produccio´n, capacitacio´n).
    Se entreguen los medios (programa fuente, programas objeto, licencias y manuales), de los sistemas de informacio´n para ser inventariados, contar con las garant´ıas y licenciamientos como resultado de la adquisicio´n o desarrollo realizado
    En la fase de pruebas de los sistemas de informacio´n desarrollados o adquiridos, se deben utilizar datos despersonalizados (es decir, no datos de produccio´n).
    Si se utilizan datos de produccio´n, estos deben ser entregados a un funcionario responsable de los mismos, quien debe firmar acuerdo de confidencialidad sobre los datos recibidos para pruebas. Una vez terminadas las pruebas estos deben ser borrados de manera segura
    En cumplimiento de los requisitos legales de privacidad y seguridad de la informacio´n, los datos de prueba no deben contener informacio´n que permitan la identificacio´n de la persona natural o jur´ıdica a la que pertenezca la informacio´n.
    En los desarrollos o adquisiciones de sistemas de informacio´n, los programas fuente y objeto deben ser entregados y recibidos de los funcionarios responsables de su control.
    Debe existir un a´rea o funcionario responsable de la entrega de programas fuente que van a ser modificados y de su recepcio´n una vez sean puestos en produccio´n. As´ı mismo, para recibir los programas fuente y objeto producto de la adquisicio´n de un nuevo sistema de informacio´n.
    Personal ajeno al ambiente de desarrollo-pruebas no debe tener por ningu´n motivo de acceso a programas fuente, a utilitarios, a l´ıneas de comando que puedan colocar en riesgo los sistemas de informacio´n de La Superintendencia de Sociedades.
    Las siguientes directrices se deben considerar para controlar el acceso a los co´digos fuente de programas:
  - El personal de soporte de TI debe tener acceso restringido a las librer´ıas de programas fuente.
  - Se debe mantener un registro de auditoria de todos los accesos a las bibliotecas de programa fuente.
  - Las viejas versiones de los programas fuente deben ser archivadas con una clara in-dicacio´n de las fechas y horas precisas en las cuales estaban en operaciones, junto con todo el software de soporte, el control de tareas, las definiciones de datos y los procedimientos.
  - El mantenimiento y la copia de los co´digos fuentes de programas deben estar sujetas a los procedimientos estrictos de control de cambios.
    Etapas en el desarrollo de sistemas de informacio´n.
  - Ana´lisis y aprobacio´ n de requerimientos de sistemas de informacio´ n La parte fundamental del desarrollo, adquisicio´n, implementacio´n o mantenimiento de sistemas de informacio´n es la definicio´n clara de los requerimientos. Para esto la coordinacio´n de Innovacio´n, Desarrollo y Arquitectura de Aplicaciones debe asesorar a los funcionarios que requieren mejoras en sus procesos de informacio´n.
  - Adquisicio´ n y/o desarrollo, y prueba de los sistemas de informacio´ n requeridos Una vez definido el documento de requerimientos y aprobado, se debe dar inicio al proceso de adquisicio´n o desarrollo de los requerimientos.
  - Entrega e implementacio´ n de los sistemas de informacio´ n requeridos Una vez desarrollada y/o adquirida, probada y aprobada la funcionalidad o sistema de infor-macio´n requerida, debe colocarse en produccio´n, previa aprobacio´n en el comite´ de cambios.
  - Seguimiento y control del desarrollo, adquisicio´ n o mantenimiento de los sistemas de informacio´ n requeridos Una vez implementado el sistema de informacio´n se ha puesto en produccio´n, deben realizarse las siguientes actividades:
    - Verificacio´n de los acuerdos de niveles de servicio.
    - Elaboracio´n de informes de supervisio´n.
    - Revisio´n de indicadores del proceso.
    - Actualizacio´n del cata´logo de sistemas de informacio´n.
    - Notificaciones y anuncios a la entidad, sobre la puesta en produccio´n del sistema de informacio´n desarrollado, adquirido o mantenido.
Sanciones

Se transmite esta informacio´n para el entendimiento y cumplimiento de esta´s Pol´ıticas, porque se entiende que van en pro de los principios de SCM LATAM, es por eso que se definen las sanciones a los actos repetitivos en infraccio´n a nuestras normas.

Principalmente el no cumplimiento de nuestras pol´ıticas y la accio´n repetitiva de esta costumbre, sera´ causal de despido para el infractor. Cabe mencionar que esto sera´ puesto a evaluacio´n por el comite cabecera de la empresa, para determinar grado de culpabilidad y medir consecuencias que pueden estar directamente vinculadas a nuestros clientes, dado a que nuestra mayor preocupacio´n es la de brindar un buen servicio.

