Las microformas en la gestión

Transcripción

1 Nuevas tecnologías aplicadas a la gestión documental Las microformas en la gestión del documento electrónico Base legal y técnica Miguel Véliz Granados Secretario Técnico del Comité Especializado de normalización ió demicroformas digitalesi Mayo

2 OBJETIVO Conocer los requisitos establecidos en las normas legales y técnicas para la gestión de documentos electrónicos en la implementación de líneas de producción de microformas orientadas a obtener valor legal 2

3 PROLOGO En el Perú el uso de las tecnologías de avanzada enmateria de archivo de documentos e información está regulada por un conjunto de normas legales orientadas a: Otorgar facilidades para elaborar microformas tanto por procesos convencionales como informáticos en computadoras Otorgar reconocimiento de valor legal a los archivos conservados mediante microformas que permitan ahorro de espacio y costos a las organizaciones, colaborando a su eficiencia y productividad. Aprovechar los adelantos de la tecnología en beneficio de actividades empresariales, alentando las inversiones y mejorando sus rendimientos. 3

4 LOS ARCHIVOS DE LAS ORGANIZACIONES Constituyen el legajo de la gestión documental. Son objeto de consulta interna y externa. Tienen valor histórico, i valor de activo y/o patrimonial para la organización. Deben ser conservados por periodos establecidos por la organización ió opor orden legal. 4

5 La gestión de la documentación y la información en las organizaciones Adecuado soporte para la gestión y toma de decisiones Incrementa la productividad id d y la competitividad Es dependiente de la tecnología de la información y las comunicaciones Tiene aptitud para el rápido acceso y difusión a distancia Facilita el ingreso al contexto de la internacionalización de los intercambios comerciales. 5

6 Normas legales y reglamentarias que enmarcan la elaboración de microformas (MFS) DL Nº de octubre de 1991 Regula el uso de tecnologías de avanzada para el archivo de documentos DS Nº JUS 27 de junio 1992 Reglamento del DL Nº 681 Ley Nº de mayo de 1996 Modificatoria del DL Nº 681 DL N de junio de 1996 Amplían alcances del DL Nº 681 a las entidades públicas a fin de modernizar el sistema de archivos oficiales Resolución Nº /INDECOPI-CRT 16 de enero 1998 Aprueban el reglamento para la certificacióndelaidoneidadtécnicadelsistemade producción y almacenamiento de microformas DS N ITINCI 21 de febrero de 1998 Aprueban requisitos iit y procedimiento i paraotorgamiento t de certificado de idoneidad d técnica para la confección de microformas 6

7 Normas legales y reglamentarias que enmarcan la elaboración de microformas (MFS) DS Nº JUS - 26 de marzo de 2000 Reglamentan la ampliación del alcance del DL Nº 827 y se establecen requisitos para la formación de los representantes de la fe pública Ley N de mayo de 2000 Ley de Firmas y Certificados Digitales RM N JUS 24 de junio de 2000 Reglamento para supervisión de eventos de capacitación de fedatarios juramentados con especialidad en informática DL N de junio de 2008 Ley de los sistemas nacionales de normalización y acreditación- SNA DS N PCM de julio 2008 Reglamento de la Ley de Firmas y Certificados Digitales 7

8 Normas legales y reglamentarias que enmarcan la elaboración de microformas (MFS) DS N TR - 22 de enero de 1998 Normas reglamentarias relativas a obligación de los empleadores de llevar Planillas de Pago Ley Nº de junio de 2000 Ley que modifica el Código Civilil permitiendo el uso de los medios electrónicos para la comunicación de la manifestación de voluntad y la utilización de la firma electrónica Ley N de febrero 2001 Ley sobre notificación por correo electrónico Ley N de enero de 2002 Ley marco de modernización de la gestión del estado Ley N de marzo de 2004 Ley que establece los alcances del DL N 681 Conservación de documentos con contenido tributario Ley N de julio de 2000 Ley que establece funciones de la CONASEV y la SBS para autorizar e inscribir a empresas e instituciones que recurren a servicios de microarchivos cuando estas no cuentan con un microarchivo propio 8

