You are on page 1of 18

DSS01 Gestionar

Coordinar y ejecutar las actividades y los pro


Descripción del
servicios de TI tanto internos como externaliz
Proceso
incluyendo la ejecución de procedimientos op
monitorización requeridas.

1 DSS01.01 Ejecutar procedimientos operativos


Mantener y ejecutar procedimientos y tareas operativas de form
Actividades

1. Desarrollar y mantener procedimientos operativos y actividad


entregados.

2. Mantener una programación de actividades operativas, ejecu


rendimiento (throughput) de las actividades programadas.

3. Asegurar que se cumple con los estándares de seguridad ap


almacenamiento y salida de datos de forma tal que se satisfaga
de la empresa y los requerimientos regulatorios.

4. Verificar que todos los datos esperados para su procesamien


forma precisa y oportuna. Entregar los resultados de acuerdo c
necesidades de reinicio y reprocesamiento. Asegurar que los u
segura y oportuna.

5. Programar, realizar y registrar las copias de respaldo de acu

1 DSS01.02 Gestionar servicios externalizados d


1. Asegurar que los procesos de información se adhieren a los
con los contratos y ANSs con terceros que alojan o proveen se

2. Asegurar que los requerimientos operativos del negocio y de


entrega del servicio se adhieren y son conformes a los contrato

Ch
DSS01 Gestionar Operaciones

y ejecutar las actividades y los procedimientos operativos requeridos para entregar


e TI tanto internos como externalizados,
la ejecución de procedimientos operativos estándar predefinidos y las actividades de
ción requeridas.

ocedimientos operativos
mientos y tareas operativas de forma confiable y consistente.

ocedimientos operativos y actividades relacionadas para dar apoyo a todos los servicios

ón de actividades operativas, ejecutar las actividades y gestionar el desempeño y


as actividades programadas.

on los estándares de seguridad aplicables para la recepción, procesamiento,


datos de forma tal que se satisfagan los objetivos empresariales, la política de segurida
mientos regulatorios.

os esperados para su procesamiento sean recibidos y procesados por completo y de un


tregar los resultados de acuerdo con los requisitos de la empresa. Dar soporte a las
procesamiento. Asegurar que los usuarios reciben los resultados adecuados de una form

trar las copias de respaldo de acuerdo con las políticas y procedimientos establecidos.

servicios externalizados de TI. .


s de información se adhieren a los requerimientos de seguridad de la empresa y conform
n terceros que alojan o proveen servicios.

ientos operativos del negocio y de procesamiento de TI, así como a las prioridades en
ren y son conformes a los contratos y ANSs con terceros que alojan o proveen servicio

Chart Title

1 2
a entregar

ctividades de

Eval. (SI / NO)


SI NO

os los servicios x

empeño y x

ento,
x
ica de seguridad

ompleto y de una
oporte a las x
dos de una forma

x
s establecidos.
x
presa y conformes

x
prioridades en la
oveen servicios.
2 5
DSS05 - Gestionar los Servic

Minimizar el impacto en el negocio de las vulnerabi


Propósito:
información.

Descripción del Proceso


Proteger la información de la empresa para mantener aceptabl
de acuerdo con la política de
seguridad. Establecer y mantener los roles de seguridad y privi
supervisión de la seguridad.
DSS05.07 Proteger contra software malicioso
Implementar y mantener efectivas medidas, preventivas, de de
seguridad actualizados y control de virus) a lo largo de
la empresa para proteger los sistemas de información
y tecnología del software malicioso (por ejemplo, virus,
gusanos, software espía –spyware- y correo basura).
Actividades

1. Divulgar concienciación sobre el software malicioso y forzar


prevención.

2. Instalar y activar herramientas de protección frente a softwar


con ficheros de definición de software
malicioso que se actualicen según se requiera (automática o se

3. Distribuir todo el software de protección de forma centralizad


configuración centralizada y la gestión de
cambios.

4. Revisar y evaluar regularmente la información sobre nuevas


productos de vendedores y servicios de
alertas de seguridad).
5. Filtrar el tráfico entrante, como correos electrónicos y descar
solicitada (por ejemplo, software espía y
correos de phishing).

