Anda di halaman 1dari 25

Gestin Estratgica en

Seguridad de la Informacin

ISO 27002

Cdigo de Buenas Prcticas


para la Gestin de la
Seguridad de la Informacin
Organizacin de Seguridad

Ing. Pablo Romanos

GESI C1/1

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/2

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Infraestructura de Seguridad
Objetivo 1:

Administrar la seguridad de la informacin dentro de la


organizacin. Establecer un marco gerencial para
iniciar y controlar su implementacin.
Establecer comits de gestin liderados por niveles gerenciales,
que puedan:
 aprobar la poltica de seguridad de la informacin
 asignar funciones de seguridad
 coordinar la implementacin de la seguridad en toda la organizacin

Mantener contactos con especialistas externos en materia de


seguridad para estar al corriente de las tendencias
Monitorear estndares y mtodos de evaluacin
Establecer puntos de enlace adecuados al afrontar incidentes de
seguridad
Alentar un enfoque multidisciplinario de la seguridad de la
informacin, por ej.:
comprometiendo la cooperacin de gerentes
usuarios, administradores, diseadores, auditores,
expertos en reas de seguros y administracin de riesgos.
Ing. Pablo Romanos

GESI C1/3

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/4

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Comit Gerencial sobre Seguridad
Control 1:

Un comit gerencial debera garantizar una clara direccin y un apoyo


manifiesto de la direccin a las iniciativas de seguridad, mediante un
adecuado compromiso y una apropiada asignacin de responsabilidades.

El comit gerencial de seguridad debera:


 asegurar que los objetivos y requerimientos de seguridad
sean identificados e integrados en los procesos de la organizacin
 formular, revisar y aprobar la poltica de seguridad
 evaluar en todo momento la efectividad de la poltica de
seguridad
 proveer una direccin clara y soporte adecuado a las iniciativas
de seguridad
 proveer de los recursos necesarios para la gestin de la
seguridad de la informacin
 aprobar la asignacin de roles y responsabilidades especficas
en materia de seguridad de la informacin
 iniciar planes y programas de concientizacin en seguridad de
la informacin
 asegurar que la implementacin de controles de seguridad se
realice a lo largo de toda la organizacin
El comit gerencial debera identificar los requerimientos de
auditoras de seguridad internas o externas, revisando y
coordinando los resultados con todas las reas de la
organizacin.

Ing. Pablo Romanos

GESI C1/5

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/6

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Coordinacin de Seguridad
actividades de la seguridad de la informacin deberan ser
Control 2: Las
coordinadas por representantes de las diferentes reas de la
organizacin mediante la asignacin de roles funcionales.
La coordinacin de seguridad afectar a directores,
usuarios, administradores, diseadores, auditores,
personal de vigilancia, as como especialistas de las
reas seguros, legales y tecnologa.
Las funciones deberan ser:
 asegurar que las actividades de seguridad son ejecutadas en conformidad
con la poltica de seguridad de la informacin
 identificar la forma en que son manejadas las no conformidades
 aprobar las metodologas y procesos de seguridad de la informacin, ej.:
anlisis de riesgos, clasificacin de la informacin
 identificar amenazas, informacin expuesta e instalaciones de procesamiento
bajo amenaza
 estimar la suficiencia de los controles de seguridad y coordinar su
implementacin
 garantizar que la seguridad forma parte del proceso de planificacin de la
informacin
 promover de forma efectiva la educacin, entrenamiento y concientizacin en
seguridad de la informacin a travs de toda la organizacin
 evaluar la informacin obtenida del monitoreo e investigar incidentes de
seguridad recomendando acciones en respuesta a la ocurrencia de los mismos
Ing. Pablo Romanos

GESI C1/7

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/8

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades
Control 3:

Las responsabilidades en materia de seguridad de la informacin


deberan ser claramente definidas.

Definir responsabilidades sobre los recursos ,


procesos y continuidad de los negocios.
La poltica de seguridad debe suministrar
orientacin acerca de la asignacin de funciones
de seguridad dentro la organizacin.
Designar un propietario para cada recurso de
informacin.
Los propietarios podrn delegar tareas pero en
ltimo trmino son responsables de la seguridad
del recurso.
Establecer claramente las reas sobre las cuales
es responsable cada gerente.
Las funciones deberan abarcar:
 identificar y definir claramente los diversos recursos y procesos
de seguridad relacionados con cada uno de los sistemas.
 designar al gerente responsable de cada recurso o proceso de
seguridad y documentar los detalles de esta responsabilidad.
 documentar y definir claramente los niveles de autorizacin.
Ing. Pablo Romanos

GESI C1/9

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades
Actividades
Define
Solicita

Implanta

Usuario

Usa

Gestiona

Actores

Propietario

Implanta

Autoriza y
Define

Audita

Custodio
Ing. Pablo Romanos

GESI C1/10

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades
Actores:

 Propietario: Responsable de la gestin y utilizacin de


una informacin determinada.
 Custodio: Responsable de la posesin de la informacin
y de la gestin de los sistemas que utilizan esa
informacin.
 Usuario: Tiene acceso a la informacin y/o sistemas de
la organizacin, para su uso.

Actividades:

 Define: Definicin de las normas, tecnologas, estrategias y


responsabilidades de la Seguridad de la Informacin.
 Implanta: Ingeniera de seguridad, certificacin y paso a produccin,
soporte en todo el ciclo de vida de los sistemas o mdulos de seguridad.
 Gestiona: Mantenimiento y supervisin, operacin, administracin y
explotacin de los sistemas o mdulos de seguridad implantados.
 Audita: Recopilar los requisitos de seguridad y verificar / contrastar su
cumplimiento, informar a la direccin los resultados.
Ing. Pablo Romanos

GESI C1/11

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades
mbito Seguridad

mbito Negocio
Ing. Pablo Romanos

GESI C1/12

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades
Responsable de Seguridad
de la Informacin
Operaciones
y Tecnologa
Operaciones
y Tecnologa
Control de
Gestin

mbito de la
Seguridad

mbito del
Negocio
de la
Organizacin

Propietario

Propietario Delegado

Referente
(rea Usuaria)

