6.

Organizacin de seguridad de la informacin

6.1 Organizacin interna
Objetivo: Establecer un marco de gestin para iniciar y controlar la
implementacin y operacin de seguridad de la informacin dentro de la
organizacin.
6.1.1 Roles y responsabilidades de seguridad de la informacin
Control
Todas las responsabilidades de seguridad de la informacin deben ser definidos
y asignados.
Gua de implementacin
La asignacin de responsabilidades de seguridad de informacin debe
realizarse conforme a las polticas de seguridad de la informacin (vase
5.1.1). Se deben identificar las responsabilidades para la proteccin de los
activos individuales y para llevar a cabo los procesos de seguridad de la
informacin especfica. Deben definirse las responsabilidades para las
actividades de gestin de riesgo para la seguridad de informacin y en
particular para la aceptacin de riesgos residuales. Estas responsabilidades
deben complementarse, cuando sea necesario, con la gua ms detallada para
sitios especficos y las instalaciones de procesamiento de informacin. Deben
definirse las responsabilidades locales para la proteccin de activos y para
llevar a cabo los procesos de seguridad especficos.
Las personas con responsabilidades de seguridad de la informacin asignada
podrn delegar tareas de seguridad a los dems. No obstante siguen siendo
responsables y deben determinar que las tareas delegadas se han realizado
correctamente.
reas para la que los individuos son responsables deben declararse. En
particular, el siguiente debe tener lugar:
a) Los activos y procesos de seguridad de la informacin deben ser
identificados y definidos;
b) La entidad responsable de cada proceso de seguridad activo o
informacin debe ser asignado y los detalles de esta responsabilidad
debe ser documentada (vase 8.1.2);
c) Los niveles de autorizacin deben ser definidas y documentadas;
d) Ser capaz de cumplir con sus responsabilidades en el rea de seguridad
de la informacin las personas designadas debern ser competentes en
el rea y tener oportunidades dadas a mantenerse al da con la
evolucin;

e) La coordinacin y la supervisin de los aspectos de seguridad de

informacin de relaciones con los proveedores deben ser identificados y
documentados.

Otra informacin
Muchas organizaciones designar a un gerente de seguridad de la informacin
para tomar la responsabilidad general para el desarrollo y la aplicacin de
seguridad de la informacin y apoyar la identificacin de los mandos.
Sin embargo, la responsabilidad de la dotacin de recursos y la implementacin
de los controles a menudo se quedar con los administradores individuales.
Una prctica comn es nombrar a un propietario para cada activo que luego se
convierte en responsable de su proteccin en el da a da.
6.1.2 Segregacin de funciones
Control
Las funciones en conflicto y reas de responsabilidad deben estar separados
para reducir las oportunidades para la modificacin o mal uso de los activos de
la organizacin no autorizado o involuntario.
Gua de implementacin
Se debe tener cuidado de que una sola persona no puede acceder, modificar o
utilizar los activos sin la autorizacin o la deteccin. El inicio de un evento debe
ser separado de su autorizacin. La posibilidad de colusin debe ser
considerado en el diseo de los controles.
Las organizaciones pequeas pueden encontrar segregacin de funciones
difciles de conseguir, pero el principio debe ser aplicado en la medida de lo
posible y practicable. Siempre es difcil segregar, otros controles, como el
seguimiento de las actividades, pistas de auditora y supervisin de la gestin
deben ser consideradas.
Otra informacin
La segregacin de funciones es un mtodo para reducir el riesgo de mal uso
accidental o deliberada de los activos de una organizacin.
6.1.3 Contacto con autoridades
Control
Los contactos pertinentes con las autoridades pertinentes deben mantenerse.

Gua de implementacin
Las organizaciones deben contar con procedimientos que especifican cundo y
por quin (por ejemplo, la polica, los organismos reguladores, autoridades de
control) se debe contactar a las autoridades y cmo la informacin identificada
incidentes de seguridad deben ser informados en el momento oportuno (por
ejemplo, si se sospecha que las leyes pueden tener ha roto).
Otra informacin
Organizaciones de ataque a travs de Internet pueden necesitar las
autoridades a tomar medidas contra la fuente de ataque.
El mantenimiento de este tipo de contactos puede ser un requisito para apoyar
la informacin de gestin de incidentes de seguridad (vase el captulo 16) o la
continuidad del negocio y el proceso de planificacin de contingencia (vase el
numeral 17). Los contactos con los organismos reguladores tambin son tiles
para anticipar y prepararse para los prximos cambios en las leyes o
reglamentos, que tienen que ser implementado por la organizacin. Los
contactos con otras autoridades incluyen los servicios pblicos, servicios de
emergencia, los proveedores de electricidad y la salud y la seguridad, por
ejemplo, departamentos de bomberos (en relacin con la continuidad del
negocio), proveedores de telecomunicaciones (en relacin con el enrutamiento
de lnea y disponibilidad) y los proveedores de agua (en relacin con las
instalaciones de refrigeracin para el equipo).
6.1.4 Contacto con grupos de inters especial
Control
Los contactos pertinentes con los grupos de inters u otros foros de seguridad
especializada y las asociaciones profesionales deben mantenerse.
Gua de implementacin
La pertenencia a grupos de intereses especiales o foros debe ser considerada
como un medio para:
a) Mejorar el conocimiento de las mejores prcticas y estar al da con la
informacin de seguridad pertinentes;
b) Asegurar la comprensin del medio
informacin est actualizada y completa;

ambiente

seguridad

de

la

c) Recibir alertas tempranas de alertas, avisos y parches relacionados con

ataques y vulnerabilidades;
d) Obtenga acceso a consejos de seguridad de informacin especializada;

e) Compartir e intercambiar informacin

productos, amenazas o vulnerabilidades;

sobre

nuevas

tecnologas,

f) Proporcionar puntos de enlace adecuados cuando se trata de incidentes

de seguridad de la informacin (vase el numeral 16).

Otra informacin
Acuerdos para compartir informacin pueden establecer para mejorar la
cooperacin y coordinacin de las cuestiones de seguridad. Tales acuerdos
deben determinar las necesidades de proteccin de la informacin confidencial.
6.1.5 Seguridad de la informacin en la gestin de proyectos
Control
Seguridad de la informacin debera abordarse en la gestin de proyectos,
independientemente del tipo de proyecto.
Gua de implementacin
Seguridad de la informacin debe integrarse en el mtodo de gestin de
proyectos de la organizacin (s) para asegurar que la seguridad informtica
riesgos se identifican y se dirigi como parte de un proyecto. Esto se aplica
generalmente a cualquier proyecto independientemente de su carcter, por
ejemplo, un proyecto para un proceso central de negocios, informtica, gestin
de instalaciones y otros procesos de apoyo. Los mtodos de gestin de
proyectos en uso deben exigir que:
a) Los objetivos de seguridad de la informacin estn incluidas en los
objetivos del proyecto;
b) Una evaluacin de riesgos de seguridad de informacin se lleva a cabo
en una etapa temprana del proyecto para identificar los controles
necesarios;
c) Seguridad de la informacin es parte de todas las fases de la
metodologa del proyecto aplicado.
Implicaciones para la seguridad de la informacin debe dirigirse y revisados
con regularidad en todos los proyectos. Las responsabilidades de seguridad de
la informacin deben ser definidos y asignados a los roles especficos definidos
en los mtodos de gestin de proyectos.