top of page

E.3. Diseñar los controles de SI específicos para el SGSI

Propósito
Desarrollar un plan para asegurar la mejora continua y compromiso de los interesados en relación  a la seguridad de la información.
Entradas
  • Salidas de la actividad B.4. Integrar cada uno de los alcances y límites.
  • Salidas de la actividad B.5. Desarrollar las políticas del SGSI y obtener aprobación de la dirección.
  • Salidas de la actividad C.1. Definir los requerimientos de SI.
  • Salidas de la actividad D.2. Seleccionar los objetivos de control y controles.
  • Salidas de la actividad D.3. Obtener la autorización de la gerencia para la implementación del SGSI.
  • Salidas de la actividad E.1. Diseñar la seguridad de la información organizacional.
  • ISO/IEC 27004:2009.
Herramientas y técnicas
  • Generación de alternativas: Descrito en el punto D.2.
  • Tormenta de ideas: Descrito en el punto A.3.
  • Entrevistas: Descrito en el punto A.2.
  • Análisis de contextos: Descrito en el puntoA.1.
Recomendaciones

Para la planificación de las revisiones de la gerencia de las actividades del SGSI, deberían iniciar en las primeras etapas de la especificación y el caso de negocio del SGSI y continuar a través de las revisiones regulares de las operaciones SGSI. El cercano desenvolvimiento provee un significado para validar el SGSI en contra de las necesidades del negocio y mantener el compromiso del negocio del SGSI.

 

La planificación de las revisiones de la gerencia debería establecer cuándo y cómo la revisión de la gerencia debe ser conducida. Así también, los resultados de la auditoría interna del SGSI son importantes entradas de la revisión de la gestión SGSI.

 

Las precondiciones de las revisiones de gestión la información coleccionada basada en el SGSI implementado y operado, provee al equipo de gestión:

  • Reportes de incidentes para el último periodo de operación.

  • Verificación de la efectividad e identificación de controles.

  • Recomendaciones para la mejora del SGSI

  • Un plan para monitorear debería documentar los resultados de la revisión que deben ser registrados y reportados para gestionar.

 

En cuanto al diseño de programas de educación y entrenamiento y concientización de la seguridad de la información,

  • La gerencia es responsable para llevar la educación y el entrenamiento para asegurar que todo el personal tenga un rol claramente definido de acuerdo a su trabajo.

  • Es importante asegurar que cada empleado dentro del alcance SGSI reciba el entrenamiento y/o educación de seguridad.

  • Se recomienda diseñar diferentes tipos de materiales de educación de acuerdo a los perfiles de los empleados.

  • El material de entrenamiento de seguridad de la información debería contener lo siguiente:

  • Riesgos y amenazas relacionadas con la seguridad de la información

  • Términos básicos de la seguridad de la información

  • Definición claro de un incidente de seguridad

  • Políticas, procedimientos y estándares de seguridad de la información de la organización.

  • Guía en como asistir a la mejora continua de la seguridad de la información

  • Dónde obtener mayor información o asistencia.

Salidas

  • Procedimientos para cubrir la auditoría. 

  • Plan para la gestión que incluye procedimientos de revisión para auditar y monitorear. 

  • Materiales de concientización, educación y entrenamiento de SI. 

  • Planes para concientización, educación y entrenamiento de SI. .

bottom of page