norma ISO 27002

CAPITULO 6

6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

6.1 ORGANIZACIÓN INTERNA

Objetivo: gestionar la seguridad de la información dentro de la organización.

Se debería establecer una estructura de gestión para iniciar y controlar la implementación de la seguridad de la información dentro de la organización.

La dirección debería aprobar la política de seguridad de la información, asignar las funciones de seguridad, coordinar y revisar la implementación de la seguridad en toda la organización.

Si es necesario, se recomienda establecer una fuente de asesoría especializada sobre seguridad de la información y ponerla a disposición en la organización. Es conveniente desarrollar contactos con grupos o especialistas externos en seguridad, incluyendo las autoridades pertinentes, para ir al compás de las tendencias industriales, monitorear normas y métodos de evaluación, así como proveer puntos adecuados de vínculo cando se manejan incidentes de seguridad de la información. Se debería promover un enfoque multidisciplinario para la seguridad de la información.

6.1.1 Compromiso de la dirección con la seguridad de la información

Control

La dirección debería apoyar activamente la seguridad dentro de la organización con un rumbo claro, un compromiso demostrado, una asignación explícita y el conocimiento de las responsabilidades de la seguridad de la información.

Guía de implementación

La dirección debería:

a) asegurar que las metas de la seguridad de la información están identificadas, satisfacen los requisitos de la organización y están integradas en los procesos pertinentes;

b) formular, revisar y aprobar la política de seguridad de la información;

c) revisar la eficacia de la implementación de la política de seguridad de la información;

d) proporcionar un rumbo claro y apoyo visible para las iniciativas de seguridad;

e) proporcionar los recursos necesarios para la seguridad de la información;

f) aprobar la asignación de funciones y responsabilidades específicas para la seguridad de la información en toda la organización;

g) iniciar planes y programas para mantener la concientización sobre la seguridad de la información;

h) asegurar la coordinación en toda la organización de la implementación de los controles de seguridad de la información.

La dirección debería identificar las necesidades de asesoría especializada interna o externa sobre la seguridad de la información, revisar y coordinar los resultados de la asesoría en toda la organización.

Dependiendo del tamaño de la organización, tales responsabilidades se podrían manejar a través de un comité de dirección dedicado a esta labor o a través de un organismo de dirección ya existente, como por ejemplo el consejo directivo.

Información adicional

La NTC 5411-1:2006, contiene información adicional.

6.1.2 Coordinación de la seguridad de la información

Control

Las actividades de la seguridad de la información deberían ser coordinadas por los representantes de todas las partes de la organización con roles y funciones laborales pertinentes.

Guía de implementación

Comúnmente, la coordinación de la seguridad de la información involucra la cooperación y colaboración de directores, usuarios, administradores, diseñadores de aplicación, auditores y personal de seguridad, así como habilidades especializadas en áreas como seguros, temas legales, recursos humanos, tecnología de la información o gestión de riesgos.

Esta actividad debería:

a) garantizar que las actividades de seguridad se efectúan en cumplimiento de la política de seguridad de la información;

b) identificar la forma de manejar los incumplimientos;

c) aprobar metodologías y procesos para la seguridad de la información, como la evaluación de riesgos y la clasificación de información;

d) identificar cambios significativos en las amenazas y la exposición de la información y de los servicios de procesamiento de la información a las amenazas;

e) evaluar la idoneidad y coordinar la implementación de los controles de seguridad de la información;

f) promover eficazmente la educación, la formación y la concientización de la seguridad de la información en toda la organización;

g) valorar la información recibida del monitoreo y la revisión de los incidentes de seguridad de la información, y recomendar las acciones apropiadas para responder a los incidentes identificados de la seguridad de la información.

Si la organización no emplea grupos con funciones separadas, por ejemplo debido a que dichos grupos no son apropiados para el tamaño de la organización, las acciones descritas anteriormente las debería llevar a cabo otro organismo de la dirección o un solo director.

6.1.3 Asignación de responsabilidades para la seguridad de la información

Control

Se deberían definir claramente todas las responsabilidades en cuanto a seguridad de la información.

