La seguridad de la información no se puede abordar únicamente desde un enfoque técnico, se deben considerar diversos aspectos en, al menos, las siguientes 14 áreas:
Anexo A5. Política de seguridad:
1 Política de seguridad de la información: Proporcionar la guía y apoyo de la Dirección para la seguridad de la información en relación a los requisitos del negocio y a las leyes y regulaciones relevantes.
Anexo A6. Aspectos organizativos:
1 Organización interna: Establecer un marco de gestión para iniciar y controlar la implementación y operación de seguridad de la información dentro de la organización.
2 Dispositivos móviles de teletrabajo: Para garantizar la seguridad del teletrabajo y el uso de dispositivos móviles.
Anexo A7. Seguridad ligada a RRHH:
1 Antes del empleo: Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios.
2 Durante el empleo: Asegurar que los empleados, contratistas y terceras partes son conscientes de las amenazas de seguridad, de sus responsabilidades y obligaciones y que están equipados para cumplir con la política de seguridad de la organización en el desempeño de sus labores diarias, para reducir el riesgo asociado a los errores humanos.
3 Al cese de la relación laboral: Proteger los intereses de la organización cuando empleados, contratistas y terceras partes abandonan la organización.
Anexo A8. Gestión de activos:
1 Responsabilidad de los activos: Identificar los activos de la organización y definir las responsabilidades de protección adecuados.
2 Clasificación de la información: Asegurar que la información reciba un nivel adecuado de protección de acuerdo con su importancia para la organización.
3 Manipulación de los soportes: Evitar la divulgación, modificación, retirada o destrucción de activos no autorizada e interrupciones en las actividades de la organización.
Anexo A9. Control de accesos:
1 Requerimientos de negocio frente al control de acceso: Limitar el acceso a las instalaciones de procesamiento de información y la información.
2 Gestión de accesos de usuario: Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas de información.
3 Responsabilidades de los usuarios: Impedir el acceso de usuarios no autorizados y el compromiso o robo de información y recursos para el tratamiento de la información.
4 Control de acceso al sistema y las aplicaciones: Prevenir el acceso no autorizado a los sistemas y aplicaciones
Anexo A10. Criptografía:
1 Criptografía: Garantizar un uso adecuado y eficaz de la criptografía para proteger la confidencialidad, autenticidad y / o integridad de la información.
Anexo A11. Seguridad física y medioambiental:
1 Áreas seguras: Evitar el acceso físico no autorizado, daños o intromisiones en las instalaciones y a la información de la organización.
2 Seguridad de equipos: Evitar la pérdida, daño, robo o puesta en peligro de los activos e interrupción de las actividades de la organización.
Anexo A12. Seguridad en las operaciones:
1 Responsabilidades y procedimientos de operación: Asegurar la operación correcta y segura de los recursos de tratamiento de la información.
2 Protección contra el código malicioso: Asegurar que las instalaciones de procesamiento de información y la información están protegidos contra el malware
3 Copias de seguridad: Garantizar la disponibilidad de la información en la organización frente a la perdida de datos.
4 Supervisión y monitorización de log: Registrar eventos y generar evidencia.
5 Control del software (operativo): Garantizar la integridad de los sistemas operativos.
6 Gestión de vulnerabilidades técnicas: Minimizar el riesgo de explotación de vulnerabilidades técnicas.
7 Auditoria de los sistemas: Minimizar el impacto de las actividades de auditoría en los sistemas operativos.
Anexo A13. Seguridad en las comunicaciones:
1 Gestión de la seguridad de las redes: Asegurar la protección de la información en las redes y la protección de su infraestructura de apoyo.
2 Intercambios de información: Mantener la seguridad de la información y del software que se intercambian dentro de la organización o con cualquier entidad externa.
Anexo A14. Adquisición, desarrollo y mantenimiento:
1 Requerimientos de seguridad de los SI: Garantizar que la seguridad es parte integral de los sistemas de información.
2 Seguridad en los procesos de desarrollo y soporte: Mantener la seguridad del software del sistema de aplicaciones y la información.
3 Validación de la información: Evitar errores, pérdidas, modificaciones no autorizadas o mal uso de la información en las aplicaciones.
Anexo A15. Relación con proveedores:
1 Seguridad de la información en relación con los proveedores: Garantizar la protección de los activos de la organización que sea accesible por los proveedores.
2 Gestión de la prestación de servicios de proveedor: Mantener un nivel acordado de la seguridad y la prestación de servicios de información en línea con acuerdos con proveedores.
Anexo A16. Gestión de incidentes de seguridad:
1 Gestión de incidentes de seguridad y mejoras: Garantizar que los eventos y debilidades en la seguridad asociados con los sistemas de información se comuniquen de modo que se puedan realizar las acciones correctivas oportunas.
Anexo A17. Continuidad de negocio:
1 Seguridad en la continuidad de negocio Objetivo La información sobre la continuidad de seguridad se puede integrar en sistemas de gestión de continuidad de negocio de la organización.
2 Redundancia: Asegurar la continuidad de la organización, usando para ello sistemas redundantes.
Anexo A18. Cumplimiento legal:
1 Cumplimiento de los requisitos legales: Evitar incumplimientos de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requisito de seguridad.
2 Revisión de la SI: Asegurar que la seguridad de la información se aplica y opera de acuerdo con las políticas y procedimientos de la organización.
El CEUPE – European Business School revalida su reconocimiento en el prestigioso Ranking FSO 2024, donde su MBA en Dirección y Administración Empresarial ha sido destacado entre los mejores programas ...
El pasado mes de octubre, CEUPE llevó a cabo una nueva edición de la Semana Internacional en la vibrante ciudad de Madrid. Este evento es mucho más que un simple encuentro; es una oportunidad única pa...
CEUPE Destaca en el Ranking Innovatec como una de las Escuelas de Negocios Más Innovadoras El Centro Europeo de Postgrado (CEUPE), escuela de negocios internacional y referente en formación online, ha...
Cada año, el Ranking Top100 Líderes Innovadores destaca a cien personalidades que han demostrado un compromiso decidido con la innovación en su trayectoria profesional, personal y empresarial. Fundado...
Las cuentas anuales son un conjunto de documentos financieros que reflejan la situación económica y los resultados de una empresa en un periodo determ...
La innovación ha sido siempre un motor esencial para el progreso de las empresas. Sin embargo, en la era de la globalización y la transformación digit...
La toma de decisiones empresariales es una de las actividades más críticas en el ámbito corporativo. Los líderes empresariales están constantemente en...
Un gestor de proyectos se caracteriza por poseer un conjunto integral de habilidades técnicas, interpersonales y directivas, respaldadas por una ampli...
Si estás considerando hacer un MBA y te surge la pregunta de si con eso aprenderás marketing, la respuesta no es un simple "sí" o "no". Un MBA puede e...
En la era de la digitalización, las empresas buscan expertos que las guíen en su transformación digital. El consultor digital se ha convertido en una ...
Comentarios