9 Definiciones de orden legal Art. 5 Ley (Sustitúyase el Art. 234º del D. Leg. Nº ) 1) MICROFORMA: Imagen reducida y condensada, o compactada, o digitalizadait d deun documento queseencuentra grabado enunmedio físico técnicamente idóneo, que le sirve de soporte material portador, mediante un proceso fotoquímico, informático, electrónico, electromagnético, o que emplee alguna tecnología de efectos equivalentes,demodoquetalimagenseconserveypuedaservistay leída con la ayuda de equipos visores o métodos análogos; y pueda ser reproducida en copias impresas, esencialmente iguales al documento original. Están incluidos en el concepto de microforma tanto los documentos producidos por procedimientos informáticos o telemáticos en computadoras o medios similares como los producidos por procedimientos técnicos de microfilmación siempre que cumplan los requisitos establecidos en la presente ley. 9

10 Definiciones de orden legal Art. 5 Ley (Sustitúyase el Art. 234º del D. Leg. Nº ) 2) MICRODUPLICADO: Reproducción exacta del elemento original que contiene microformas, efectuada sobre un soporte material idóneo similar, en el mismo o similar formato, configuración y capacidad de almacenamiento; y con efectos equivalentes. 3) MICROGRABACIÓN: Proceso técnico por el cual se obtienen las microformas, a partir de los documentos originales en papel o material similar; o bien directamente de los medios o soportes electromagnéticos, digitales u otros en que se almacena información producida por computador u ordenador. 10

11 Definiciones de orden legal Art. 5 Ley (Sustitúyase el Art. 234º del D. Leg. Nº ) 4) MICROARCHIVO: Conjunto ordenado, codificado y sistematizado de los elementos materiales de soporte o almacenamiento portadores de microformas grabados, provisto de sistemas de índice y medios de recuperación que permiten encontrar, examinar visualmente y reproducir en copias exactas los documentos almacenados como microformas. 11

12 Definiciones de orden legal Art. 5 Ley (Sustitúyase el Art. 234º del D. Leg. Nº ) Son documentos los escritos públicos o privados, los impresos, fotocopias, facsímil o fax, planos, cuadros, dibujos, fotografías, radiografías, cintas cinematográficas, microformas tanto en la modalidad de microfilm como en la modalidad de soportes informáticos y otras reproducciones de audio o video, la telemática en general y demás objetos que recojan, contengan o representen algún hecho, o actividad humana o su resultado. 12

13 Definiciones de carácter técnico Normalización: Actividad encaminada a establecer respecto a problemas reales o potenciales, disposiciones destinadas a un uso común repetido con el fin de conseguir un grado óptimo de orden en un contexto dado. Notas 1. En particular, esta actividad consiste en la elaboración, la difusión y la aplicación de normas 2. La normalización ió ofrece importantes t beneficios, i debido principalmente a una mejor adaptación de los productos, procesos y los servicios a los fines a que se destinan, la prevención de los obstáculos al comercio y la facilitación de la cooperación tecnológica. 13

14 Definiciones de carácter técnico Norma: Documento establecido por consenso y aprobado por un organismo reconocido, que establece, para un uso común y repetido, reglas, directrices o características para ciertas actividades o sus resultados, con el fin de conseguir un grado óptimo de orden de un contexto dado. Nota Las normas deben basarse en los resultados consolidados por la ciencia, la técnica y la experiencia y estar dirigidas a la consecución del óptimo beneficio para la comunidad. 14

15 La Norma Técnica Peruana :2005 R /INDECOPI 2005/INDECOPI*CRT. Publicada el

16 ASPECTOS INTERNACIONALES QUE ORIENTAN LA ELABORACIÓN DE LA NORMA WTO OMC OMC Adoptar las Normas Internacionales ISO/IEC aplicables a las materias, procesos y sistemas que se aplican en micrograbación, firmas digitales, intermediación digital y seguridad informática en concordancia con el reconocimiento de las normas internacionales y los sistemas internacionales de evaluación de la conformidad para aumentar la eficacia de la producción y facilitar el comercio internacional 16

