Professional Documents
Culture Documents
Otra informacin
Muchas organizaciones designar a un gerente de seguridad de la informacin
para tomar la responsabilidad general para el desarrollo y la aplicacin de
seguridad de la informacin y apoyar la identificacin de los mandos.
Sin embargo, la responsabilidad de la dotacin de recursos y la implementacin
de los controles a menudo se quedar con los administradores individuales.
Una prctica comn es nombrar a un propietario para cada activo que luego se
convierte en responsable de su proteccin en el da a da.
6.1.2 Segregacin de funciones
Control
Las funciones en conflicto y reas de responsabilidad deben estar separados
para reducir las oportunidades para la modificacin o mal uso de los activos de
la organizacin no autorizado o involuntario.
Gua de implementacin
Se debe tener cuidado de que una sola persona no puede acceder, modificar o
utilizar los activos sin la autorizacin o la deteccin. El inicio de un evento debe
ser separado de su autorizacin. La posibilidad de colusin debe ser
considerado en el diseo de los controles.
Las organizaciones pequeas pueden encontrar segregacin de funciones
difciles de conseguir, pero el principio debe ser aplicado en la medida de lo
posible y practicable. Siempre es difcil segregar, otros controles, como el
seguimiento de las actividades, pistas de auditora y supervisin de la gestin
deben ser consideradas.
Otra informacin
La segregacin de funciones es un mtodo para reducir el riesgo de mal uso
accidental o deliberada de los activos de una organizacin.
6.1.3 Contacto con autoridades
Control
Los contactos pertinentes con las autoridades pertinentes deben mantenerse.
Gua de implementacin
Las organizaciones deben contar con procedimientos que especifican cundo y
por quin (por ejemplo, la polica, los organismos reguladores, autoridades de
control) se debe contactar a las autoridades y cmo la informacin identificada
incidentes de seguridad deben ser informados en el momento oportuno (por
ejemplo, si se sospecha que las leyes pueden tener ha roto).
Otra informacin
Organizaciones de ataque a travs de Internet pueden necesitar las
autoridades a tomar medidas contra la fuente de ataque.
El mantenimiento de este tipo de contactos puede ser un requisito para apoyar
la informacin de gestin de incidentes de seguridad (vase el captulo 16) o la
continuidad del negocio y el proceso de planificacin de contingencia (vase el
numeral 17). Los contactos con los organismos reguladores tambin son tiles
para anticipar y prepararse para los prximos cambios en las leyes o
reglamentos, que tienen que ser implementado por la organizacin. Los
contactos con otras autoridades incluyen los servicios pblicos, servicios de
emergencia, los proveedores de electricidad y la salud y la seguridad, por
ejemplo, departamentos de bomberos (en relacin con la continuidad del
negocio), proveedores de telecomunicaciones (en relacin con el enrutamiento
de lnea y disponibilidad) y los proveedores de agua (en relacin con las
instalaciones de refrigeracin para el equipo).
6.1.4 Contacto con grupos de inters especial
Control
Los contactos pertinentes con los grupos de inters u otros foros de seguridad
especializada y las asociaciones profesionales deben mantenerse.
Gua de implementacin
La pertenencia a grupos de intereses especiales o foros debe ser considerada
como un medio para:
a) Mejorar el conocimiento de las mejores prcticas y estar al da con la
informacin de seguridad pertinentes;
b) Asegurar la comprensin del medio
informacin est actualizada y completa;
ambiente
seguridad
de
la
sobre
nuevas
tecnologas,
Otra informacin
Acuerdos para compartir informacin pueden establecer para mejorar la
cooperacin y coordinacin de las cuestiones de seguridad. Tales acuerdos
deben determinar las necesidades de proteccin de la informacin confidencial.
6.1.5 Seguridad de la informacin en la gestin de proyectos
Control
Seguridad de la informacin debera abordarse en la gestin de proyectos,
independientemente del tipo de proyecto.
Gua de implementacin
Seguridad de la informacin debe integrarse en el mtodo de gestin de
proyectos de la organizacin (s) para asegurar que la seguridad informtica
riesgos se identifican y se dirigi como parte de un proyecto. Esto se aplica
generalmente a cualquier proyecto independientemente de su carcter, por
ejemplo, un proyecto para un proceso central de negocios, informtica, gestin
de instalaciones y otros procesos de apoyo. Los mtodos de gestin de
proyectos en uso deben exigir que:
a) Los objetivos de seguridad de la informacin estn incluidas en los
objetivos del proyecto;
b) Una evaluacin de riesgos de seguridad de informacin se lleva a cabo
en una etapa temprana del proyecto para identificar los controles
necesarios;
c) Seguridad de la informacin es parte de todas las fases de la
metodologa del proyecto aplicado.
Implicaciones para la seguridad de la informacin debe dirigirse y revisados
con regularidad en todos los proyectos. Las responsabilidades de seguridad de
la informacin deben ser definidos y asignados a los roles especficos definidos
en los mtodos de gestin de proyectos.