Gestión de incidentes en la seguridad de la información
Aspectos organizativos de la seguridad de la información.
Gestión de comunicaciones y operaciones
Gestión de la continuidad del negocio
Seguridad física y ambiental
Cumplimiento
Adquisición, desarrollo y mantenimiento de los sistemas de información
Seguridad ligada a los recursos humanos
Control de acceso
Gestión de activos
Política de seguridad
Organización interna:manejar la seguridad de la información dentro de la organización Organización con respecto a terceros: organización en materia de seguridad de la información debe también considerarse respecto a terceros.
Se debe trabajar con reportes de los eventos y debilidades de la seguridad de la información, asegurando una comunicación tal que permita que se realice una acción correctiva oportuna, llevando la información a través de los canales gerenciales apropiados lo más rápidamente posible.
se divide en áreas seguras y seguridad de los equipos. Respecto a las áreas seguras, se refiere a un perímetro de seguridad física que cuente con barreras o límites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las áreas que contienen información y medios de procesamiento de información.
El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los medios.
Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un análisis del impacto comercial.
Los procedimientos de operación deben estar bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estén autorizados por la gerencia.
gerencia la dirección y soporte para la seguridad de la información, los requerimientos comerciales las leyes y regulaciones relevantes
Se debe contar con una política de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al máximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestión de privilegios, autenticación mediante usuarios y contraseñas, etc.
Contemplar aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen. Debe existir una validación adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes.
Se deben asignar responsabilidades por cada uno de los activos de la organización, así como poseer un inventario actualizado de todos los activos que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificación de todos los activos.
Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley
