INFORMACIÓN Y ANÁLISIS EMPRESARIAL S. DE R.L. DE C.V. INFOANALITICA. PL-PES-GSI-6.1 Plan de Seguridad de Información

Transcripción

1 INFORMACIÓN Y ANÁLISIS EMPRESARIAL S. DE R.L. DE C.V. INFOANALITICA PL-PES-GSI-6.1 Plan de Seguridad de Información Elaborado por: RGSI Aprobado por: RSGS Fecha de Elaboración: 09/05/2014 Fecha de Publicación: 08/08/2014 Fecha de Primera Versión: 23/05/2014 Número de Versión: 2 Control de Documentación Histórico de Versiones Versión: Fecha: Resumen de la Versión y Cambios con respecto a la versión anterior: 1 23/05/2014 Versión final de la implementación 2 08/08/2014 Modificación del documento por adaptación a las oficinas de la Cd. de Monterrey (Efectos de Consultorias) INFOANALITICA Información Confidencial 1

2 Índice 1.Definiciones 2.Propósito 3.Plan de Seguridad de Información 3.1.Política de Seguridad de Información 3.2.Objetivos de la Gestión de Seguridad de Información 3.3.Enfoque en la Gestión de Riesgos de Seguridad de Información. 3.4.Criterios para la aceptación de los Riesgos. 3.5.Valoración de Riesgos de Seguridad de Información 3.6.Auditorías Internas de Seguridad de Información INFOANALITICA Información Confidencial 2

3 1. Definiciones Definición Incidente de Seguridad de Información Seguridad de Información Términos en Inglés INFOANALITICA Descripción Evento o serie de eventos de seguridad de información no deseados o inesperados que tienen una significativa probabilidad de comprometer las operaciones del negocio y amenazan la seguridad de información. Preservación de la confidencialidad, integridad y accesibilidad de la información. Nombres definidos por Google TM, no se traducirá para evitar confusiones entre los documentos y el uso de las herramientas de Google TM. Nombre de la empresa resumido INFORMACIÓN Y ANÁLISIS EMPRESARIAL S. DE R.L. DE C.V. 2. Propósito El propósito del Plan de Seguridad de Información para el servicio Soporte Técnico a la Plataforma de Google Apps for Business es documentar y planear los controles y actividades que preserven la confidencialidad, integridad y accesibilidad de la información. 3. Plan de Seguridad de Información El presente documento establece las principales características de seguridad de información relativas al año 2014 para el Sistema de Gestión del Servicio (SGS). Política de Seguridad de Información La Política de la Seguridad de Información de INFOANALITICA se ha consolidado con el resto de políticas de cada proceso en la Política de Gestión del Servicio que se encuentra disponible en el documento PL-SGS-PGS-2 Política de Gestión del Servicio y se ha asegurado comunicar su importancia a través de las siguientes actividades: El contrato entre INFOANALITICA y los clientes establecen en una cláusula el acatamiento a nuestras directrices de seguridad de información de manera contractual, así como los alcances en las directrices de seguridad de información de parte del proveedor. Se realizan presentaciones con clientes que adquieren los servicios brindados por INFOANALITICA, donde se indica de qué manera es que se garantiza la seguridad de su información y el procedimiento para estar actualizado en nuevas funcionalidades. Envío de correo al RSGS y al DG con el resumen de los cambios informados en fechas anteriores a forma de recordatorio que puedan ser aún aplicadas a la operación de los clientes y que pudieran tener algún impacto sobre seguridad de la información por evento cuando se requiera. INFOANALITICA Información Confidencial 3

4 Objetivos de la Gestión de Seguridad de Información Los objetivos de la gestión de Seguridad de Información son los siguientes: Se llevará un monitoreo de los incidentes de seguridad que puedan surgir. Identificar los controles de seguridad que se establecerán ante determinados escenarios de riesgo. Enfoque en la Gestión de Riesgos de Seguridad de Información. El enfoque a seguir para gestionar los riesgos de seguridad de información es el siguiente: Confidencialidad, que limita y controla el acceso a la información, de acuerdo a la autorización y necesidades de la empresa y sus clientes. Disponibilidad, que garantice el acceso de los usuarios para uso legítimo, de acuerdo con la autorización. Autenticidad, que garantice la fuente de la información. Irreversibilidad, que asegura la autoría de la información. Criterios para la aceptación de los riesgos. Los criterios para aceptar riesgos son los siguientes: Cuando el nivel de riesgo es igual o menor al 30%. Cuando los controles que se requieren para la prevención o mitigación de un riesgo son poco factibles debido a los costos asociados o a la complejidad de su implementación. Valoración de Riesgos de Seguridad de Información Los riesgos de seguridad de información deberán ser documentados en el formato FO-SGS-PGS-20 Plan de Riesgos de Seguridad de la Información. Una vez generada la primera versión del Plan de Riesgos de Seguridad de Información se deberá dar seguimiento a ellos y cada seis meses se deberá generar una actualización a la valoración de los riesgos para determinar el nivel de riesgo vigente y la aparición o desaparición de riesgos. INFOANALITICA Información Confidencial 4

5 Auditorías Internas de Seguridad de Información Se deberán realizar auditorías internas de seguridad de información por lo menos cada seis meses de acuerdo al PL-SGS-PGS-18 Procedimiento de Auditoría Interna para identificar no conformidades reales, no conformidades potenciales y oportunidades de mejora y se les deberá de dar el seguimiento correspondiente. Los criterios que se seguirán para la realización de dichas auditorías son: Cumplimiento de la Política de Seguridad de Información (ver inciso 3.1 Política de Seguridad de Información de este mismo documento). Eficacia de los elementos administrativos que aseguren la seguridad de información. Eficacia de los controles de seguridad física. Eficacia de los sistemas y aplicaciones informáticas de seguridad (equipos con antivirus, conexión a internet por parte de personas externas). Existencia de planes de contingencia y su prueba. INFOANALITICA Información Confidencial 5