Franklin Flores

Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que estn considerados, y reduccin de robo, fraude o uso inadecuado de las instalaciones.

Se deberan definir y documentar las funciones y responsabilidades de los empleados, contratistas y usuarios de terceras partes por la seguridad, de acuerdo con la poltica de la seguridad de la informacin de la organizacin.

a)

Implementar y actuar de acuerdo con las polticas de la seguridad de la informacin de la organizacin.

Proteger los activos contra acceso, divulgacin, modificacin, destruccin o interferencia no autorizados. Garantizar que se asigna la responsabilidad a la persona para que tome las acciones. Informar los eventos de la seguridad, los eventos potenciales u otros riesgos de la seguridad para la organizacin.

b)

c)

d)

Se deberan realizar revisiones para la verificacin de antecedentes de los candidatos a ser empleados, contratistas o usuarios de terceras partes, de acuerdo con los reglamentos, la tica y las leyes pertinentes, y deben ser proporcionales a los requisitos del negocio, la clasificacin de la informacin a la cual se va a tener acceso y los riesgos percibidos.

a)

b)
c) d) e)

Disponibilidad de referencias de comportamiento satisfactorio, por ejemplo una laboral y otra personal. Una verificacin de hoja de vida del candidato. Confirmacin de las calificaciones profesionales y acadmicas declaradas. Verificacin de la identidad. Verificacin de los detalles adicionales tales como crditos, o antecedentes criminales.

Como parte de su obligacin contractual, los empleados, contratistas y usuarios de terceras partes deberan estar de acuerdo y firmar los trminos y condiciones de su contrato laboral, el cual debe establecer sus responsabilidades y las de la Organizacin con relacin a la seguridad de la informacin.

Que todos los empleados, contratistas y usuarios de terceras partes que tengan acceso a informacin sensible deberan firmar un acuerdo de confidencialidad o no divulgacin antes de tener acceso a los servicios de procesamiento de informacin. b) Los derechos y responsabilidades legales de los empleados, los contratistas y cualquier otro usuario. c) Responsabilidades para la clasificacin de la informacin y la gestin de los activos asociados con sistemas y servicios de informacin manejados por el empleado, el contratista o el usuario de tercera parte. d) Responsabilidades del empleado, el contratista o el usuario de tercera parte para el manejo de la informacin recibida de otras empresas o de partes externas.
a)

Responsabilidades de la organizacin para el manejo de la informacin personal, incluyendo la informacin personal creada como resultado o durante el contrato laboral con la organizacin b) Responsabilidades que van mas all de las instalaciones de la organizacin y de las horas laborales. c) Acciones a tomar si el empleado, el contratista o el usuario de tercera parte hace caso omiso de requisitos de la seguridad de la organizacin.
a)

Asegurar que todos los empleados, contratistas y usuarios e terceras partes estn consientes de las amenazas y preocupaciones respecto a la seguridad de la informacin, sus responsabilidades y sus deberes, y que estn equipados para apoyar la poltica de seguridad e la organizacin.

La direccin debera exigir que los empleados, contratistas y usuarios de terceras partes apliquen la seguridad segn las polticas y los procedimientos establecidos por la organizacin.

a)

b) c)

Estn adecuadamente informados sobre las funciones y las responsabilidades respecto a la seguridad de la informacin antes de que se otorgue acceso a informacin o sistemas de informacin sensibles. Estn motivados para cumplir las polticas de seguridad de la organizacin. Estn de acuerdo con los trminos y condiciones laborales.

Todos los empleados de la organizacin y, cuando sea pertinente, los contratistas y los usuarios de terceras partes deberan recibir formacin adecuada en concienciacin y actualizaciones regulares sobre las polticas y los procedimientos de la organizacin, segn sea pertinente para sus funciones laborales.

Es recomendable que la formacin continua incluya los requisitos de la seguridad, las responsabilidades legales y los controles del negocio, as como la formacin en el use correcto de los servicios de procesamiento de informacin como por ejemplo el procedimiento de registro de inicio, el use de paquetes de software y la informacin sobre el proceso disciplinario.

Debera existir un proceso disciplinario formal para los empleados que hayan cometido alguna violacin de la seguridad.
El proceso disciplinario formal debera garantizar el tratamiento imparcial y correcto para los empleados de quienes se sospecha han cometido violaciones de la seguridad.

Asegurar que los empleados, los contratistas y los usuarios de terceras partes salen de la organizacin o cambian su contrato laboral de forma ordenada.

La comunicacin de las responsabilidades en la terminacin debera incluir los requisitos permanentes de la seguridad y las responsabilidades legales y, cuando sea apropiado, las responsabilidades contenidas en cualquier acuerdo de confidencialidad y los trminos y condiciones laborales deberan continuar durante un periodo definido despus de terminar la contratacin laboral. Los contratos del empleado, el contratista o el usuario de terceras partes deberan incluir las responsabilidades y deberes validos despus de la terminacin del contrato laboral.

Todos los empleados, contratistas o usuarios de terceras partes deberan devolver todos los activos pertenecientes a la organizacin que estn en su poder al finalizar su contratacin laboral, contrato o acuerdo. Cuando se adquiere un equipo de la organizacin o utiliza su propio equipo, se deberan seguir los procedimientos para garantizar que toda la informacin pertinente se transfiere a la organizacin y se elimina con seguridad de tal equipo.

Los derechos de acceso de todos los empleados, contratistas o usuarios de terceras partes a la informacin y a los servicios de procesamiento de informacin se deberan retirar al finalizar su contratacin laboral, contrato o acuerdo o se deberan ajustar despus del cambio.

Despus de la terminacin, se deberan reconsiderar los derechos de acceso de la persona a los activos asociados con los sistemas y servicios de informacin. Los derechos de acceso que se deberan adaptar o retirar incluyen acceso fsico y lgico, claves, tarjetas de identificacin, servicios de procesamiento de informacin, suscripciones y retiro de cualquier documentacin que lo identifique como miembro actual de la organizacin.

a)

b)

c)

Si la terminacin o el cambio es iniciativa del empleado, contratista o usuario de terceras partes o por la direccin y el motivo de dicha terminacin. Las responsabilidades actuales del empleado, contratista o cualquier otro usuario. El valor de los activos actualmente accesibles.

Evitar el acceso fsico no autorizado, el dao o la interferencia a las instalaciones y a la informacin de la organizacin.
Los servicios de procesamiento de informacin sensible o critica deberan estar ubicados en reas seguras, protegidas por permetros de la seguridad definidos, con barreras de seguridad y controles de entrada adecuados. Dichas reas deberan estar protegidas fsicamente contra acceso no autorizado, dao e interferencia.

Se deberan utilizar permetros de la seguridad (barreras tales como paredes, puertas de acceso controladas con tarjeta o mostradores de recepcin atendidos) para proteger las reas que contienen informacin y servicios de procesamiento de informacin.

Las reas seguras deberan estar protegidas con controles de acceso apropiados para asegurar que solo se permite el acceso a personal autorizado. Se deberan registrar la fecha y la hora de entrada y salida de visitantes y todos los visitantes deberan estar supervisados, a menos que su acceso haya sido aprobado previamente, solo se les debera dar acceso para propsitos especficos y autorizados y dicho acceso se debera emitir con instrucciones sobre los requisitos de la seguridad del rea y sobre los procedimientos de emergencia.

a)

Se debera controlar el acceso a reas en donde se procesa o almacena informacin sensible y restringir el acceso nicamente a personas autorizadas; se deberan utilizar controles de autenticacin como las tarjetas de control de acceso ms el nmero de identificacin personal (PIN) para autorizar y validar el acceso, se recomienda mantener de forma segura una prueba de auditora de todos los accesos. Se deberla exigir a todos los empleados, contratistas y usuarios de terceras partes la utilizacin de alguna forma de identificacin visible y se debera notificar inmediatamente al personal de la seguridad si se encuentran visitantes sin acompaante y cualquiera que no use identificacin visible.

Al personal del servicio de soporte de terceras partes se le debera dar acceso restringido a las reas seguras o a los servicios de procesamiento de informacin sensible nicamente cuando sea necesario; este acceso se debera autorizar y monitorear. Los derechos de acceso a reas seguras se deberan revisar y actualizar con regularidad y revocados cuando sea necesario.