Admin de
Puestos

Custodio

Sector / Plataforma
Afectada

Ing. Pablo Romanos

GESI C1/13

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades en una Organizacin
Poltica de Seguridad de la Informacin
Actores
Revisar y proponer a la mxima autoridad para su
aprobacin la Poltica de Seguridad de la
Informacin y las funciones generales en la materia;
Monitorear cambios significativos en los riesgos
que afectan a los recursos
Supervisar la investigacin y monitoreo de los
incidentes de seguridad;
Promover la formacin, difusin y apoyo a la
seguridad de la informacin;
Coordinar el proceso de administracin de la
continuidad de las actividades
Definicin y supervisin de todos los
aspectos inherentes a los temas tratados en
la Poltica de Seguridad
Clasificar la informacin de acuerdo con el
grado de sensibilidad y criticidad de la misma;
Documentar y mantener actualizada la
clasificacin efectuada;
Definir qu usuarios debern tener permisos
de acceso a la informacin de acuerdo a sus
funciones y competencia
Practicar auditoras peridicas sobre los
sistemas y actividades vinculadas con la
tecnologa de informacin, a fin de verificar el
cumplimiento de la Poltica de Seguridad
Conocer, dar a conocer, cumplir y hacer cumplir
la Poltica de Seguridad de la Informacin vigente

Coordinar las acciones del Comit de


Seguridad de la Informacin y de impulsar la
implementacin y cumplimiento de la Poltica

Cubrir los requerimientos de


seguridad informtica establecidos
para la gestin e implantacin de
los controles de seguridad sobre
los sistemas y recursos de
tecnologa de la Organizacin.
Efectuar las tareas de desarrollo
y mantenimiento de sistemas,
siguiendo una metodologa de
ciclo de vida de sistemas
apropiada, y que contemple la
inclusin de medidas de seguridad
en todas las fases del desarrollo

Comit de Seguridad
de la Informacin

Coordinador

Responsable de Seguridad
de la Informacin

Responsable del Area


Informtica

Propietarios de la
Informacin

Responsable del Area Legal

Unidad de Auditora Interna

Area de RRHH

Usuarios

Verificar el cumplimiento de la
Poltica en la gestin de todos los
contratos, acuerdos u otra
documentacin de la Organizacin
con sus empleados y con terceros;
Asesorar en materia legal a la
Organizacin, en lo que se refiere a
la seguridad de la informacin

Notificar a todo el personal que ingresa de sus obligaciones respecto del


cumplimiento de la Poltica de Seguridad de la Informacin y de todas las
normas, procedimientos y prcticas que de ella surjan.
Notificar a todo el personal los cambios que se produzcan en la Poltica, la
implementacin de la suscripcin de los Compromisos de Confidencialidad
(entre otros) y las tareas de capacitacin continua en materia de seguridad

Ing. Pablo Romanos

GESI C1/14

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Ejemplo de Asignacin de Responsabilidades en una Organizacin
 Comit Ejecutivo de la Seguridad de la Informacin.
 Comit de Seguridad de la Informacin.
 Direccin de IT.
- rea de Seguridad de la Informacin
- Area de IT.
- rea de Operaciones.
- rea de Planificacin y Desarrollo.

 Auditoria de Seguridad (interna o externa).


 Asesora Jurdica (Legales).
 Recursos Humanos
 Seguridad Fsica.
Ing. Pablo Romanos

GESI C1/15

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Funciones de los Comit de Seguridad en una Organizacin

Comit Ejecutivo de Seguridad de la


Informacin

Direcciones Corporativas.
Responsable Sistemas Informacin.
Auditoria de Seguridad.
Asesora Jurdica.

Promover los proyectos de Seguridad.

Aprobar la Poltica de Seguridad.

Definir la estructura organizativa de Seguridad.

Definir la estrategia a seguir en el mbito de la Seguridad.

Definir la delimitacin de responsabilidades.

Comit de Seguridad de la
Informacin

Departamento de Seguridad.
rea de Sistemas.
rea Planificacin y Desarrollo.
Auditoria de Seguridad.
Asesora Jurdica.

Coordinar todos los grupos internos con responsabilidades sobre la


seguridad de la informacin.

Coordinar los proyectos de mejora o cambio en los Sistemas de Seguridad.

Colaborar en la definicin y refinamiento de los procedimientos para la


identificacin de activos de informacin y su clasificacin.

Revisar propuestas para mejorar o modificar la infraestructura de los


Sistemas de Informacin.

Revisar los Planes de Contingencias.

Colaborar en la seleccin e instalacin de herramientas automticas que


permitan monitorizar o asegurar el cumplimiento de las polticas y estndares
de seguridad de la organizacin.

Ing. Pablo Romanos

GESI C1/16

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Principales Funciones de Seguridad en la Direccin de IT

Area de Seguridad de la Informacin

Responsable de Seguridad.
Consultor de Seguridad.
Responsable Planes de Contingencia.
Especialista en Documentacin.

Custodia y actualizacin de la Poltica de Seguridad.

Estndares de Seguridad global.

Consultora de Seguridad.

Documentacin de Seguridad.

Planes de Contingencias.

Coordinar la resolucin de incidentes de Seguridad.

Coordinar los planes de mejora de Seguridad.

Mantener el cuadro de mando de Seguridad.

Llevar un control interno del cumplimiento de la Poltica.

Control de Accesos (Revisin de Logs, ACLs, Requerimientos de Acceso,


Privilegios...).

Verificaciones para comprobar la vigencia de las medidas adoptadas de


seguridad de la informacin.

Consultora tcnica para integrar o implantar en produccin sistemas que


mejoren los niveles de la seguridad de la informacin.

Asistencia tcnica de diseo, instalacin, operacin, servicio y mantenimiento


sobre mecanismos de seguridad de la informacin.

Investigacin y mantenimiento actualizado sobre las principales amenazas


que puedan impactar sobre los sistemas de informacin de la Organizacin
(infecciones de virus, ataques de denegacin de servicio, intrusiones de
hackers, etc.).

Administracin de Sistemas y Redes.

rea de IT

Responsable de Sistemas.
Ingeniero de Seguridad.
Administrador de Sistemas.
Administrador de Red.
Operador.