Guía de implementación

La asignación de responsabilidades para la seguridad de la información se debería realizar de acuerdo con la política de seguridad de la información (véase el numeral 5). Se recomienda definir claramente las responsabilidades para la protección de activos individuales y para la ejecución de procesos específicos de seguridad. Esta responsabilidad debería complementarse, cuando es necesario, con directrices más detalladas para sitios específicos y servicios específicos de procesamiento de información. Se deberían definir claramente las responsabilidades locales para la protección de activos y para realizar procesos específicos de seguridad, como por ejemplo la planificación de la continuidad del negocio.

Los individuos con responsabilidades de seguridad asignadas pueden delegar las labores de seguridad a otros. No obstante, siguen siendo responsables y deberían determinar la ejecución correcta de las labores delegadas.

Las áreas por las cuales son responsables los individuos se deberían establecer con claridad, en particular, se deberían establecer las siguientes:

a) los activos y los procesos de seguridad asociados con cada sistema particular se deberían identificar y definir claramente;

b) se debería asignar la entidad responsable de cada activo o proceso de seguridad, así como documentar esta responsabilidad (véase también el numeral 7.1.2);

c) se deberían definir y documentar claramente los niveles de autorización.

Información adicional

En muchas organizaciones se designará un director de seguridad de la información con toda la responsabilidad por el desarrollo e implementación de la seguridad y para apoyar la identificación de controles.

Sin embargo, la responsabilidad por los recursos y la implementación de controles permanecerá en los directores individuales. Una práctica común es designar un dueño para cada activo, quien se hace responsable de su protección diaria.

6.1.4 Proceso de autorización para los servicios de procesamiento de información

Control

Se debería definir e implementar un proceso de autorización de la dirección para nuevos servicios de procesamiento de información.

Guía de implementación

Se recomienda tener en cuenta las siguientes directrices para el proceso de autorización:

a) los servicios nuevos deberían tener autorización de la dirección para el usuario apropiado, autorizando su propósito y uso. La autorización también se debería obtener del director responsable de mantener el entorno de seguridad del sistema de información local para asegurar el cumplimiento de todas las políticas y los requisitos de seguridad correspondientes;

b) cuando es necesario, el hardware y el software se deberían verificar para asegurar que son compatibles con otros componentes del sistema;

c) la utilización de servicios de procesamiento de información personales o privados, por ejemplo computadores portátiles (laptops), computadores domésticos o dispositivos manuales para procesar información del negocio, pueden introducir nuevas vulnerabilidades y se deberían identificar e implementar los controles necesarios.

6.1.5 Acuerdos sobre confidencialidad

Control

Se deberían identificar y revisar con regularidad los requisitos de confidencialidad o los acuerdos de no-divulgación que reflejan las necesidades de la organización para la protección de la información.

Guía de implementación

Los acuerdos de confidencialidad o de no-divulgación deberían abordar los requisitos para proteger la información confidencial usando términos que se puedan hacer cumplir legalmente.

Para identificar los requisitos para los acuerdos de confidencialidad o de no-divulgación, se deberían considerar los siguientes elementos:

a) definición de la información que se ha de proteger (por ejemplo la información confidencial);

b) duración esperada del acuerdo, incluyendo los casos en que puede ser necesario mantener la confidencialidad indefinidamente;

c) acciones requeridas cuando se termina un acuerdo;

d) responsabilidades y acciones de los que suscriben el acuerdo de confidencialidad para evitar la divulgación no autorizada de información (tal como "necesidad de conocer");

e) propiedad de la información, secretos comerciales y propiedad intelectual y cómo se relaciona con la protección de información confidencial;

f) el uso permitido de la información confidencial y los derechos de los que suscriben el acuerdo de confidencialidad a usar la información;

g) derecho de auditar y monitorear las actividades que involucran a la información confidencial;

h) Proceso para la notificación y el reporte de divulgación no autorizada o violación de la información confidencial;

i) términos para la devolución o la destrucción de la información al terminar el acuerdo;

j) acciones esperadas a tomar en caso de incumplimiento de este acuerdo.

Con base en los requisitos de seguridad de la organización, pueden ser necesarios otros elementos en un acuerdo de confidencialidad o no-divulgación.