17 1 OBJETO Establecer los requisitos que deben cumplir las organizaciones que operan sistemas de producción demicroformas en medios de archivo electrónico, y administran su almacenamiento en condiciones de seguridad y conservación. 17

18 2 REFERENCIAS NORMATIVAS Normas Técnicas Peruanas NTP-ISO 3334:1997 MICROGRAFÍA. Mira de Resolución ISO No 2. Descripción y uso. NTP-ISO :1997 MICROGRAFÍA. Vocabulario. Parte 5: Calidad de imágenes, legibilidad, inspección. NTP ISO/IEC EDI. Tecnología de la Información. Código de Buenas Prácticas para la gestión de la seguridad de la información. 18

19 2 REFERENCIAS NORMATIVAS Normas Técnicas Internacionales ISO Document imaging applications - Recommendations for the creation of original i documents ISO 18927:2002 Imaging materials - Recordable compact disc systems - Method for estimating the life expectancy based on the effects of temperature and relative humidity. ISO :1989 Information processing systems Open Systems Interconnextion Basic Reference Model Part 2: Security Architecture ISO /IEC Information technology - Security techniques - Entity autentication - Part 1- General. 19

20 2 REFERENCIAS NORMATIVAS Normas Técnicas Internacionales ISO/IEC Information technology Open Systems Interconnection Security frameworks for open systems: Non-repudiation framework. ISO/IEC 12119:1994 Information technology. Software packages- Quality requirements and testing (ISO/IEC 25021:2006, nueva norma que reemplaza a la ISO/IEC 12119) ISO/IEC Information technology Security techniques Non Repudiation Part 1: General ISO/IEC Information technology Security techniques Non Repudiation Part 2 Mechanisms using symmetric techniques. 20

21 2 REFERENCIAS NORMATIVAS Normas Técnicas Internacionales ISO/IEC Information technology Security techniques Non Repudiation Part 3: Mechanisms using asymmetric ti techniques. ISO/IEC Information technology Security IT intrusion detection framework ISO/IEC TR Information Technology. Guidelines for the management of information technology. Part 5: Management guidance on networking security. ISO/IEC TR Information technology Security techniques Gudelines for the use and management of trusted Third Party. 21

22 3 CAMPO DE APLICACIÓN Se aplica para la evaluación de: Sistemas de producción y almacenamiento de MFs de organizaciones propietarias i y de empresas de producción, almacenamiento o intermediación ió digital. Sistemas de producción de MFs a partir de documentos originales físicos o generados electrónicamente, identificados por la organización propietaria La estructura organizativa asociada al sistema de producción y almacenamiento de MFs. Las propiedades p que deben cumplir los medios de archivo electrónico. 22

23 3 CAMPO DE APLICACIÓN Comprende los requisitos que se deben cumplir cuando en el sistema de elaboración de MFs se incluyen procesos de transferencia electrónica en redes privadas y públicas. Comprende las condiciones de seguridad y conservación a cumplir para el almacenamiento de las MFs. 23

24 4 DEFINICIONES: Contiene 27 definiciones generales entre las que destacan Documento original: Para los propósitos de la presente norma. Documento de una organización que autoriza su migración a microformas y de cuyo origen y contenido es responsable. Documento electrónico: Unidades estructuradas de información registrada, publicada o no, susceptible de ser generada, clasificada, gestionada, transmitida, procesadas o conservadas por una persona o una organización de acuerdo a sus requisitos funcionales, utilizando sistemas informáticos. NOTA: El término documento electrónico no se refiere únicamente a los documentos de texto que se suelen crear con procesadores de texto, sino también comprende los mensajes de correo electrónico, las hojas de cálculo, los gráficos e imágenes, los documentos HTML o XML y los documentos compuestos, multimedia o de otras clases, que incluyen a sus enlaces y accesos automáticos. 24