Ing. Pablo Romanos

GESI C1/17

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Funciones Externas a la Direccin de IT

Desarrollar programas de auditoria de cumplimiento de la Poltica de seguridad


que ha sido aprobada.

Desarrollar programas de auditoria contemplando la totalidad de los riesgos de


negocio a los que la Organizacin est sometida.

Evaluar el grado de cumplimiento en las operaciones de la Organizacin con


requerimientos externos, como acuerdos contractuales, leyes y regulaciones.

Gestionar el proceso de aceptacin de riesgo, all donde los Directores de


Unidades o Departamentos hayan aprobado o apoyado que una situacin
particular est fuera de la Poltica de la Organizacin.

Auditoria

Unidad Auditora

Asesoria Juridica

Responsable Legal de
Seguridad

Colaborar con el Responsable de Seguridad de la Informacin en la creacin y


evolucin del sistema de clasificacin de la informacin.

Informar a la Direccin sobre sus responsabilidades legales y su exposicin a


denuncias o acusaciones bajo las leyes.

Revisar y evaluar nuevas legislaciones y regulaciones.

Har recomendaciones para prevenir que la Organizacin asuma riesgos excesivos


como resultado del uso de nuevas tecnologas.

Identificar y especificar cmo la Direccin puede preservar y proteger los derechos


de propiedad intelectual de la organizacin

Ing. Pablo Romanos

GESI C1/18

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 1
Comit de Direccin

Comit Ejecutivo de Seguridad


de la Informacin

Comit Corporativo de
Seguridad de la Informacin

- Comite Central de Seguridad

- Comite Central de Seguridad

- Ppales Dptos y Lneas de Negocio

- Coordinadores de Seguridad de
Filiales y Centros

Seguridad

-Define

Auditora

Asesora Jurdica

Auditora de
Seguridad
-Audita

Direccion de SSII

Tesorera, Finanzas
y Riesgos Corp.

Direccin de RRHH

Otros
Departamentos

Comit de Seguridad
de la Informacin
- Seguridad
- Auditora de Seg.
- Implantacin de Seg.

Planificacin e Innovacin

Proyectos

Gestin

Infraestructura Tecnolgica

Polo de Compras

Gestin de
Servicio

Secretaria

Implantacin
& Gestin de
la Seguridad

Gestin de la
Prod.

-Implanta
Soporte
Gest. Prod.

Define

Gestin
Archivos

Tecnolog.
y Soport.
Sistemas

Redes y
Comunic.

Infraestruct
. Distrib.

-Gestiona

-Gestiona

-Gestiona

Implanta
Gestiona

Infraest.
de Red

Audita

Modelo de Organizativo de la
Seguridad de la Informacin

Ing. Pablo Romanos

GESI C1/19

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 2

Ing. Pablo Romanos

GESI C1/20

10

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 3

Ing. Pablo Romanos

GESI C1/21

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 4
CONSEJO DE ADMINISTRACIN

PRESIDENTE
ASESORA JURDICA

Comit de Seguridad de la
Informacin
+
Direcciones Corporativas

Responsable Legislacin de
Seguridad

DIRECCIONES CORPORATIVAS

TECNOLOGA Y
SISTEMAS

RECURSOS
HUMANOS

COMERCIAL

AUDITORA

Auditora de Seguridad
Audita

DEPARTAMENTO DE
SEGURIDAD DE LA
INFORMACIN
Define - Implanta

Implanta

Comit de
Seguridad de
la Informacin

PLANIFICACIN Y DESARROLLO DE
SISTEMAS

ESTRATEGIA Y
DESARROLLO

SUBDIRECCIN DE GESTIN
INFORMTICA
Gestiona

ECONOMICO
FINANCIERA

UNIDADES APOYO SUPERIOR


DIRECCIN

Comit Ejecutivo de
Seguridad de la Informacin

Ing. Pablo Romanos

GESI C1/22

11

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 5

Ing. Pablo Romanos

GESI C1/23

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 6

Ing. Pablo Romanos

GESI C1/24

12

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Caso de Estudio 7

Comit Seguridad
Principales rea y Lneas de Negocio

Gerencia
General

Gerencia
Comercial

Comit Ejecutivo de Seguridad


de la Informacin

Gerencia de
Asuntos Jurdicos

AUDITA

TA
AN
PL
IM

Control de
Gestin

/G

TI
ES

A
ON

Gerencia de
RRHH

Gerencia de
Sistemas

DEFINE
Comit de Seguridad
de la Informacin

Comit Corporativo de Seguridad


de la Informacin

Resp. Seguridad de la Informacin Comit Seguridad


Resp. Auditoria
Coordinadores de Seguridad Filiales
Resp. Implantacin

Seguridad de la
Informacin

Subgerencia de
Sistemas

Funciones
Preventivas

Desarrollo
Normativo

IMPLANTA
IMPLANTA / GESTIONA
Planeamiento

Operaciones

Tecnologa

Atencin a
Usuarios

Desarrollo
Aplicaciones

IMPLANTA / GESTIONA

Aseguramiento
de la Calidad

Arquitectura y
Soporte Tec.
BBDD

Gestin
Proyectos

Microinformtica

Arquitectura

Respuesta
a Incidentes
Interfases

Gestin de
Proyectos

Soporte Tec.
Plataformas

Gestor de Clientes

Soporte Tcnico
Tecnologas

Mesa de Ayuda

AUDITA
Control
Interno

Tecnologa
Comunicaciones
y Difusin

Gestin de
Procesos y
Versiones

Gestor Filiales
Comunicaciones

Funciones
Correctivas

Testing

Ing. Pablo Romanos

GESI C1/25

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/26

13

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Proceso de Aprobacin en Instalaciones de Procesamiento de Informacin

Control 4:

Debe establecerse un proceso de autorizacin gerencial para


nuevas instalaciones de procesamiento de informacin.