Los acuerdos de confidencialidad o no-divulgación deberían cumplir todas las leyes y las regulaciones que se aplican en la jurisdicción correspondiente (véase el numeral 15.1.1).

Los requisitos para los acuerdos de confidencialidad o no-divulgación se deberían revisar periódicamente y cuando se produzcan cambios que influyan en estos requisitos.

Información adicional

Los acuerdos de confidencialidad y de no-divulgación protegen la información de la organización e informan a los que suscriben el acuerdo de confidencialidad, sus responsabilidades para proteger, utilizar y divulgar información de forma responsable y autorizada.

Puede ser necesario que una organización utilice diferentes formas de acuerdos de confidencialidad y de no-divulgación en circunstancias diferentes.

6.1.6 Contacto con las autoridades

Control

Se deberían mantener contactos apropiados con las autoridades pertinentes.

Guía de implementación

Las organizaciones deberían tener procedimientos establecidos que especifiquen cuándo y a través de que autoridades (policía, bomberos, autoridades de supervisión) se deberían contactar y la forma en que se deberían reportar oportunamente los incidentes identificados de la seguridad de la información, si se sospecha de incumplimiento de la ley.

Puede que las organizaciones sometidas a ataques provenientes de Internet necesiten terceras partes externas (por ejemplo un proveedor de servicios de Internet o un operador de telecomunicaciones) para tomar acción contra la fuente de los ataques.

Información adicional

El mantenimiento de dichos contactos puede ser un requisito para dar soporte a la gestión de incidentes de seguridad de la información (véase el numeral 13.2) o a la continuidad del negocio y el proceso de planes de contingencia (véase la sección 14). Los contactos con los organismos de regulación también son útiles para anticipar y preparar los cambios futuros en la ley o en los reglamentos que la organización debe cumplir. Los contactos con otras autoridades incluyen servicios públicos, servicios de emergencia, salud y seguridad, como el departamento de bomberos (en conexión con la continuidad del negocio), proveedores de telecomunicaciones (junto con enrutamiento de línea y disponibilidad) y proveedores de agua (junto con medios de refrigeración para los equipos).

6.1.7 Contactos con grupos de interés especiales

Control

Se deberían mantener los contactos apropiados con grupos de interés especiales, otros foros especializados en seguridad de la información, y asociaciones de profesionales.

Guía de implementación

La pertenencia a foros o grupos de interés especial se debería considerar un medio para:

a) mejorar el conocimiento sobre las mejores prácticas y estar actualizado con la información pertinente a la seguridad;

b) garantizar que la comprensión del entorno de seguridad de la información es actual y completa;

c) recibir advertencias oportunas de alertas, avisos y parches relacionados con ataques y vulnerabilidades;

d) obtener acceso a asesoría especializada sobre seguridad de la información;

e) compartir e intercambiar información acerca de nuevas tecnologías, productos, amenazas o vulnerabilidades;

f) suministrar puntos adecuados de enlace cuando se trata de incidentes de seguridad de la información (véase el numeral 13.2.1).

Información adicional

Se pueden establecer acuerdos para compartir información con el objeto de mejorar la cooperación y la coordinación de los temas de seguridad. Dichos acuerdos deberían identificar los requisitos para la protección de la información sensible.

6.1.8 Revisión independiente de la seguridad de la información

Control

El enfoque de la organización para la gestión de la seguridad de la información y su implementación (es decir, objetivos de control, controles, políticas, procesos y procedimientos para seguridad de la información) se deberían revisar independientemente a intervalos planificados, o cuando ocurran cambios significativos en la implementación de la seguridad.

Guía de implementación

La dirección debería poner en marcha la revisión independiente. Esta revisión independiente es necesaria para asegurar la eficacia, idoneidad y propiedad del enfoque de la organización para la gestión de la seguridad de la información. La revisión debería incluir la evaluación de las oportunidades de mejora y la necesidad de cambios en el enfoque de la seguridad, incluyendo la política y los objetivos de control.

Dicha revisión debería ser realizada por personas independientes del área sometida a revisión, por ejemplo por la función de auditoría interna, un director independiente o una organización de tercera parte especializada en tales revisiones. Los individuos que llevan a cabo estas revisiones deberían tener la experiencia y las habilidades adecuadas.

