• Home

  • Documents

  • gestionderolesyresponsabilidades-140615204337-phpapp02
4
4. Gestión de roles y responsabilidades Analizaremos las funciones y obligaciones del personal clave que interactúa con el SGSI. Como norma general se entenderá que las normas y obligaciones afectan por igual a todos (internos y externos) salvo se indique expresamente lo contrario (bien desarrollado o mediante una excepción). Comité de seguridad El comité de seguridad compuesto de los diferentes responsables de la organización, sus funciones serán las siguientes: - Implantar las directrices del comité de dirección. - Asignar roles y funciones en materia de seguridad. - Presentar la aprobación de políticas, normas y responsabilidades en materia de seguridad. - Validar el mapa de riesgos y sus acciones. - Validar el plan director de seguridad. - Supervisar el plan de continuidad del negocio. - Velar por el cumplimiento de la legislación vigente en materia de seguridad. - Promover la formación y cultura de seguridad. - Aprobar y revisar periódicamente el SGSI. En nuestra organización estará compuesto por las siguientes personas: - Representante de la dirección. - Responsable de Seguridad de la Organización. - Responsable de Explotación de Sistemas. - Responsable de Desarrollo y proyectos. - Responsable de Infraestructuras, Sistemas y Comunicaciones. - Responsable de Jurídico. - Responsable de Administración y Personal. - Equipo de asesores especializados en seguridad. Funciones y obligaciones del personal: Los empleados y las entidades relacionadas con los sistemas de información estarán obligados a respetar las normas, tanto con carácter general como específico. A efectos de garantizar el cumplimiento de estas obligaciones, se ha definido una política general, contenida en el presente documento. Confidencialidad, respecto a la información y documentación que reciben y/o usan perteneciente a la organización o de su responsabilidad. No incorporar a la organización información o datos sin autorización de la entidad. No ceder datos de carácter personal ni usarlos con una finalidad distinta por la que han sido recogidos (fichero). Comunicar al responsable de seguridad cualquier incidencia respecto a la seguridad de la información.

gestionderolesyresponsabilidades-140615204337-phpapp02

Embed Size (px)

DESCRIPTION

roles y accesos

Citation preview

  • 4. Gestin de roles y responsabilidades Analizaremos las funciones y obligaciones del personal clave que interacta con el SGSI. Como norma general se entender que las normas y obligaciones afectan por igual a todos (internos y externos) salvo se indique expresamente lo contrario (bien desarrollado o mediante una excepcin). Comit de seguridad El comit de seguridad compuesto de los diferentes responsables de la organizacin, sus funciones sern las siguientes: - Implantar las directrices del comit de direccin. - Asignar roles y funciones en materia de seguridad. - Presentar la aprobacin de polticas, normas y responsabilidades en materia de seguridad. - Validar el mapa de riesgos y sus acciones. - Validar el plan director de seguridad. - Supervisar el plan de continuidad del negocio. - Velar por el cumplimiento de la legislacin vigente en materia de seguridad. - Promover la formacin y cultura de seguridad. - Aprobar y revisar peridicamente el SGSI. En nuestra organizacin estar compuesto por las siguientes personas: - Representante de la direccin. - Responsable de Seguridad de la Organizacin. - Responsable de Explotacin de Sistemas. - Responsable de Desarrollo y proyectos. - Responsable de Infraestructuras, Sistemas y Comunicaciones. - Responsable de Jurdico. - Responsable de Administracin y Personal. - Equipo de asesores especializados en seguridad.

    Funciones y obligaciones del personal: Los empleados y las entidades relacionadas con los sistemas de informacin estarn obligados a respetar las normas, tanto con carcter general como especfico. A efectos de garantizar el cumplimiento de estas obligaciones, se ha definido una poltica general, contenida en el presente documento.

    Confidencialidad, respecto a la informacin y documentacin que reciben y/o usan perteneciente a la organizacin o de su responsabilidad.

    No incorporar a la organizacin informacin o datos sin autorizacin de la entidad. No ceder datos de carcter personal ni usarlos con una finalidad distinta por la que han sido

    recogidos (fichero). Comunicar al responsable de seguridad cualquier incidencia respecto a la seguridad de la

    informacin.

  • Personal con acceso privilegiado y personal tcnico. El personal tcnico que administra el sistema de acceso a los sistemas de informacin no tiene por qu estar presente en todos los casos, siendo en algunas ocasiones subcontratado o asumido por otros roles. En cualquiera de los casos, se podra clasificar en las siguientes categoras segn sus funciones: Administradores (red, sistemas operativos, aplicaciones y bases de datos): sern los responsables de los mximos privilegios, y por tanto con alto riesgo de que una actuacin errnea o incorrecta pueda afectar a los sistemas. Tendr acceso a todos los sistemas necesarios para desarrollar su funcin y resolver los problemas que surjan. Operadores (red, sistemas operativos, aplicaciones y bases de datos): sus actuaciones estn limitadas dentro de los sistemas de informacin y generalmente supervisadas por los administradores, utilizarn las herramientas de gestin disponible y autorizada. En principio no deben tener acceso a los ficheros que contengan datos personales salvo la tarea lo requiera.