Funciones a ser contempladas en el


proceso de autorizacin:
 Las nuevas instalaciones deben ser
adecuadamente aprobadas por la gerencia
usuaria y por el gerente responsable del
mantenimiento del ambiente de seguridad local,
a fin de garantizar que se cumplen todas las
polticas y requerimientos de seguridad
pertinentes
 Debe verificarse el hardware y software para
garantizar que son compatibles con los
componentes de otros sistemas
 El uso de equipos personales de
procesamiento de informacin en el lugar de
trabajo (notebooks, PCs o dispositivos de
bolsillo) puede ocasionar nuevas
vulnerabilidades y en consecuencia debe ser
evaluado y autorizado
Ing. Pablo Romanos

GESI C1/27

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/28

14

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Asignacin de Responsabilidades
Control 5:

Los requisitos de confidencialidad y no divulgacin deben ser


identificados y revisados regularmente en los contratos.

Elementos considerados en acuerdos:


 Tipo de informacin que se pretende proteger (Ej.:.
informacin confidencial)
 Duracin del acuerdo, en especial aquellos casos en los
que la confidencialidad debiera mantenerse indefinidamente
 Acciones a realizar una vez finalizado el acuerdo
 Responsabilidades y acciones de las partes para evitar la
divulgacin no autorizada de informacin (ej:. need to know)
 Propiedad de la informacin, secreto comercial y
propiedad intelectual, y como estos elementos se relacionan
con la proteccin de la confidencialidad de la informacin
Permisos de uso y derechos de acceso de las partes a la
informacin confidencial
Derecho a auditar y monitorear actividades relacionadas
con la confidencialidad de la informacin
 Procesos de notificacin de divulgacin de informacin no
autorizada o prdida de la confidencialidad
 Trminos a considerar para que la informacin sea
devuelta o destruida al finalizar el contrato
 Acciones que deben ser tomadas en caso de
incumplimiento de acuerdos
Ing. Pablo Romanos

GESI C1/29

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Ejemplo Acuerdo de Confidencialidad
DEBER DE SECRETO PROFESIONAL
El empleado deber considerar como secreto profesional a toda informacin secreta no
difundible a terceros, relativa a listas de clientes / contactos / afiliados, necesidades y datos de
los mismos; estructura, organizacin, datos contables, fiscales o financieros; datos personales de
los empleados, datos salariales o contractuales de empleados, en especial no se podrn
comunicar a terceros; contenido y estructura de bases de datos de la <nombre organizacin> o
de clientes / contactos / afiliados de sta; tcnicas de software o hardware, procedimientos y
soluciones tcnicas aplicadas por la <nombre organizacin>; programas de software o
DESARROLLOS Y DESCUBRIMIENTOS
adaptaciones de programas informticos o de afiliados o prestadores/proveedores de la misma,
Cualquier desarrollo, descubrimiento, metodologa, mtodo, diseo, mejora, idea, escrito o
as como proyectos tcnicos, y en general se considerar secreta toda informacin tcnica o
cdigo, sea o no objeto de registro, relacionado de algn modo con los negocios o posibles
financiera de <nombre organizacin>, de clientes/afiliados de <nombre organizacin> o de
negocios
de colaboradoras
<nombre organizacin>
que sean
concebidossiempre
o realizados
el empleado
durante
empresas
o prestadoras
/ proveedoras,
que nopor
haya
sido expresamente
USO
MEDIOS
la DE
vigencia
delINFORMATICOS
contrato, por s slo o en colaboracin con otras personas, pasarn
autorizada
difusin a de
terceros.
El empleado
empresarioque
acuerdan
que la presente
Queda
prohibida su
la realizacin
copias dey laelinformacin
se encuentre
una
inmediatamente
a pertenecer
acualesquiera
<nombre organizacin>.
El empleado
est
obligado aenrevelar
obligacin
permanecer
vigente
aunque asignado
hubiese al
finalizado
la as
relacin
laboral.
La presente
computadora
de
escritorio
o
porttil
(notebook)
empleado,
como
la
de
informacin
inmediatamente a <nombre organizacin> todos sus desarrollos, metodologas, diseos o ideas,
obligacin
no en
regir
en soportes
el supuesto
queellosempleado
datos se pueda
soliciten
por la
autoridad
judicial
con las
quey se
encuentre
a lade
que
tener
salvo
que sea
estar
obligado
aotros
elaborar
y firmar
los
documentos necesarios
paraacceso,
registrar
o patentar
los
debidas garantas
procesales,
aunque
en este
caso se no
deber
comunicar aa <nombre
expresamente
autorizadoa
para
estas
actividades.
El empleado
podr
desarrollos
realizados
nombre
de <nombre
organizacin>,
sin perjuicio
de acceder
figurar comootros
autor
organizacin>
que
se est
requiriendo
el suministro
de los datos.
directorios
de
la
red
interna
de
<nombre
organizacin>
distintos
a
los
que
se
le
hubiesen
asignado
de los mismos, de igual modo, tampoco podr poner en conocimiento de terceros lo desarrollado,