Se recomienda que los resultados de la revisión independiente se registren y se reporten a la dirección que ha iniciado la revisión. Estos registros se deberían conservar.

Si la revisión identifica que el enfoque y la implementación de la organización con respecto a la gestión del sistema de seguridad son inadecuados o no cumplen la orientación para la seguridad de la información establecida en el documento de la política de la seguridad de la información (véase el numeral 5.1.1), la dirección debería considerar las acciones correctivas.

Información adicional

El área que los directores deberían revisar regularmente (véase el numeral 15.2.1) también se podría revisar independientemente. Las técnicas de revisión pueden incluir entrevistas de la dirección, verificación de registros o revisión de los documentos de la política de seguridad. La norma NTC-ISO 19011:2002, Directrices para la auditoría de los sistemas de gestión ambiental y / o de calidad también puede suministrar una guía útil para llevar a cabo la revisión independiente, incluyendo el establecimiento y la implementación de un programa de revisión.

El numeral 15.3 especifica los controles pertinentes para la revisión independiente de los sistemas de información operativos y el uso de las herramientas de auditoría de sistemas.

6.2 PARTES EXTERNAS

Objetivo: mantener la seguridad de la información y de los servicios de procesamiento de información de la organización a los cuales tienen acceso partes externas o que son procesados, comunicados o dirigidos por éstas.

La seguridad de la información y de los servicios de procesamiento de información no se deberían reducir introduciendo productos o servicios de partes externas.

Se debería controlar todo acceso a los servicios de procesamiento de información, así como el procesamiento y comunicación de información por partes externas.

Cuando existe una necesidad del negocio de trabajar con partes externas que pueden requerir acceso a la información de la organización y a sus servicios de procesamiento de información, o de obtener o suministrar productos y servicios de o para una parte externa, se debería realizar una evaluación de riesgos para determinar las implicaciones para la seguridad y los requisitos de control. Los controles se deberían acordar y definir en un convenio con la parte externa.

6.2.1 Identificación de los riesgos relacionados con las partes externas

Control

Se deberían identificar los riesgos para la información y los servicios de procesamiento de información de la organización de los a los procesos del negocio que involucran partes externas e implementar los controles apropiados antes de autorizar el acceso.

Guía de implementación

Cuando existe la necesidad de permitir el acceso de una parte externa a los servicios de procesamiento de información o a la información de la organización, es recomendable llevar An cabo una evaluación de riesgos (véase también la sección 4) para identificar los requisitos para los controles específicos. En la identificación de los riesgos relacionados con el acceso de partes externas se deberían considerar los siguientes aspectos:

a) los servicios de procesamiento de información a los cuales requiere acceso la parte externa;

b) el tipo de acceso que tendrá la parte externa a la información y a los servicios de procesamiento de información, por ejemplo:

1) acceso físico, por ejemplo a oficinas, recintos de computadores y gabinetes de archivos;

2) acceso lógico, por ejemplo a las bases de datos de la organización o a los sistemas de la organización;

3) conexión de red entre las redes de la organiza

4) si el acceso tendrá lugar en las instalaciones o fuera de ellas.

c) el valor y la sensibilidad de la información involucrada y su importancia para las operaciones del negocio;

d) los controles necesarios para proteger la información que no está destinada a ser accesible por las partes externas;

e) el personal de la parte externa involucrado en manejar la información de la organización;

f) la forma en que se puede identificar a la organización o al personal autorizado a tener acceso, la manera de verificar la autorización, así como la forma en que es necesario confirmarlo;

g) los diferentes medios y controles utilizados por la parte externa al almacenar, procesar, comunicar, compartir e intercambiar la información;

h) el impacto del acceso denegado a la parte externa cuando lo requiere y la recepción o el acceso de la parte externa a información inexacta o engañosa;

i) las prácticas y los procedimientos para tratar los incidentes de seguridad de la información y los daños potenciales, al igual que los términos y las condiciones para la continuación del acceso de la parte externa en el caso de un incidente de seguridad de la información;

j) los requisitos legales y reglamentarios y otras obligaciones contractuales pertinentes a la parte externa que se deberían tener en cuenta;

k) la forma en que se podrían ver afectados los intereses de cualquier otro accionista debido a los acuerdos.

