POLÍTICA DE SEGURIDAD

RESPUESTA A INCIDENTES DE SEGURIDAD

NOTA DE CONFIDENCIALIDAD
Especificar una nota de confidencialidad estándar de acuerdo a la normativa vigente en la institución

Firmas de los responsables. Ejemplo:

ELABORADO POR REVISADO POR APROBADO POR

_____________________ _____________________ ___________________

Representante del Comité Operativo Encargado de Seguridad Jefe del Servicio
de Seguridad
  INDICE

 CONTROL DE VERSIONES

Insertar cuadro de control de versionamiento y cambios a la política. Ejemplo:

Nº Páginas Autor
Revisión Fecha Motivo de la revisión Modificadas
0(Cero) Elaboración inicial Todas

3
1. DECLARACIÓN INSTITUCIONAL

Declarar que la presente política busca regular la forma en que la institución administra la respuesta ante
incidentes de seguridad de la información y definir los procedimientos que se requieren al efecto.

2. ÁMBITO ESPECÍFICO

Establecer que la presente política contempla cualquier incidente que comprometa la confidencialidad,
integridad o disponibilidad de la información o de los sistemas.

Se define “incidente” como cualquier evento o situación que comprometa de manera importante la
disponibilidad, integridad y confidencialidad de la información, junto con la plataforma tecnológica, procesos y
aplicativos que permitan acceder a esta en forma oportuna. En general es una violación de una política,
estándar o procedimiento de seguridad que no permita dar un servicio computacional.

Los incidentes obedecen a la siguiente clasificación:

• Denegación de Servicios Computacionales.
• Código Malicioso.
• Accesos No Autorizados.
• Mal Uso de Recursos.
• Aplicativos de Negocios.
• Violación de Políticas de Seguridad, Código de Ética y Reglamento Interno con uso de herramientas
computacionales.

3. ROLES Y RESPONSABILIDADES

Definir/Enumerar las responsabilidades de los actores relevantes en el desarrollo y aplicación de esta política.
Ejemplo:

• Comité de Incidentes:
• Comité Operativo de Seguridad:
• Personal de la institución:

Y los demás actores que la institución considere relevantes y adecuados a su realidad.

4. REGLAS DE LA POLÍTICA

Definir las normas específicas para los ámbitos relevantes dentro de la materia de Reportes y Respuesta a
Incidentes de Seguridad. Ejemplo:

1. Comité de Incidentes de Seguridad

2. Procedimientos para Incidentes Computacionales conocidos
3. Registro de Incidentes
4. Información de Contactos
5. Obligación de Reportar Incidentes
6. Ponderación de la Gravedad del Incidente
7. Comunicación del Incidente
8. Actividades generales a considerar frente a cualquier tipo de incidente:

Y todos los demás ámbitos que la institución considere relevantes y adecuados a su realidad.

5. GLOSARIO DE TÉRMINOS ESPECÍFICOS

Los términos y definiciones que se presentan en esta sección son aplicables a esta política específica, y son
primordiales para el buen entendimiento y aplicación del Sistema de Gestión de Seguridad de la Información.