Al
finalizar
la
relacin
laboral
con
<nombre
organizacin>,
el
empleado
estar
obligado
a
para
ejercicio deprevia
sus funciones.
Asimismo,
el uso del
correo electrnico ser nicamente para
sinelautorizacin
al considerarse
informacin
secreta.
a <nombre
organizacin>
todos lospor
documentos
e informacin
le hubiesen
sido
fines devolver
profesionales
de <nombre
organizacin>,
lo que el citado
servicio que
no tendr
el carcter
PROTECCION
DE DATOS
entregados,
aspropiedad
comoPERSONALES
la documentacin
o trabajos que Queda
hubieseprohibido
elaboradoelen
el marco
de la
de privado,
siendo
de <nombre organizacin>.
acceso
mediante
El empleado
queda
obligado
al cumplimiento
deo lo
dispuesto
en la
legislacin vigente
en materia el
relacin
existente
(incluidas
las
agendas
listados
con
clientes
Internet a pginas Web de contenido ertico, chat, ociolas
y direcciones
cualesquieradeotras
que/ afiliados),
no sean
de Proteccin
deen
Datos
Personales
y dems normativa
la desarrolle,
en
especial ono
podr:
empleado
ningn
caso estar
a tenerque
copia
del material
entregado
elaborado
necesarias
para
el
desempeo
de autorizado
la labor profesional.
Queda
terminantemente
prohibido por
Hacer l
copias
documentos
con datos
tanto de una compaa cliente como de la
enalmacenamiento
el de
marco
de la relacin
laboral.personales,
cualquier
de informacin
o programas que no estn directamente relacionados
propia empresa, salvo que sea autorizado expresamente por la empresa propietaria de los
con la actividad profesional, tanto en la computadora de escritorio como en los servidores
documentos y que dichas copias sean para un uso legitimo; Acceder, intentar o permitir el acceso
corporativos. En caso de cese, el empleado deber devolver aquellos medios informticos que le
a documentos que contengan datos personales, salvo que sea autorizado expresamente por
hubiesen sido facilitados. <nombre organizacin> se reserva el derecho a comprobar, sin previo
<nombre organizacin> y dicho acceso sea para un fin legitimo; Hacer copias de documentos con
aviso, el cumplimiento de lo anteriormente acordado.
datos de carcter personal y conservarlas en su domicilio o cederlas a un tercero; Comunicar a
PROHIBICION DE COMPETENCIA DESLEAL
terceros las claves o medios de acceso a documentos, salvo que este autorizado expresamente y
El
empleado
no se sea
asociar
propietario, empleado, agente, consultor, oficial, socio,
dicha
comunicacin
para uncomo
fin legitimo.
directivo, o en cualquier otra categora con ninguna empresa que se halle envuelta en un
negocio que proporcione servicios o productos similares a los de la Sociedad o de cualquier
manera compita con la organizacin.

Ing. Pablo Romanos

GESI C1/30

15

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/31

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Contactos con Autoridades
Control 6:

Mantener contactos apropiados


con autoridades referentes.

Elementos a ser considerados dentro de


los procedimientos:
 Especificar cundo y con qu cuerpo de autoridades
(seguridad privada, bomberos, equipos de supervisin tcnica)
se debe entrar en contacto
 De qu forma los incidentes deben divulgarse de manera
oportuna, si se sospecha de violaciones a la legalidad vigente.
 Si la organizacin si ha sufrido un ataque desde Internet, qu
acciones debe tomar contra la fuente de ataque (ej:. contactar
con terceros externos como son los ISP u operadores de
telecomunicaciones)
 Identificar los contactos con:
 rganos reguladores de la ley,
 servicios de emergencia,
 servicios de salud,
 servicios de seguridad, ej:. cuerpos de bomberos
(relacionados con la continuidad del negocio)
 proveedores de telecomunicaciones (relacionados con el
encaminamiento y la disponibilidad)
 suministro de agua (relacionados con las instalaciones de
refrigeracin para los equipos)
 suministro de electricidad

Ing. Pablo Romanos

GESI C1/32

16

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/33

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Contactos con Grupos de Inters Comn
Control 7:

Mantener contactos apropiados con grupos, asociaciones de


profesionales y foros especializados en seguridad de la informac.

El contacto con otros grupos de inters


comn permitir:
 Mejorar el conocimiento sobre las buenas prcticas y
mantenerse actualizado con respecto a la informacin relevante
de seguridad
 Garantizar que el ambiente de la seguridad de la informacin
se mantiene actual y completo
 Recibir alertas tempranas, avisos y parches de nuevas
vulnerabilidades,
 Acceder a consultas con especialistas en seguridad de la
informacin
 Compartir e intercambiar informacin sobre nuevas
tecnologas, productos, amenazas, o vulnerabilidades
 Proporcionar adecuados puntos de enlace cuando aparezcan
incidentes relacionados con la seguridad de la informacin

La cooperacin y coordinacin de asuntos de seguridad,


puede mejorarse compartiendo cierta informacin comn.
Dicha informacin sensible deber ser adecuadamente
protegida mediante el establecimiento de acuerdos que
identifiquen los requisitos de seguridad necesarios.
Ing. Pablo Romanos

GESI C1/34

17

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/35

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Revisin Independiente de la Seguridad
Control 8:

La gestin e implementacin de seguridad de la informacin, debe ser


revisada de forma independiente en intervalos planeados o cuando
ocurran cambios significativos de seguridad.

Elementos a ser considerados en el proceso de


revisin:
 La direccin deber establecer una revisin
independiente para asegurar la conveniencia, suficiencia y
eficacia del enfoque de la organizacin al gestionar la
seguridad de informacin.
 La revisin debe incluir los puntos evaluados y los
cambios necesarios para garantizar la seguridad,
incluyendo la poltica y los objetivos de control.

Auditor

 Los resultados de la revisin deben registrarse y ser


informados a la direccin que inici la revisin. Los
resultados deben ser archivados.
 La direccin deber establecer cules sern las acciones
correctivas, si la revisin identifica que la gestin e
implementacin no son adecuadas o no corresponden con
las directrices establecidas en la poltica de seguridad de la
organizacin.

Ing. Pablo Romanos

GESI C1/36

18

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/37

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Seguridad Frente al Acceso de Personal Externo
Objetivo 2:

Mantener la seguridad de la informacin y las


instalaciones de procesamiento de la organizacin,
cuando stas son accedidas, procesadas, comunicadas
con o gestionadas por personal externo.
 La seguridad de la informacin y de las instalaciones de
procesamiento de la organizacin no debe ser restringida por
la introduccin de productos o servicios externos.
 Cualquier acceso a las instalaciones de procesamiento de
informacin por parte de personal externo deber ser
controlado.
 Cuando por motivos de negocio se requiera del acceso,
tratamiento o provisin de un producto por parte de personal
externo, se deber realizar un anlisis de riesgo a fin de
determinar los requisitos y controles de seguridad que son
necesarios. Dichos controles se debern convenir y definir en
un acuerdo con la parte externa.
Ing. Pablo Romanos

GESI C1/38

19

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/39

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Identificacin de Riesgos Relacionados con Accesos Externos

Control 1:

Debe identificarse el riesgo que implica el personal externo


a las instalaciones de informacin relacionadas con los
procesos de negocio, estableciendo los controles
necesarios antes de conceder el acceso.

Elementos a considerar en la identificacin de riesgos relacionados con accesos externos:


 Las instalaciones de procesamiento de informacin que un externo requiere para acceder
 El tipo de acceso que tendr a la informacin y a las instalaciones de procesamiento de informacin, ej.:
 el acceso fsico, (oficinas, salas de computadoras, archivadores)
 el acceso lgico, (bases de datos de la organizacin, sistemas de informacin)
 conectividad de red entre la organizacin y la red del externo, conexiones permanentes, accesos remotos
 si el acceso se realiza on-site u off-site
 El valor y la sensibilidad de la informacin implicada, y de su criticidad para operaciones de negocio
 Los controles necesarios para proteger informacin que, no debe estar accesible al personal externo
 El personal externo implicado en el manejo de la informacin de la organizacin
 Cmo el personal autorizado a tener acceso puede ser identificado, el chequeo de la autorizacin, y con qu
frecuencia necesita ser confirmada dicha autorizacin
 Los diferentes medios y controles empleados por el externo al almacenar, procesar, comunicar, compartir e
intercambiar informacin
 El impacto de no estar disponible el acceso cuando el externo lo necesite, o si ste recibe informacin inexacta o
confusa
 En caso de producirse un incidente de seguridad, cules son las prcticas y procedimientos para tratar dichos
incidentes y los potenciales daos, y cules son los trminos y condiciones para continuar con el acceso del externo
 Los requisitos legales y regulatorios y otras obligaciones contractuales pertinentes al externo
 Cmo los intereses de los accionistas pueden ser afectados por los contratos
Ing. Pablo Romanos

GESI C1/40

20

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Identificacin de Riesgos Relacionados con Accesos Externos
<nombre y apellido del empleado contratado> declaro:
Que todo tipo de datos o informacin a la que pudiera tener acceso con ocasin de la ejecucin y desarrollo de los
servicios prestados en el marco del contrato o acuerdo firmado entre <nombre y apellido del empleado contratado> y
<nombre organizacin> con independencia del medio en el que la misma se documente, ya sea papel o soporte
informtico, as como aquella informacin que me pudiera ser comunicada verbalmente, es propiedad exclusiva de
<nombre organizacin>.
Salvo autorizacin previa y por escrito de <nombre organizacin>, me comprometo a:
No reproducir, bajo ningn medio, la informacin recibida.
Utilizar la misma nicamente para el desarrollo de las funciones o actividades que tengo encomendadas o deriven
directamente de la ejecucin de los servicios del mencionado contrato o acuerdo, y no divulgar la misma a terceros,
sean stos, personas fsicas o jurdicas, e independientemente de que su actividad no sea coincidente o confluyente con
la actividad desarrollada por <nombre organizacin>.
No utilizar la informacin o sistemas propiedad de <nombre organizacin> en beneficio propio o de terceros ajenos al
desarrollo de los servicios enmarcados en el contrato o acuerdo con <nombre empresa de servicios>.
Tratar y proteger la informacin recibida, o aquella a la que tenga acceso en virtud de la prestacin de mis servicios,
con la debida diligencia, para evitar tanto su prdida como su divulgacin.
Las anteriores obligaciones subsistirn aun despus de finalizada la ejecucin del contrato o acuerdo y extinguida mi
participacin en el mismo.
Asimismo manifiesto haber sido informado de que los datos personales que se facilitaron al inicio o durante la relacin
de colaboracin suscrita con <nombre empresa de servicios>, forman parte de un archivo titularidad de <nombre
organizacin> con domicilio en <domicilio legal de la organizacin> y sern tratados con la finalidad del mantenimiento
de dicha relacin y de que en cualquier momento puedo ejercer mis derechos como afectado de los citados datos.
De igual manera manifiesto haber sido informado que mis datos de nombre, apellido y direccin de correo electrnico,
sern cedidos a todas las empresas del grupo <nombre organizacin> (las mismas se encuentran en la Intranet de
<nombre organizacin>) con la finalidad de homogeneizar las plataformas informticas globales de la organizacin.
Por ltimo conozco y acepto que el incumplimiento de las obligaciones anteriormente descritas, supondr el derecho de
<nombre organizacin> a resarcirse de los daos y perjuicios que le sean ocasionados, sin perjuicio de las acciones que
en derecho correspondan.

Ing. Pablo Romanos

GESI C1/41

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/42

21

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Requisitos de Seguridad en el Trato con Clientes

Control 2:

Deben identificarse los requisitos de seguridad antes de otorgar


los accesos a la informacin o a los activos de la organizacin.

Trminos a considerar antes de otorgar acceso a los clientes :


 La proteccin de los activos, incluyendo:
 procedimientos para proteger los activos (informacin, software, y manejo de vulnerabilidades
conocidas)
 procedimientos para determinar si algn activo ha sido comprometido (ej.: prdida o modificacin de
datos)
 la integridad
 las restricciones de copia y revelacin de informacin
 La descripcin detallada del producto o el servicio que ser provisto
 Las razones, requisitos, y beneficios del acceso por parte del cliente
 La poltica del control del acceso, cubriendo:
 mtodos de acceso permitidos, y el control y uso de identificadores nicos (ID + contrasea)
 el proceso de autorizacin para otorgar accesos y privilegios
 la declaracin formal de que: todo acceso que no est explcitamente permitido, estar prohibido
 un proceso para revocar los derechos del acceso o interrumpir la conexin entre sistemas
 Los acuerdos para el reporte, notificacin e investigacin sobre inexactitudes en la informacin (ej.: detalles
personales), e incidentes o infracciones de seguridad de la informacin
 La descripcin de cada servicio que deber estar disponible
 Los acuerdos de nivel del servicio y los niveles inaceptables del mismo
 El derecho a monitorear y revocar en todo momento, actividades relacionada con los activos de la
organizacin
 Las obligaciones respectivas de la organizacin y el cliente
 Las responsabilidades con respecto a asuntos legales
 Los derechos de propiedad intelectual y derecho de autor, as como la proteccin de cualquier trabajo en
colaboracin entre ambas partes