El acceso de las partes externas a la información de la organización no se debería brindar hasta haber implementado los controles apropiados y, cuando es viable, haber firmado un contrato que defina los términos y las condiciones para la conexión o el acceso y el acuerdo de trabajo. En general, todos los requisitos de seguridad, que resultan del trabajo con partes externas, o los controles internos se deberían reflejar en el acuerdo con la parte externa (véanse los numerales 6.2.2 y 6.2.3).

Se debería garantizar que la parte externa es consciente de sus obligaciones y acepta las responsabilidades y deberes involucrados en el acceso, procesamiento, comunicación o gestión de la información y los servicios de procesamiento de información de la organización.

Información adicional

Las partes externas podrían poner en riesgo la información con una gestión inadecuada de la seguridad. Se deberían identificar y aplicar los controles para administrar el acceso de la parte externa a los servicios de procesamiento de información. Por ejemplo, si existe una necesidad especial de confidencialidad de la información, se podrían utilizar los acuerdos de nodivulgación.

Las organizaciones pueden enfrentar riesgos asociados con procesos, gestión y comunicación entre las organizaciones, si se aplica un alto grado de contratación externa cuando existen varias partes externas involucradas.

Los controles 6.2.2 y 6.2.3 comprenden diferentes acuerdos con partes externas, incluyendo por ejemplo:

a) proveedores de servicios, como los proveedores de servicios de Internet, proveedores de red, servicios telefónicos, servicios de mantenimiento y soporte;

b) servicios de seguridad dirigidos;

c) clientes;

d) contratación externa de servicios y / u operaciones, sistemas de tecnología de la información, servicios de recolección de datos, operaciones de centro de llamadas;

e) asesores de negocios y gestión, y auditores;

f) desarrolladores y proveedores, por ejemplo productos de software y sistemas de tecnología de la información;

g) limpieza, alimentación y otros servicios de soporte contratados externamente;

h) personal temporal, ubicación de estudiantes y otras asignaciones casuales a corto plazo;

Tales acuerdos pueden ayudar a reducir los riesgos asociados con las partes externas.

6.2.2 Abordaje de la seguridad cuando se trata con los clientes

Control

Todos los requisitos de seguridad identificados se deberían abordar antes de dar acceso a los clientes a los activos o la información de la organización.

Guía de implementación

Los siguientes términos se deberían considerar para abordar la seguridad antes de dar acceso a los clientes a cualquiera de los activos de la organización (dependiendo del tipo y la extensión de dicho acceso, no se podrían aplicar todos ellos):

a) protección de activos, incluyendo:

1) procedimientos para proteger los activos de la organización, incluyendo información y software, y gestión de las vulnerabilidades conocidas;

2) procedimientos para determinar si alguna vez se han puesto en peligro los activos, por ejemplo pérdida o modificación de datos;

3) integridad;

4) restricciones a la copia y la divulgación de la información;

b) descripción del producto o servicio que se va proveer;

c) las diversas razones, requisitos y beneficios del acceso del cliente;

d) política de control del acceso, incluyendo:

1) métodos de acceso permitido y control y uso de identificadores únicos tales como la identificación del usuario (ID) y las contraseñas;

2) proceso de autorización para los privilegios y el acceso de los usuarios;

3) declaración de que el acceso que no se autorice explícitamente está prohibido;

4) proceso para revocar los derechos de acceso o interrumpir la conexión entre los sistemas;

e) convenios para el reporte, la notificación y la investigación de las inexactitudes de la información (por ejemplo de detalles personales), incidentes de seguridad de la información y violaciones de la seguridad.

f) descripción de cada servicio que va a estar disponible;

g) la meta del nivel de servicio y los niveles inaceptables de servicio;

h) el derecho a monitorear y revocar cualquier actividad relacionada con los activos de la organización;

i) las respectivas responsabilidades civiles de la organización y del cliente;

j) las responsabilidades relacionadas con asuntos legales y la forma en que se garantiza el cumplimiento de los requisitos legales, por ejemplo la legislación sobre protección de datos, teniendo en cuenta particularmente los diversos sistemas legales nacionales, si el acuerdo implica cooperación con clientes en otros países (véase el numeral 6.1.5).

k) derechos de propiedad intelectual (DPI) y asignación de derechos de copia (véase el numeral

15.1.2) y la protección de cualquier trabajo en colaboración (véase el numeral 6.1.5).