POL´ITICAS DE SEGURIDAD

SCM LATAM 2019

Claudio Castillo Roberto Alfaro Allende

Director de Servicios Gerente General

Pol´ıticas de seguridad de la informacio´ n 5

Gestio´ n de acceso 10

Proceso de evaluacio´ n de riesgo 15

Capacitaciones en Seguridad de la informacio´ n 18

Seguridad f´ısica y del entorno 19

Adquisicio´ n de Sistemas de Informacio´ n, Desarrollo y Mantencio´ n 23

Sanciones 26

Pol´ıticas de seguridad de la informacio´ n

Resumen de la pol´ıtica:

Introduccio´ n:

Alcance:

Objetivos de seguridad de la informacio´ n:

Principios de seguridad de la informacio´ n:

Responsabilidades:

Indicadores clave:

Pol´ıticas relacionadas:

EJEMPLOS DE ESTOS TEMAS DE POL´ITICA INCLUYEN:

Y MA´ S DIRECTAMENTE DIRIGIDAS A USUARIOS:

LA DIRECCIO´ N EJECUTIVA DE LA EMPRESA ES LA RESPONSABLE DE APROBAR UNA POL´ITICA DE SEGURIDAD DE LA INFORMACIO´ N QUE ASEGURE QUE:

El cumplimiento de esta pol´ıtica, as´ı como de la pol´ıtica de seguridad de la informacio´n y de cualquier procedimiento o documentacio´n incluida dentro del repositorio de documentacio´n del SGSI, es obligatorio y atan˜ e a todo el personal de la organizacio´ n.

Las visitas y personal externo que accedan a nuestras instalaciones no esta´n exentas del cumplimiento de las obligaciones indiciadas en la documentacio´n del SGSI, y el personal interno observara´ su cumplimiento.

Gestio´ n de acceso

Objetivo general:

Objetivos espec´ıficos

Alcance

Control de acceso

Reglas para el control de acceso

Gestio´ n de entidades

Responsabilidad de los usuarios

Control de acceso a la red

Pol´ıtica de utilizacio´ n de los servicios de red

Identificacio´ n de equipos en la Red

Proteccio´ n de los puertos de configuracio´ n y diagnostico remoto

Control de acceso al sistema operativo

Registro de inicio seguro

Gestio´ n de contrasen˜ as

Control de acceso a la informacio´ n

Computacio´ n Mo´ vil y Trabajo Remoto

Computacio´ n y comunicaciones mo´ viles

Trabajo remoto

Proceso de evaluacio´ n de riesgo

Objetivo

Actividades del procedimiento

¿Estamos al tanto de lo que ocurre en el contexto del proyecto?

¿Estamos reconsiderando los supuestos cr´ıticos y los riesgos que podr´ıan afectar la capacidad del proyecto para actuar?

¿Estamos identificando estrategias, contingencias o planes de emergencia alternativos?

¿Estamos asignando fondos suficientes para atender los riesgos del proyecto?

¿Los cambios en el entorno, como nuevos sistemas o nuevo liderazgo, han creado nuevos riesgos que sea necesario atender?

Identificacio´ n de riesgos (identificar y documentar todos los riesgos que pueden afectar al proyecto)

Ana´lisis de riesgos cualitativos (determinar los efectos de los riesgos identificados sobre los objetivos del proyecto)

Ana´lisis de riesgos cuantitativos (asignar probabilidades nume´ricas a los riesgos y su impacto sobre los objetivos del proyecto)

Planificacio´ n de respuesta ra´pida (decidir que´ acciones se requieren

para reducir o suprimir amenazas, sobre todo las muy probables y de alto impacto)

Monitoreo y control de riesgos (responder a los riesgos en cuanto se presentan y cerciorarse de aplicar los procedimientos apropiados para la gestio´ n de riesgos)

Mitigar el riesgo – Tomar acciones espec´ıficas para reducir la probabilidad y/o el impacto de un riesgo potencial. Ejemplo: instituir un sistema de seguridad que prevenga el acceso no autorizado a las a´reas de almacenamiento de materiales de construccio´n del proyecto.

Capacitaciones en Seguridad de la informacio´ n

Certificacio´ n

Seguridad f´ısica y del entorno

Objetivos

Objetivo 1 - A´ reas seguras

Per´ımetro de seguridad f´ısica

Controles de acceso f´ısico

Seguridad de oficinas, despachos e instalaciones

Proteccio´ n contra amenazas externas y del ambiente

Objetivo 2 - Seguridad de los equipos

Ubicacio´ n y proteccio´ n del equipamiento

Elementos de soporte

Seguridad en el cableado

Mantenimiento del equipamiento

Retiro de bienes

Seguridad del equipamiento y de los activos fuera de las instalaciones

Seguridad en la reutilizacio´ n o eliminacio´ n de equipos

Equipamiento desatendido por el usuario

Pol´ıtica de escritorio y pantalla limpios

Adquisicio´ n de Sistemas de Informacio´ n, Desarrollo y Man-tencio´ n

Objetivo

Alcance

Definiciones

Desarrollo: Proceso de creacio´n y mantenimiento de programas y sistemas de informacio´n.

Herramientas utilizadas para el desarrollo Herramienta que se utiliza para escribir el co´di-go de programacio´n (desarrollo) de los Sistemas de Informacio´n.