Organizacin

Ing. Pablo Romanos

Cliente
GESI C1/43

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Requisitos de Seguridad en el Trato con Clientes
CONVENIO DE CONFIDENCIALIDAD Y NO DIVULGACIN CON CLIENTES
Por medio de la presente, las partes EMPRESA S.A. y EL CLIENTE, DIRECCION, Comuna, ciudad, ( nombre comercial), firman este acuerdo
de confidencialidad y no divulgacin, con el fin de que representantes de EMPRESA S.A. y CLIENTE, intercambien correspondencia, prototipos
y cualquier otro tipo de informacin mutua, relacionada a los productos y servicios de ambas partes. Cada parte divulgar importante
informacin a su contraparte. Adems, cualquiera de las partes puede enviar muestras y prototipos confidenciales a la contraparte, para sus
pruebas y anlisis. La parte que ha enviado el/los prototipos o muestras, no garantiza la disponibilidad comercial y mantiene el derecho absoluto
sobre ellos. En relacin a las muestras, prototipos e informacin intercambiada entre las partes, se acuerda lo siguiente:
1.La informacin se considera informacin confidencial para el receptor, si es presentada y/o identificada por su contraparte como
confidencial por medio escrito, oral u otro medio de comunicacin.
2.Las muestras y/o prototipos confidenciales tambin incluyen toda la informacin y conocimiento obtenido mediante la inspeccin y
pruebas de ellos.
3.La parte receptora de las muestras y/o prototipos confidenciales no puede analizar, vender, exponer, mostrar ni divulgar esos
productos, ni productos derivados de ellos, ni informacin sobre resultados de experimentos ni pruebas efectuadas sobre ellos, a
terceras personas sin el previo consentimiento de la contraparte, en un plazo de 3 aos.
4.La parte receptora de las muestras y/o prototipos no puede hacer uso ni divulgar la informacin confidencial a terceras personas por
un perodo de tres (3) aos desde la recepcin de esa informacin; sin embargo, esta obligacin no aplica en caso que la informacin:
a.Sea informacin pblica o se haga pblica sin que la parte receptora de la informacin sea responsable;
b.Exista evidencia de que esa informacin ya fuera conocida por la parte receptora previo a este acuerdo;
c.Se haga conocida la informacin por medio de una tercera parte con derecho a divulgarla;
d.La parte receptora se vea obligada a divulgarla producto de alguna ley, regulacin u orden gubernamental para hacerlo.
5.Nada en este acuerdo puede ser interpretado como garanta sobre derechos o licencias sobre patentes, diseos o marcas de la
contraparte.
6.Las patentes que sean aplicadas por alguna de las partes como resultado del trabajo individual de esa parte, sern de su exclusiva
propiedad. Patentes presentadas por alguna de las partes como resultado del trabajo en conjunto producto de este acuerdo, sern de
propiedad de ambas partes.
7.Todos los documentos, borradores, diseos, correos, productos, muestras y prototipos intercambiados, son de propiedad de la parte
que los ha enviado a su contraparte y debern ser devueltos o destruidos, junto a todas sus copias, si as fuera solicitado.
8.Nada en este acuerdo ser interpretado como prohibicin de las partes a divulgar la informacin confidencial a subordinados,
empleados o trabajadores dentro de la empresa, considerando que todos los receptores quedan regidos por los trminos de este
acuerdo.
9.Este acuerdo expira en tres (3) aos, desde la fecha de su firma, a menos que se d por expirado con anterioridad por el
consentimiento escrito de ambas partes. La expiracin de este acuerdo no afectan las obligaciones de los puntos 3 y 4.

Ing. Pablo Romanos

GESI C1/44

22

Gestin Estratgica en
Seguridad de la Informacin

ndice
Infraestructura de Seguridad de la Informacin
 Comit gerencial sobre seguridad de la informacin
 Coordinacin de la seguridad de la informacin
 Asignacin de responsabilidades en materia de seguridad
 Proceso de aprobacin en instalaciones de procesamiento de informacin
 Acuerdos de confidencialidad
 Contactos con autoridades
 Contacto con grupos de inters especial
 Revisin independiente de la seguridad de la informacin

Seguridad frente al acceso de personal externo


 Identificacin de riesgos relacionados con el acceso de personal externo
 Requisitos de seguridad en el trato con clientes
 Requisitos de seguridad en contratos con terceros

Ing. Pablo Romanos

GESI C1/45

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Requisitos de Seguridad en Contratos con Terceros (I)

Control 3:

Los acuerdos con terceros, relacionados con el acceso, procesamiento, comunicacin y


manejo de la informacin o de las instalaciones de procesamiento de informacin de la
organizacin, deben cubrir los principales aspectos de la seguridad.

Los acuerdos deben asegurar que en el intercambio no existan imprevistos,


cubriendo siempre los intereses de la organizacin.
Elementos a tener en cuenta en la identificacin de los requisitos relacionados
con los acuerdos de terceros:

Intercambio

 La poltica de la seguridad de la informacin


 Los controles para asegurar la proteccin de los activos, incluyendo:
 los procedimientos para proteger los activos de la organizacin, incluyendo la informacin, el
software y el hardware
 los controles de proteccin y mecanismos fsicos requeridos
 los controles para asegurar la proteccin contra software malicioso
 los procedimientos para determinar si algn activo ha sido comprometido (ej.: prdida o
modificacin de datos, software o hardware
 los controles a considerar cuando la informacin o los activos deben ser devueltos o destruidos
al finalizar el contrato o al finalizar un hito especifico identificado en el acuerdo
 la confidencialidad, la integridad, la disponibilidad, y cualquier otra propiedad relacionada con los
activos
 las restricciones de copia y revelacin de informacin, y los acuerdos de confidencialidad que se
utilizan
 La formacin de usuarios y administradores en mtodos, procedimientos y seguridad
 Que los usuarios conozcan sus responsabilidades en materia de seguridad de la informacin
 Disposicin que contemple la transferencia de personal, si fuese necesario
 Definicin de responsabilidades en la instalacin y mantenimiento de hardware y software
 La estructura definida y el formato acordado de los documentos entregables
 Un proceso claro y detallado de la gestin de cambios
Ing. Pablo Romanos

GESI C1/46

23

Gestin Estratgica en
Seguridad de la Informacin
Organizacin de Seguridad de la Informacin
Requisitos de Seguridad en Contratos con Terceros (II)

Control 3:

Los acuerdos con terceros, relacionados con el acceso, procesamiento, comunicacin


y manejo de la informacin o de las instalaciones de procesamiento de informacin de
la organizacin, deben cubrir los principales aspectos de la seguridad.