25 5 REQUISITOS GENERALES : Manual del Sistema Documentar las especificaciones i técnicas de sus sistema de elaboración y almacenamiento de microformas. 25

26 5 REQUISITOS GENERALES La organización debe estar legalmente constituida Manual del Sistema Normas Legales y Reglamentarias Aplicables Manual de Procedimientos Manual de Organización Manual de Seguridad de la Información Manuales de Líneas de MFs 26

27 5 REQUISITOS GENERALES : La organización propietaria debe Tener un sistema integral de administración de sus documentos Generación archivo, eliminación de documentos, además de la planificación, preparación, elaboración, control de calidad y almacenamiento de MFs Designar al responsable del sistema de elaboración y almacenamiento de MFs Cumplir la legislación archivística vigente Almacenar las MFs en instalaciones propias o en empresas de servicio certificadas. Asegurar la disponibilidad y renovación de la MFs almacenadas. 27

28 5 REQUISITOS GENERALES : Las empresas especializadas en producción y almacenamiento deben: Tener un sistema de elaboración de MFs que incluya personal, procedimientos y responsables de los procesos de diseño de soluciones informáticas, control de producción y evaluación del sistema. Designar un responsable ejecutivo del servicio de elaboración o almacenamiento Especificar y documentos la responsabilidad y funciones del personal Cumplir la legislación archivística vigente. 28

29 5 REQUISITOS GENERALES : Confidencialidad y calidad de trabajo del personal Sistema de elaboración de MFs La alta dirección debe aprobar el sistema de elaboración de MFs Registrar la fecha a partir de la cual se da inicio al sistema de elaboración de MFs Contratación t de servicios i de producción Especificar que la empresa de servicios cumpla las especificaciones establecidas por la organización Contratación t de servicio i dealmacenamiento La organización debe mantener el registro y control de ubicación de las MFs originales 29

30 5 REQUISITOS GENERALES : El servicio de intermediación digital Debe ser efectuada con la intervención de un tercero neutral, aplicable en las transmisión ió de mensajes de datos o documentos por vía electrónica con firma digital para grabar, almacenar y conservar dichos o mensajes. El Tercero neutral debe poseer certificado de idoneidad técnica de cumplimiento de la NTP :2005, adoptar las especificaciones aplicables de seguridad establecidos en la NTP ISO /IEC y efectuar sus servicios conforme a los lineamientos aplicables de la Norma ISO /IEC TR

31 5 REQUISITOS GENERALES : El servicio de intermediación digital Debe proporcionar las técnicas o mecanismos requeridos para la intervención de los representantes de la fe pública cuando se requiera. Certificar, utilizando su firma digital o electrónica basada en criptografía asimétrica, la autenticidad e identidad del emisor, titular de la firma digital que se adjunta al mensaje de datos o documentos transmitidos, la confidencialidad y la integridad de dicho mensaje. El mecanismo de autenticación debe adecuarse a las especificaciones aplicables de la norma ISO /IEC

32 5 REQUISITOS GENERALES : El servicio de intermediación digital debe: Certificar la fecha y hora de recepción, para cuyo efecto el tercero neutral debe contar con un proveedor de fechado y hora (fecha y hora cierta) referida al Tiempo Universal Coordinado (UTC) el cual debe estar disponible dentro de una red abierta, accesible desde cualquier plataforma tecnológica, Certificar el no repudio de origen y de recepción. El mecanismo de norepudio debe adecuarse a las especificaciones aplicables de la norma ISO/IEC

33 6 REQUISITOS TÉCNICOS: Proceso de generación de documentos originales Asegurar y documentar la cantidad y clase de documentos originales i que serán convertidos en MFs 33

34 6 REQUISITOS TÉCNICOS : Para el caso de MFs que incluya como documentos originales, documentos electrónicos obtenidos directamente de redes públicas o locales con firma digital, la organización debe establecer una metodología de identificación, (indización) y registro únicos que aseguren: La integridad. basados en el principio que la firma digital asegura al receptor identificar cuando un documento ha sido modificado sin autorización y Numeración correlativa, basados en el uso del Tiempo Universal Coordinado (UTC), (fecha y hora cierta), como indicador de numeración correlativa en la recepción para efectos de cumplir con disposiciones establecidas por la propia organización o por entidades o autoridades competentes. 34