Se debera disear y aplicar la seguridad fsica para oficinas, recintos e instalaciones.

a) Tener presente los reglamentos y las normas

pertinentes a la seguridad y la salud. b) Las instalaciones claves se deberan ubicar de modo que se evite el acceso al pblico.

a)

Cuando sea viable, las edificaciones deberan ser discretas y no tener indicaciones sobre su propsito, sin seales obvias, fuera o dentro de ellas, que identifiquen la presencia de actividades de procesamiento de informacin.
Los directorios y los listados telefnicos internos que indican las ubicaciones de los servicios de procesamiento de informacin sensible no deberan ser de fcil acceso al pblico.

b)

Se debera disear y aplicar protecciones fsicas contra daos por incendios, inundacin, terremoto, explosin, manifestaciones sociales y otras formas de desastre natural o artificial.
a) Los materiales combustibles o peligrosos se

debera almacenar a una distancia prudente del rea de la seguridad. b) Se debera suministrar equipos apropiadas contra incendios y ubicarlos adecuadamente.

Se deberan disear y aplicar La proteccin fsica y las directrices para trabajar en reas seguras.
a) El personal solo debera conocer la existencia de

un rea segura o las actividades dentro de ella en funcin a la necesidad con base conocida. b) Se debera evitar el trabajo no supervisado en reas seguras tanto por razones de la seguridad. c) Las reas seguras vacas deberan tener bloqueo fsico y se debera revisar peridicamente.

Los puntos de acceso tales como las reas de carga y despacho y otros puntos por donde pueda ingresar personal no autorizado a las instalaciones se deberan controlar y, si es posible, aislar de los servicios de procesamiento de informacin para evitar el acceso no autorizado.

a)

b)

c)

Se debera restringir el acceso al rea de despacho y carga desde el exterior de la edificacin a personal identificado y autorizado. Las puertas externas del rea de despacho y entrega deberan estar aseguradas mientras las puertas internas estn abiertas. El material que llega debera ser inspeccionado para identificar posibles amenazas.

Evitar perdida, dao, robo o puesta en peligro de los activos, y la interrupcin de las actividades de la organizacin. Los equipos deberan estar protegidos contra casi todas las amenazas fsicas y ambientales.

Los equipos deberan estar ubicados o protegidos para reducir el riesgo debido a amenazas o peligros del entono, y las oportunidades de acceso no autorizado.
a) Los equipos se deberan ubicar de modo tal que se

minimice el acceso innecesario a las reas de trabajo. b) Los elementos que requieran proteccin especial debern estar aislados para reducir el nivel general de proteccin requerida de los dems elementos.

a)

b)

Los servicios de procesamiento de informacin que manejan datos sensibles, deberan estar ubicados de forma tal que se reduzca el riesgo de visualizacin de la informacin por personas no autorizadas durante su uso, y los sitios de almacenamiento se deberan asegurar para evitar el acceso no autorizado. Se recomienda adoptar controles para minimizar el riesgo de amenazas fsicas potenciales, por ejemplo robo, incendio, explosin, humo, agua (o falla en el suministro de agua), polvo, vibracin, efectos qumicos, interferencia con el suministro elctrico, interferencia en las comunicaciones, radiacin electromagntica y vandalismo.

Los equipos deberan estar protegidos contra fallas en el suministro de energa y otras anomalas causadas por fallas en los servicios de suministro. Todos los servicios de suministro, tales como electricidad, agua, alcantarillado, calefaccin o ventilacin y afirme acondicionado deberan ser adecuados para los sistemas a los que dan apoyo. Se debera valorar e instalar, si se requiere, un sistema de alarma para detectar el funcionamiento inadecuado en los servicios de soporte. Estos servicios deberan ser adecuados para satisfacer los requisitos legales locales para comunicaciones de emergencia.

El cableado de energa elctrica y de telecomunicaciones que transporta datos o presta soporte a los servicios de informacin deberan estar protegidos contra interceptaciones o daos.
a) Los cables de energa deberan estar separados de

los cables de comunicaciones para evitar interferencia. b) Es recomendable emplear un plano del cableado para evitar errores.

a)

b)

Se debera utilizar rtulos de equipos y de cables claramente identificables para evitar errores de manejo. El cableado de red debera estar protegido contra intercepcin no autorizado o dao.

Los equipos deberan recibir mantenimiento adecuado para asegurar su continua disponibilidad e integridad.
a) El mantenimiento de los equipos debera estar acorde

con las especificaciones y los intervalos de servicio recomendados por el proveedor. b) Solo personal de mantenimiento autorizado debera realizar las reparaciones y el servicio de los equipos. c) Se recomienda conservar registros de todas las fallas reales o sospechadas y de todo el mantenimiento preventivo y correctivo. d) Se deberan cumplir todos los requisitos impuestos per las plizas de seguros.

Se debera suministrar seguridad para los equipos fuera de las instalaciones teniendo en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la organizacin.