    Mantenimiento de los sistemas y aplicaciones: personal responsable de la resolucin de incidencias en sistemas hardware y software. En principio no deben tener acceso a los datos de los sistemas de informacin salvo la tarea lo requiera. Como cualquier otro empleado de la organizacin el personal con acceso privilegiado y personal tcnico debe cumplir con las obligaciones establecidas en el documento, extremando an ms las precauciones al realizar acciones en el sistema de informacin. A continuacin identificaremos algunas de las funciones y responsabilidades exclusivas del personal de tcnico y con acceso privilegiado:

    - Procurar que la integridad, autentificacin, control de acceso auditora y registro se contemplen e incorporen en el diseo, implantacin y operacin de los sistemas de informacin y telecomunicaciones.

    - Procurar la confidencialidad y disponibilidad de la informacin almacenada en los sistemas de informacin (ya sea de forma electrnica o no) as como su salvaguarda mediante copias de seguridad de una forma peridica.

    - Conceder a los usuarios acceso nicamente a los datos y recursos a los que estn autorizados y precisen para el desarrollo de su trabajo.

    - No acceder a los datos aprovechando sus privilegios sin autorizacin del Responsable de Seguridad.

    - Custodiar con especial cuidado los identificadores y contraseas que dan acceso a los sistemas con privilegios de administrador.

    - Notificar las incidencias oportunas ante cualquier violacin de las normas de seguridad o vulnerabilidades detectadas en los sistemas.

    - No revelar a terceros ninguna posible debilidad en materia de seguridad de los sistemas sin previa autorizacin del Responsable de Seguridad y con el propsito de su correccin.

    Personal con perfil de usuario. Los usuarios con acceso a los sistemas de informacin y con acceso a los sistemas de informacin slo podrn acceder a aquellos que estn autorizados y sean necesarios para el desempeo de su funcin.

  • Por tanto, todos los usuarios involucrados en el uso de sistemas de informacin debern cumplir con las siguientes obligaciones, dependiendo de la funcin que realicen:

    Guardar el secreto de la informacin a la que tuviere acceso, incluso an despus de haber finalizado la relacin con la organizacin.

    Conocer y cumplir la normativa interna en cuestin de seguridad de la informacin y especialmente la referida a la proteccin de datos de carcter personal.

    Conocer y atenerse a las responsabilidades y consecuencias en caso de incurrir en el incumplimiento de la normativa interna.

    Respetar los procedimientos, mecanismos y dispositivos de seguridad, evitando cualquier intento de acceso no autorizado o recursos no permitidos.

    Usar de forma adecuada los procedimientos, mecanismos y controles de identificacin y autentificacin ante los sistemas de informacin. En el caso particular de usuarios y contraseas, se deber cumplir lo especficamente previsto en la normativa adjunta (sintaxis, distribucin, custodia, etc.).

    Utilizar las contraseas segn las instrucciones recibidas al respecto, tampoco informarlas ni cederlas a terceros ya que son de carcter personal y con uso exclusivo por parte del titular.

    Si un usuario tiene sospechas de que su acceso autorizado (identificador de usuario y contrasea) ha sido comprometido o est siendo utilizado por otra persona, debe proceder al cambio de contrasea y comunicar la correspondiente incidencia de seguridad.

    Proteger especialmente los datos personales de la organizacin que con carcter excepcional tuvieran que almacenarse, usarse o trasportarse fuera de trabajo (oficinas de clientes, instalaciones temporales, propio domicilio, etc.).

    Salir o bloquear el acceso de los ordenadores u otros dispositivos similares, cuando se encuentre ausente de su puesto de trabajo.

    Los usuarios deben notificar al Responsable de Seguridad de la organizacin cualquier incidencia que detecten que afecte o pueda afectar a los datos de los sistemas de informacin (prdida de informacin, acceso no autorizado por otras personas, recuperacin de datos, etc.).

    Entregar cuando sea requerido por la organizacin, y especialmente cuando cause baja en la empresa, las llaves, claves, tarjetas de identificacin, material, documentacin, equipos dispositivos y cuantos activos sean de propiedad de la empresa.

    Funciones y obligaciones del responsable de Seguridad El Responsable de Seguridad es la persona la persona que coordina y controla las medidas de seguridad aplicables en la organizacin. Las principales funciones asociadas a los Responsables de Seguridad:

    Asesorar en la definicin de requisitos sobre las medidas de seguridad que se deben adoptar. Validar la implantacin de los requisitos de seguridad necesarios. Revisar peridicamente los sistemas de informacin y elaborar un informe de las revisiones

    realizadas y los problemas detectados. Verificar la ejecucin de los controles establecidos segn lo dispuesto en el documento de

    seguridad. Mantener actualizadas las normas y procedimientos en materia de seguridad de afecten a la

    organizacin.

  • Definir y comprobar la aplicacin del procedimiento de copias de respaldo y recuperacin de datos.