35 6 REQUISITOS TÉCNICOS Calidad y legibilidad de los documentos originales Indicar los caracteres más pequeños y trazos más finos que deben ser reproducidos en las copias impresas Asegurar la calidad y legibilidad de firmas, sellos, logos, colores, indicando patrones de referencia En caso de documentos con imágenes en movimiento, sonidos la organización debe proporcionar las especificaciones o requisitos aplicables, los patrones de referencia y disponer los medios para verificar la calidad de los mismos. 35

36 6 REQUISITOS TÉCNICOS Manuales de Líneas de MFs Líneas de producción de MFs Documentar las especificaciones de cada línea, ubicación, clases de originales a procesar. Los medios de soporte elegidos La arquitectura de las redes internas o externas (LAN, MAN, WAN) Las medidas de seguridad estructuradas conforme a la NTP ISO/IEC Documentar la manera en la que la organización aplica y cumple las disposiciones legales y reglamentarias y contar con los certificados digitales vigentes. Para el caso de los servicios de intermediación digital se debe identificar las entidades o personas que intervienen, indicando el alcance de sus responsabilidades relativas a la clase de documentos que le corresponde procesar. La alta dirección o quien está designe debe aprobar las especificaciones de cada línea de producción. 36

37 6 REQUISITOS TÉCNICOS Manual de Procedi- mientos Manual de Seguridad de la Información Proceso de preparación Proceso de captación de imágenes Proceso de indización Proceso de digitalización Sistema de seguridad. Periodo de conservación de las MFs Requisitos del medio de archivo electrónico Proceso de grabación Rotulado de las MFs 37

38 6 REQUISITOS TÉCNICOS Manual de Procedi- mientos Manual de Seguridad de la Información Microformas originales Microformas duplicadas (microduplicados) Reproducción a partir de las MFs Intervención de los representantes de la fe pública Intermediación digital Almacenamiento Transmisión telemática Eliminación de originales 38

39 SISTEMA DE SEGURIDAD La organización debe establecer y mantener niveles adecuados de seguridad, respecto al personal, las estaciones de acceso, salidas del sistema informático, el software y archivos y aplicativos asociados al sistema de elaboración de microformas mediante políticas, procedimientos y técnicas que aseguren la confidencialidad, i d integridad, id d disponibilidadibilid d ycalidad d de las microformas, siguiendo i los lineamientos establecidos en la NTP ISO /IEC

40 SISTEMA DE SEGURIDAD La organización debe contar con un programa de auditoria informática que asegure el cumplimiento de la evaluación de la idoneidad del sistema que incluya: La responsabilidad y la identificación del personal encargado de los procesos claves del sistema de elaboración de microformas, Los intentos o eventuales accesos no autorizados internos o externos, El uso no autorizado de estaciones, programas, archivos y aplicativos del sistema Los registros de dicho sistema de auditoria informática deben estar disponibles para examen o inspección y se deben conservar un período establecido por la organización responsable de la producción de las microformas 40

41 INTERVENCIÓN DE LOS REPRESENTANTES DE LA FE PÚBLICA Para cada línea de producción y lugar de almacenamiento de microformas e intermediación digital en la elaboración de microformas, la organización debe especificar el procedimiento de intervención de los representantes de la fe pública, quienes deben estar facultados para ejercer sus funciones conforme a lo establecido en la normativa legal y reglamentaria aplicable. 41

42 INTERMEDIACIÓN DIGITAL En caso se requiera la intervención de los servicios de intermediación digital la organización debe establecer los procedimientos i necesarios siguiendo i las disposicionesi i establecidas en las normas legales y reglamentarias aplicables y los lineamientos de las normas NTP ISO/IEC e ISO/IEC TR La organización debe mantener el registro y vigencia de los certificados de las entidades o personas participantes, considerando el caso que los documentos, información o datos sean transferidos entre terceros neutrales 42

43 ALMACENAMIENTO La organización ió debe disponer el almacenamiento de las microformas en las condiciones de seguridad y conservación certificadas conforme a lo establecido en la legislación y reglamentación aplicable. 43

44 ALMACENAMIENTO La organización debe describir en un manual las características del sistema de almacenamiento empleado incluyendo: La organización y funciones de los responsables de administrar el sistema de almacenamiento, Las especificaciones técnicas de los materiales de construcción, que deben cumplir con minimizar los riesgos de las posibles amenazas indicadas en la NTP ISO/IEC 17799, párrafo d), Las especificaciones del sistema, los elementos de control y las medidas de seguridad aprobado por la organización para el control del acceso de personas, para detectar riesgos de incendio, inundación, Las especificaciones técnicas de los equipos de control del medio ambiente, El certificado de calibración de los medios de medición de temperatura y humedad relativa, Los registros empleados para mantener el ingreso y retiro de las microformas y las condiciones ambientales de temperatura y humedad relativa 44

45 TRANSMISIÓN TELEMÁTICA Cuando el sistema de elaboración de microformas incluya entre sus procesos la transmisión electrónica a distancia entre estaciones o líneas de producción tanto en redes privadas o públicas, los procesos deben estar protegidos con medidas de seguridad que aseguren: La confidencialidad, integridad y disponibilidad de los archivos, La no modificación de los formatos originales, La transmisión libre de interceptaciones entre la estación emisora y la estación receptora Debe asegurar las transmisiones en redes LAN, MAN y WAN 45

46 ELIMINACIÓN DE ORIGINALES La organización debe establecer un procedimiento de retiro del archivo físico y eliminación de documentos originales, asegurando la intervención de los representantes de la autoridad nacional en materia de archivos y demás representantes que la legislación aplicable exija de acuerdo al valor del documento original. Se incluye el procedimiento de eliminación de archivos electrónicos de la memoria de servidores o discos duros que dieron origen a las imágenes correspondientes a los documentos originales, hayan sido estos originales en papel o digitalizados. 46

47 7 FORMATOS DEL SISTEMA La organización debe establecer los formatos requeridos para asegurar el cumplimiento de los procedimientos propios de su sistema de elaboración y almacenamiento de microformas. Los formatos deben ser impresos o documentos electrónicos en formatos normalizados 47

48 8 REGISTROS Y ARCHIVOS Los registros del sistema de producción de MFs deben: Ser definidos, identificados y actualizados para asegurar la efectividad de los controles acorde con los requisitos de idoneidad técnica. En cada línea de producción, en la(s) entidad(es) de intermediación digital y/o lugar(es) de almacenamiento de MFs deben existir registros de: Las MFs producidas/almacenadas Los funcionarios de la fe pública 48

49 9 EVALUACIÓN DEL SISTEMA Las organizaciones propietarias y las empresas de servicios especializadas deben: Evaluar la efectividad del sistema por lo menos una vez al año. Establecer el procedimiento de evaluación Evaluar la tecnología de la información y deben ser efectuados por profesionales o auditores informáticos. Registrar el resultado de la evaluación. Evaluar la efectividad del sistema en caso cambios en las tecnologías y la normatividad legal y técnica aplicable. 49

50 CONCLUSIONES La NTP :2005, establece requisitos de idoneidad técnica, calidad y conservación de las MFs, que contienen documentos, información y datos resultantes del sistema de gestión documental particular de cada organización. El cumplimiento de las especificaciones contenidas en la NTP y las normas de referencia, aseguran el logro de niveles de calidad, confiabilidad y seguridad controlables permitiendo la determinación, mantenimiento y mejora de la efectividad del sistema de producción de MFs. 50

51 Norma ISO Seguridad de la Información 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento 51

52 Lineamientos de la NTP ISO /IEC Dominio 1: POLÍTICA DE SEGURIDAD La alta dirección o la gerencia general debe: aprobar y publicar la política de seguridad comunicarlo a todos los empleados 52

53 Lineamientos de la NTP ISO /IEC Dominio 1: POLÍTICA DE SEGURIDAD Debe incluir: objetivos y alcance generales de seguridad d apoyo expreso de la dirección breve explicación de los valores de seguridad de la organización definición de las responsabilidades generales y específicas en materia de gestión de la seguridad de la información referencias a documentos que puedan respaldar la política 53

54 Lineamientos de la NTP ISO /IEC Dominio 1: POLÍTICA DE SEGURIDAD Protección Física Autorización Confiabilidad Propiedad Confidencialidad dad Política de Seguridad Disponibilidad Legalidad Eficiencia Integridad Exactitud Eficacia 54

55 Lineamientos de la NTP ISO /IEC Dominio 2: ORGANIZACION DE LA SEGURIDAD Foros de Gestión aprobar la política de seguridad de la información, asignar funciones de seguridad actualizarse ante cambios coordinar la implementación definir metodologías y procesos específicos de seguridad monitorear incidentes de seguridad lidera el proceso de concientización de usuarios 55

56 Lineamientos de la NTP ISO /IEC Dominio 2: ORGANIZACION DE LA SEGURIDAD Seguridad frente al acceso por parte de terceros El acceso por parte de terceros debe ser controlado. Debe llevarse a cabo una evaluación de riesgos: determinar las incidencias en la seguridad y los requerimientos de control. Los controles deben ser acordados y definidos en un contrato con la tercera parte. 56

57 Lineamientos de la NTP ISO /IEC Dominio 2: ORGANIZACION DE LA SEGURIDAD Tipos de terceros personal de mantenimiento y soporte de hardware y software; limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados; pasantías de estudiantes y otras designaciones contingentes de corto plazo; consultores. 57

58 Lineamientos de la NTP ISO /IEC Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS Inventarios de Información e Instalaciones Designar un propietario para cada uno de ellos Clasificación de la información 58

59 Lineamientos de la NTP ISO /IEC Dominio 4: SEGURIDAD DEL PERSONAL Seguridad en la definición de puestos de trabajo y la asignación de recursos Las responsabilidades en materia de seguridad deben ser: explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeño como empleado. 59

60 Lineamientos de la NTP ISO /IEC Dominio 4: SEGURIDAD DEL PERSONAL Capacitación del usuario Garantizar que los usuarios están al corriente de las amenazas e incumbencias en materia de seguridad de la información, y están capacitados para respaldar la política de seguridad de la organización en el transcurso de sus tareas normales. 60

61 Lineamientos de la NTP ISO /IEC Dominio 4: SEGURIDAD DEL PERSONAL Respuesta a incidentes y anomalías en materia de seguridad Minimizar el daño producido por incidentes y anomalías en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos. 61

62 Lineamientos de la NTP ISO /IEC Dominio 4: SEGURIDAD DEL PERSONAL Proceso disciplinario Debe existir un proceso disciplinario formal para los empleados que violen las políticas y procedimientos de seguridad de la organización. 62

63 Lineamientos de la NTP ISO/IEC Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Impedir accesos no autorizados, daños e interferencia a: sedes instalaciones información 63

64 Lineamientos de la NTP ISO/IEC Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Perímetro de seguridad física Controles de acceso físico Seguridad del equipamiento Suministros de energía Cableado de energía eléctrica y de comunicaciones Mantenimiento de equipos Seguridad del equipamiento fuera del ámbito de la organización Políticas de escritorios y pantallas limpias Retiro de bienes 64

65 Lineamientos de la NTP ISO /IEC Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todas las instalaciones de procesamiento de información. Se debe implementar la separación de funciones cuando corresponda. Se deben documentar los procedimientos de operación 65

66 Lineamientos de la NTP ISO /IEC Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Separación entre instalaciones de desarrollo e instalaciones operativas Deben separarse las instalaciones de: Desarrollo Prueba Operaciones Se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo. 66