Información adicional

Los requisitos de seguridad relacionados con los clientes que tiene acceso a los activos de la organización pueden variar considerablemente dependiendo de la información y de los servicios de procesamiento de información a los cuales se tiene acceso. Estos requisitos de seguridad se pueden abordar empleando acuerdos con el cliente que contengan todos los riesgos y requisitos de seguridad identificados (véase el numeral 6.2.1).

Los acuerdos con las partes externas también pueden involucrar a otras partes. Los acuerdos que otorgan acceso a la parte externa deberían incluir la permisividad para la designación de otras partes y las condiciones elegibles para su acceso y participación.

6.2.3 Abordaje de la seguridad en los acuerdos con terceras partes

Control

Los acuerdos con terceras partes que implican acceso, procesamiento, comunicación o gestión de la información o de los servicios de procesamiento de información de la organización, o la adición de productos o servicios a los servicios de procesamiento de la información deberían considerar todos los requisitos pertinentes de seguridad.

Guía de implementación

El acuerdo debería garantizar que no existen malos entendidos entre la organización y la tercera parte. Las organizaciones deberían estar satisfechas en la medida de la indemnización de la tercera parte.

Se recomienda tener en cuenta los siguientes términos para la inclusión en el acuerdo con el objeto de cumplir los requisitos de seguridad identificados:

a) la política de seguridad de la información;

b) los controles para asegurar la protección del activo, incluyendo:

1) procedimientos para proteger los activos de la organización, incluyendo información, software y hardware;

2) todos los controles y mecanismos de protección física requeridos;

3) controles para asegurar la protección contra software malicioso (véase el numeral 10.4.1);

4) procedimientos para determinar si alguna vez se han puesto en peligro los activos, por ejemplo pérdida o modificación de información; software y hardware;

5) controles para asegurar la devolución o la destrucción de la información y los activos al finalizar el acuerdo o en un punto acordado en el tiempo durante la duración del acuerdo;

6) confidencialidad, integridad, disponibilidad y cualquier otra propiedad pertinente (véase el numeral 2.1.5) de los activos;

7) restricciones a la copia y a la divulgación de información, y uso de acuerdos de confidencialidad (véase el numeral 6.1.5);

c) la formación del usuario y del administrador en métodos, procedimientos y seguridad;

d) asegurar la concientización del usuario sobre responsabilidades y aspectos de la seguridad de la información;

e) las disposiciones para la transferencia de personal, cuando es apropiado;

f) las responsabilidades relacionadas con la instalación y el mantenimiento del software y el hardware;

g) la estructura clara y los formatos acordados para la presentación de los informes;

h) el proceso claro y específico para la gestión de cambios;

i) la política de control del acceso, incluyendo:

1) diversas razones, requisitos y beneficios de la necesidad del acceso por terceras partes;

2) métodos de acceso permitido y control y uso de identificadores únicos, tales como las identificaciones de usuario (ID) y las contraseñas;

3) proceso de autorización para los privilegios y el acceso del usuario;

4) requisito para mantener una lista de las personas autorizadas a usar los servicios que se ponen a disposición, y de sus derechos y privilegios con relación a tal uso;

5) declaración de que el acceso que no se autorice explícitamente está prohibido;

6) proceso para revocar los derechos de acceso o interrumpir la conexión entre los sistemas;

j) las disposiciones para el reporte, la notificación y la investigación de los incidentes de seguridad de la información y las violaciones de la seguridad, así como los incumplimientos de los requisitos establecidos en el acuerdo;

k) la descripción de cada servicio que va a estar disponible y una descripción de la información que va a estar disponible junto con su clasificación de seguridad (véase el numeral 7.2.1);

l) la meta del nivel de servicio y los niveles inaceptables de servicio;

m) la definición de criterios verificables de desempeño, su monitoreo y reporte;

n) el derecho a monitorear y revocar cualquier actividad relacionada con los activos de la organización;