    Definir y comprobar la aplicacin del procedimiento de notificacin y gestin de incidencias. Controlar que la auditora de seguridad se realice con la frecuencia necesaria. Analizar los informes de auditora y si lo considera necesario modificar las medidas correctoras

    para prevenir incidentes. Trasladar los informes de auditora a la direccin. Establecer los controles y medidas tcnicas y organizativas para asegurar los sistemas de

    informacin. Gestionar y analizar las incidencias de seguridad acaecidas en la organizacin y su registro

    segn el procedimiento indicado en el Documento de Seguridad. Coordinar la puesta en marcha de las medidas de seguridad y colaborar en el cumplimiento y

    difusin del Documento de Seguridad.


Prctica4caracterizacindeplsticos 13175442493319 Phpapp02 111002033447 Phpapp02

Prctica4caracterizacindeplsticos 13175442493319 Phpapp02 111002033447 Phpapp02

Documents
Canales de Comercializacin 1319900655 Phpapp02 111029100608 Phpapp02 (1)

Canales de Comercializacin 1319900655 Phpapp02 111029100608 Phpapp02 (1)

Documents
Proyectosinformticos -phpapp02

Proyectosinformticos -phpapp02

Automotive
Laprimeraguerramundial 110310073352-phpapp02-140218111648-phpapp02

Laprimeraguerramundial 110310073352-phpapp02-140218111648-phpapp02

Education
Clonacion 130309110400-phpapp02

Clonacion 130309110400-phpapp02

Education
Multimetro 120829222441-phpapp02

Multimetro 120829222441-phpapp02

Documents
Cualidadesfisicasymetodosdesarrollo 101220183012-phpapp02-140112103052-phpapp02

Cualidadesfisicasymetodosdesarrollo 101220183012-phpapp02-140112103052-phpapp02

Education
Fonètica phpapp02

Fonètica phpapp02

Documents
Ensearelfueradejuego 120612001528-phpapp02-120622070111-phpapp02

Ensearelfueradejuego 120612001528-phpapp02-120622070111-phpapp02

Documents
Hexagrama 091123104549-phpapp02

Hexagrama 091123104549-phpapp02

Education
Las5emocionesnaturales -phpapp02

Las5emocionesnaturales -phpapp02

Documents
Diccionariomarketingpublicidadysocialmedia 130408084530-phpapp02-130508122737-phpapp02

Diccionariomarketingpublicidadysocialmedia 130408084530-phpapp02-130508122737-phpapp02

Social Media
Clculo Mec Cajas Mecnicas 1308615297 Phpapp02 110620191858 Phpapp02

Clculo Mec Cajas Mecnicas 1308615297 Phpapp02 110620191858 Phpapp02

Documents
Elementoscomponentes 140811154912-phpapp02-140813160451-phpapp02

Elementoscomponentes 140811154912-phpapp02-140813160451-phpapp02

Education
Aorganizacinpolticadassociedades 111129105318-phpapp02-111201111522-phpapp02

Aorganizacinpolticadassociedades 111129105318-phpapp02-111201111522-phpapp02

Documents
Proyectosinformticos14 -phpapp02

Proyectosinformticos14 -phpapp02

Documents
Estoesmuhammadspanish -phpapp02

Estoesmuhammadspanish -phpapp02

Travel
Comunicacionasincronicaysincronicadeandreaavila phpapp02

Comunicacionasincronicaysincronicadeandreaavila phpapp02

Education
Presentacin1 130417145237-phpapp02

Presentacin1 130417145237-phpapp02

Documents
Contaminacinatmosfrica 120212131356-phpapp02-130706223014-phpapp02

Contaminacinatmosfrica 120212131356-phpapp02-130706223014-phpapp02

Education
Bullying 131104131609-phpapp02

Bullying 131104131609-phpapp02

Health & Medicine
Moreno 120731185501-phpapp02-120804185611-phpapp01-120806175131-phpapp02

Moreno 120731185501-phpapp02-120804185611-phpapp01-120806175131-phpapp02

Documents
Culturaclsica 120318162309-phpapp02-120320140700-phpapp02 (1)

Culturaclsica 120318162309-phpapp02-120320140700-phpapp02 (1)

Documents
Presentaciondealgoritmos 110204140015-phpapp02

Presentaciondealgoritmos 110204140015-phpapp02

Documents
Abrimoselprogramaaccess2010 140717141030-phpapp02

Abrimoselprogramaaccess2010 140717141030-phpapp02

Entertainment & Humor
Diapositivas phpapp02

Diapositivas phpapp02

Documents
Libropreparacinfsicacometti 130821153535-phpapp02-140721205634-phpapp02

Libropreparacinfsicacometti 130821153535-phpapp02-140721205634-phpapp02

Sports
elcmicparapdf phpapp02

elcmicparapdf phpapp02

Documents
Computacinenlanube 100616062101-phpapp02-111107142328-phpapp02

Computacinenlanube 100616062101-phpapp02-111107142328-phpapp02

Education
Ferrocarriles 101203155829-phpapp02-101205173749-phpapp02-101207061449-phpapp01

Ferrocarriles 101203155829-phpapp02-101205173749-phpapp02-101207061449-phpapp01

Business