6. Realizar formación periódica sobre software malicioso en el


usuarios para no instalarse software
compartido o no autorizado.
DSS05 - Gestionar los Servicios de Seguridad

el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad en


n.

so
n de la empresa para mantener aceptable el nivel de riesgo de seguridad de la informac
ica de
y mantener los roles de seguridad y privilegios de acceso de la información y realizar la
ridad.
ntra software malicioso
er efectivas medidas, preventivas, de detección y correctivas (especialmente parches d
s y control de virus) a lo largo de
ger los sistemas de información
are malicioso (por ejemplo, virus,
ía –spyware- y correo basura).

ción sobre el software malicioso y forzar procedimientos y responsabilidades de

ramientas de protección frente a software malicioso en todas las instalaciones de proce


ión de software
alicen según se requiera (automática o semi-automáticamente).

tware de protección de forma centralizada (versión y nivel de parcheado) usando una


ada y la gestión de

gularmente la información sobre nuevas posibles amenazas (por ejemplo, revisando


res y servicios de
ante, como correos electrónicos y descargas, para protegerse frente a información no
, software espía y

periódica sobre software malicioso en el uso del correo electrónico e Internet. Formar a
arse software
zado.

Chart Title

1 2
de seguridad en la

d de la información

ión y realizar la

ente parches de
Eval. (SI / NO)

SI NO

ades de X

ciones de proceso, X

) usando una
X

o, revisando X
X
formación no

rnet. Formar a los X

2 4
DSS05 - Gestionar los Serv
Minimizar el impacto en el negocio de las vulnera
Propósito:
información.

Descripción del Proceso:


Proteger la información de la empresa para mantener aceptabl
acuerdo con la política de seguridad. Establecer y mantener los
información y realizar la supervisión de la seguridad.

DSS05.01 Proteger contra software malicioso (malw

Implementar y mantener efectivas medidas, preventivas, de de


seguridad actualizados y control de virus) a lo largo de la empr
tecnología del software malicioso (por ejemplo, virus, gusanos,
Actividades

1. Divulgar concienciación sobre el software malicioso y forzar

2. Instalar y activar herramientas de protección frente a softwar


con ficheros de definición de software
malicioso que se actualicen según se requiera (automática o se

3. Distribuir todo el software de protección de forma centralizad


configuración centralizada y la gestión de
cambios.

4. Revisar y evaluar regularmente la información sobre nuevas


productos de vendedores y servicios de
alertas de seguridad).
5. Filtrar el tráfico entrante, como correos electrónicos y descar
solicitada (por ejemplo, software espía y
correos de phishing).
6. Realizar formación periódica sobre software malicioso en el
usuarios para no instalarse software
compartido o no autorizado.
DSS05.02 Gestionar la seguridad de la red y las cone
DSS05 - Gestionar los Servicios de Seguridad
el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad en
n.

o:
e la empresa para mantener aceptable el nivel de riesgo de seguridad de la información
e seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la
supervisión de la seguridad.

ontra software malicioso (malware).

efectivas medidas, preventivas, de detección y correctivas (especialmente parches de


control de virus) a lo largo de la empresa para proteger los sistemas de información y
malicioso (por ejemplo, virus, gusanos, software espía –spyware- y correo basura).

n sobre el software malicioso y forzar procedimientos y responsabilidades de prevenció

mientas de protección frente a software malicioso en todas las instalaciones de proceso


n de software
en según se requiera (automática o semi-automáticamente).

are de protección de forma centralizada (versión y nivel de parcheado) usando una


a y la gestión de

larmente la información sobre nuevas posibles amenazas (por ejemplo, revisando


s y servicios de
e, como correos electrónicos y descargas, para protegerse frente a información no
oftware espía y

iódica sobre software malicioso en el uso del correo electrónico e Internet. Formar a los
se software
do.
la seguridad de la red y las conexiones.

Chart Title

1 2
de seguridad en la

e la información de
e acceso de la

te parches de Eval. (SI / NO)


información y
o basura).
SI NO

X
es de prevención.

nes de proceso, X

sando una
X

revisando
X
mación no
X

et. Formar a los


X

2 4