MEJORES PRACTICAS RECOMENDADAS ESTADO DEL CLIENTE Y OBSERVACIONES

4 – Aspectos organizativos para la Seguridad

4.1 Estructura para la seguridad de la información

Objetivos
Manejar la seguridad de la información dentro de la organización.
¿Se debería establecer un marco referencial gerencial para iniciar y controlar la
implementación de la seguridad de la información dentro de la organización?
¿La gerencia debería aprobar la política de seguridad de la información dentro de la
organización?
¿Debería establecer una fuente de consultoría sobre seguridad de la información y
estar disponible dentro de la organización?
Compromiso de la gerencia con la seguridad de la información
¿La organización debería apoyar activamente a la seguridad?
La gerencia debería:
¿Asegurar los objetivos de la seguridad de la información?
¿Formular, revisar y aprobar las políticas de seguridad de información?
¿Revisar la efectividad de la implementación de la política de seguridad de la
información?
¿Proporcionar una dirección clara y un apoyo gerencial visible para las
iniciativas de seguridad?
¿Proporcionar los recursos necesarios para la seguridad de la información?
¿Aprobar la asignación de roles y responsabilidades específicas para la seguridad
de la información a lo largo de toda la organización?
¿Iniciar planes y programas para mantener la conciencia de seguridad de la
información?
¿Asegurar que la implementación de los controles de seguridad de la información
sea coordinada en toda la organización?
¿La gerencia debería identificar las necesidades de consultoría especializada
interna o externa para la seguridad de la información?
 MEJORES PRACTICAS RECOMENDADAS ESTADO DEL CLIENTE Y OBSERVACIONES
4 – Aspectos organizativos para la Seguridad

Coordinación de la seguridad de la información . asegurar que las actividades de seguridad sean ejecutadas en
¿Debería ser las actividades de la seguridad de la información coordinadas por conformidad con la
representantes de diferentes partes de la organización? política de seguridad de la información;
¿? b) identificar cómo manejar las no-conformidades;
¿? c) aprobar las metodologías y procesos para la seguridad de la
¿? información; por
¿? ejemplo, la evaluación del riesgo, la clasificación de la información;
¿? d) identificar cambios significativos en las amenazas y la exposición de
¿? la información
¿? y los medios de procesamiento de la información ante amenazas;
¿? e) evaluar la idoneidad y coordinar la implementación de los controles de
¿? la seguridad
¿? de información;
¿? f) promover de manera efectiva la educación, capacitación y
¿? conocimiento de la
¿? seguridad de la información a través de toda la organización;
¿? g) evaluar la información recibida del monitoreo y revisar los incidentes
¿? de seguridad
¿? de la información, y recomendar las acciones apropiadas en respuesta a
¿? los
incidentes de seguridad de información identificados.
Si
Asignación de las responsabilidades de la seguridad de la información a) se debieran identificar y definir claramente los activos y procesos de
seguridad
asociados con cada sistema particular;
b) se debiera designar la entidad responsable de cada activo o proceso de
seguridad y
se debieran documentar los detalles de esta responsabilidad;
c) se debieran definir y documentar claramente los niveles de
autorización.
 MEJORES PRACTICAS RECOMENDADAS ESTADO DEL CLIENTE Y OBSERVACIONES
4 – Aspectos organizativos para la Seguridad