o) el derecho a auditar las responsabilidades definidas en el acuerdo, a que dichas auditorías sean realizadas por una tercer parte y a enumerar los derechos estatutarios de los auditores;

p) el establecimiento de un proceso de escalada para la solución de problemas;

q) los requisitos de la continuidad del servicio, incluyendo las medidas para la disponibilidad y confiabilidad, de acuerdo con las prioridades de negocio de la organización;

r) las responsabilidades civiles correspondientes de las partes del acuerdo;

s) las responsabilidades relacionadas con asuntos legales y la forma en que se garantiza el cumplimiento de los requisitos legales, por ejemplo la legislación sobre protección de datos, teniendo en cuenta particularmente los diversos sistemas legales nacionales, si el acuerdo implica cooperación con organizaciones en otros países (véase el numeral 15.1); t) los derechos de propiedad intelectual (DPI) y asignación de derechos de copia (véase el numeral 15.1.2) y la protección de cualquier trabajo en colaboración (véase el numeral 6.1.5); u) la participación de la tercera parte con los subcontratistas y los controles de seguridad que estos subcontratistas necesitan implementar; v) las condiciones para la renegociación / terminación del acuerdo:

1) se debería establecer un plan de contingencia en caso de que cualquiera de las partes desee terminar la relación antes del término de los acuerdos;

2) renegociación de acuerdos si cambian los requisitos de seguridad de la organización;

3) documentación vigente de las listas de activos, licencias, acuerdos o derechos relacionados con ellos.

Información adicional

Los acuerdos pueden variar considerablemente para diferentes organizaciones y entre los diferentes tipos de terceras partes. Por lo tanto, se debe tener cuidado al incluir todos los riesgos y requisitos de seguridad identificados (véase el numeral 6.2.1) en los acuerdos.

Cuando es necesario, los procedimientos y controles requeridos se pueden ampliar en el plan de gestión de la seguridad.

Si la gestión de la seguridad se contrata externamente, los acuerdos deberían abarcar la forma en que la tercera parte garantizará la seguridad adecuada, tal como lo definió la evaluación de riesgos, cómo mantendrá la seguridad, y cómo se adaptará la seguridad para identificar y tratar los cambios en los riesgos.

Algunas de las diferencias entre la contratación externa y otras formas de prestación de servicios de terceras partes incluyen el tema de la responsabilidad civil, la planificación del periodo de transición y la interrupción potencial de las operaciones durante este periodo, acuerdos sobre planificación de contingencias y revisiones con la debida diligencia, así como la recolección y gestión de información sobre incidentes de seguridad. Por ello, es importante que la organización planifique y gestione la transición hacia un acuerdo contratado externamente y tenga procesos adecuados establecidos para la gestión de los cambios y la renegociación / terminación de los acuerdos.

Es necesario considerar en el acuerdo los procedimientos para el procesamiento continuo, en el caso de que la tercera parte no pueda suministrar sus servicios, para evitar cualquier retraso en la disposición de los servicios de reemplazo.

Los acuerdos con las partes externas también pueden involucrar a otras partes. Los acuerdos que otorgan acceso a la tercera parte deberían incluir la permisividad para la designación de otras partes y las condiciones elegibles para su acceso y participación.

En general, los acuerdos los desarrolla en primer término la organización. Puede haber ocasiones, en algunas circunstancias, en que una tercera parte pueda desarrollar un acuerdo e imponerlo a la organización. Es necesario que la organización garantice que su propia seguridad no sufre impactos innecesarios debido a los requisitos de la tercera parte estipulados en los acuerdos impuestos. v) las condiciones para la renegociación / terminación del acuerdo:

1) se debería establecer un plan de contingencia en caso de que cualquiera de las partes desee terminar la relación antes del término de los acuerdos;

2) renegociación de acuerdos si cambian los requisitos de seguridad de la organización;

3) documentación vigente de las listas de activos, licencias, acuerdos o derechos relacionados con ellos.

Información adicional

Cuando es necesario, los procedimientos y controles requeridos se pueden ampliar en el plan de gestión de la seguridad.

norma ISO 27002

martes, 2 de junio de 2015

No hay comentarios:

Publicar un comentario