Compromiso de la gerencia con la Seguridad de la Información
La gerencia o directivas de SISTESEG, debe apoyar activamente la seguridad de la información dentro de la organización con un rumbo claro, un compromiso demostrado, una asignación explicita y el conocimiento de las responsabilidades de la seguridad de la información. Este compromiso se verá reflejado a través de: Creación de un comité de seguridad interdisciplinario incluyendo el Área IT
. Asignación de un responsable de la seguridad de la información(Oficial de seguridad)
Aprobación del documento de políticas de seguridad de la información
Velar por el cumplimiento de las políticas de seguridad de la información
Asignación de responsabilidades asociadas al tema de la seguridad de la información
Funciones del Comité de Seguridad de la información
El comité de seguridad de la información debe estar conformado por miembros de alto nivel de los departamentos y Áreas de SISTESEG.
Debe periódicamente revisar el estado general de la seguridad de la información
Revisar y monitorear los incidentes de seguridad de la información Revisar y aprobar los proyectos de seguridad de la información Aprobar las modificaciones o nuevas políticas de seguridad de la información
Realizar otras actividades de alto nivel relacionadas con la seguridad de la información
Por último, cuando el comité de seguridad de la información se reúna con el propósito de revisar temas de seguridad de la información se incluirá la participación del Oficial de Seguridad.
Coordinación de la Seguridad de la Información
Las actividades de la seguridad de la información deben ser coordinadas por los representantes de todas las partes de SISTESEG con roles y funciones laborales pertinentes.
La gerencia de SISTESEG es responsable de que los empleados a su cargo, conozcan y apliquen las políticas de seguridad de la información.
SISTESEG deberá contar con un Oficial de Seguridad de la Información que asuma las tareas y responsabilidades que conlleva este rol:
Definir y actualizar políticas, normas, procedimientos y estándares definidos en el SGSI
Realizar el análisis de riesgo a las aplicaciones
Asesorar en la aplicación de la metodología para el mantenimiento de los planes de contingencia y continuidad del negocio
Evaluar, seleccionar e implantar herramientas que faciliten la labor de seguridad de la información
Dar los lineamientos para controlar el acceso a los sistemas de información y la modificación de privilegios
Promover en SISTESEG la formación, educación y el entrenamiento en seguridad de la información
Mantenerse actualizado en nuevas amenazas y vulnerabilidades existentes
Recibir capacitación en el tema de seguridad de la información
Realizar estudios de penetración y pruebas de seguridad en todos los ambientes1 (Desarrollo, Pruebas, Producción y Contingencia)
Asignación de responsabilidades para la Seguridad de la Información
Se deben definir claramente todas las responsabilidades en cuanto a seguridad de la información.
En especial las relacionadas a la existencia de un comité de seguridad de la información y un oficial de seguridad.
Oficial de Seguridad de la información
SISTESEG mantendrá dentro de su planta de empleados un Oficial de Seguridad de la información, cuyas funciones estarán caracterizadas y definidas en el documento SGSI.
Comité de seguridad de la información
El Oficial de Seguridad, podrá convocar a diferentes empleados para formar grupos interdisciplinarios, que apoyen la definición e implementación de los diferentes temas de seguridad de la información.
La gerencia
La gerencia de SISTESEG es responsable que los empleados a su cargo, conozcan y apliquen las políticas de seguridad de la información.
Empleados
Son responsables por el cumplimiento de las políticas de seguridad de la información.
Adicionalmente cada empleado está obligado a reportar al Oficial de Seguridad cualquier incidente de seguridad de la información del que tenga conocimiento.
Contratistas, proveedores y terceros
Los contratistas, proveedores y terceros que tengan acceso a los activos de información, están obligados a cumplir las políticas de Seguridad de la Información de SISTESEG.
Administradores de los sistemas
Los administradores de los diferentes sistemas deben en forma activa implementar las normas, estándares, formatos y procedimientos, para brindar un nivel apropiado de seguridad de la información.
Autorización para nuevos servicios de procesamiento de la Información
Se debe definir e implementar un procedimiento de autorización de la gerencia para nuevos servicios de procesamiento de la información.
No hay comentarios.:
Publicar un comentario