 La poltica del control del acceso, cubriendo:


 las razones, requisitos, y beneficios del acceso que hacen necesario el acceso del cliente
 mtodos de acceso permitidos, y el control y uso de identificadores nicos (ID + contrasea)
 el proceso de autorizacin para otorgar accesos y privilegios
 un requerimiento para mantener actualizada la lista de individuos autorizados, servicios a los que accedern, derechos y privilegios
 la declaracin formal de que: todo acceso que no est explcitamente permitido, estar prohibido
 un proceso para revocar los derechos del acceso o interrumpir la conexin entre sistemas
 Los acuerdos para el reporte, notificacin e investigacin de incidentes o infracciones de seguridad de la informacin, as como las
violaciones a los requerimientos establecidos en el acuerdo
 La descripcin del producto / servicio que ser provisto y la informacin que deber estar disponible junto a su clasificacin en seguridad
 Los acuerdos de nivel del servicio y los niveles inaceptables del mismo
 La definicin de criterios de desempeo verificables, su monitoreo y presentacin de informes
 El derecho a monitorear y revocar (impedir), actividades relacionada con los activos de la organizacin
Acuerdo
 El derecho a auditar responsabilidades contractuales o a contratar a un tercero para su realizacin
 El establecimiento de un proceso gradual para la resolucin de problemas
 Los requisitos de la continuidad del servicio, incluyendo medidas para la disponibilidad y la confiabilidad,
de acuerdo con las prioridades del negocio de la organizacin
 Las obligaciones respectivas acordadas por ambas partes
 Las responsabilidades con respecto a asuntos legales y como asegurar que estos se cumplan
(ej.: legislacin de proteccin de datos, entre organizaciones de diferentes pases)
 Los derechos de propiedad intelectual y derecho de autor, as como la proteccin de cualquier trabajo en
colaboracin entre ambas partes
 La relacin entre proveedores y subcontratistas, y los controles de seguridad necesarios
 Las condiciones de renegociacin / finalizacin del acuerdo, cubriendo
 un plan de contingencia en caso de que el tercero finalice anticipadamente el acuerdo
 la renegociacin del acuerdo si los requisitos de seguridad de la organizacin cambian
 la lista de activos actualizada, licencias, acuerdos y los derechos relacionados con estos
Ing. Pablo Romanos

GESI C1/47

Requisitos
de seguridaden
en contratos con
Gestin
Estratgica
terceros
Seguridad de la Informacin
CONVENIO DE CONFIDENCIALIDAD PARA PROVEEDORES
Este CONVENIO DE CONFIDENCIALIDAD de fecha ____ de __________de 20XX, se celebra entre <nombre
organizacin> y ____________________ (en adelante EL PROVEEDOR):
POR CUANTO, <nombre organizacin> ha encargado a EL PROVEEDOR, la ejecucin de Servicios de
________________________, y teniendo presente que <nombre organizacin> posee derechos sobre
determinada informacin que no es de dominio pblico, relativa a sus negocios y que incluye, sin carcter
taxativo, informacin financiera, tcnica, y comercial, incluyendo la que se encuentra en forma electrnica al
igual que cualquier tipo de desarrollo del cual <nombre organizacin> sea propietario.
TENIENDO EN CUENTA que EL PROVEEDOR durante el desarrollo de sus actividades, eventualmente puede
tener acceso a la Informacin, EN CONSECUENCIA, en consideracin de lo expuesto, <nombre organizacin>
y EL PROVEEDOR acuerdan lo siguiente:
Toda la informacin que <nombre organizacin> provea a EL PROVEEDOR, y toda la informacin que EL
PROVEEDOR provea a <nombre organizacin> en su gestin de asesoramiento, se recibir y mantendr en
carcter de CONFIDENCIAL de acuerdo con lo dispuesto en el presente. Ambas partes acuerdan asimismo que
todas las operaciones entre <nombre organizacin> y EL PROVEEDOR, as como toda conversacin
relacionada, se considerarn Informacin a los fines de este Convenio.
Ambas partes mantendrn la Informacin bajo confidencialidad y no podrn, sin el previo consentimiento escrito
de la otra: distribuir o revelar a terceros, la Informacin que le sea suministrada de conformidad con el presente (
salvo a sus funcionarios y empleados, segn se indica ms adelante: brindar acceso a terceros a la Informacin
que le sea revelada conforme al presente; ni utilizar Informacin que reciba en virtud de este Convenio para
cualquier otro fin distinto del Uso Permitido, EL PROVEEDOR acuerda transmitir la Informacin que le sea
suministrada bajo EL presente nicamente a los funcionarios y empleados que deban tener conocimiento de la
misma, al slo efecto del Uso Permitido, y que hayan aceptado obligarse por las disposiciones de este
Convenio.
Para el caso de que se le exija a EL PROVEEDOR revelar la informacin en un procedimiento judicial o
administrativo, deber notificarlo inmediatamente a <nombre organizacin> para que sta pueda iniciar las
acciones legales que estime necesarias a fin de proteger sus derechos.
(...)
EL PROVEEDOR debe comprometerse a:
Minimizar la rotacin de su personal asignado a <nombre organizacin>.
No transferir al personal asignado a otras cuentas de clientes que sean competencia de <nombre organizacin>
durante la ejecucin del proyecto.
EL PROVEEDOR es responsable del cumplimiento del presente contrato de confidencialidad por parte del
personal asignado a <nombre organizacin>.
(...)
EN FE DE LO CUAL, ambas partes firman este Convenio a travs de sus funcionarios debidamente autorizados,
en la fecha indicada en el encabezamiento.

Ing. Pablo Romanos

GESI C1/48

24

Gestin Estratgica en
Seguridad de la Informacin

Muchas Gracias!

Ing. Pablo Romanos

GESI C1/49

25