Política de seguridad de la información
Política de seguridad de la información de la Academia EITCA
Este documento especifica la Política de Seguridad de la Información (ISP) del Instituto Europeo de Certificación TI, que se revisa y actualiza periódicamente para garantizar su eficacia y relevancia. La última actualización de la Política de seguridad de la información de EITCI se realizó el 7 de enero de 2023.
Parte 1. Introducción y declaración de política de seguridad de la información
1.1. Introducción
El Instituto Europeo de Certificación de TI reconoce la importancia de la seguridad de la información para mantener la confidencialidad, integridad y disponibilidad de la información y la confianza de nuestras partes interesadas. Nos comprometemos a proteger la información confidencial, incluidos los datos personales, contra el acceso, la divulgación, la alteración y la destrucción no autorizados. Mantenemos una Política de Seguridad de la Información efectiva para respaldar nuestra misión de brindar servicios de certificación confiables e imparciales a nuestros clientes. La Política de seguridad de la información describe nuestro compromiso de proteger los activos de información y cumplir con nuestras obligaciones legales, reglamentarias y contractuales. Nuestra política se basa en los principios de ISO 27001 e ISO 17024, los principales estándares internacionales para la gestión de la seguridad de la información y los estándares de operaciones de los organismos de certificación.
1.2. Declaración de política
El Instituto Europeo de Certificación TI se compromete a:
- Proteger la confidencialidad, integridad y disponibilidad de los activos de información,
- Cumplir con las obligaciones legales, reglamentarias y contractuales relacionadas con la seguridad de la información y el procesamiento de datos implementando sus procesos y operaciones de certificación,
- Mejorar continuamente su política de seguridad de la información y el sistema de gestión relacionado,
- Brindar capacitación y concienciación adecuadas a los empleados, contratistas y participantes,
- Involucrar a todos los empleados y contratistas en la implementación y mantenimiento de la política de seguridad de la información y el sistema de gestión de seguridad de la información relacionado.
1.3. Alcance
Esta política se aplica a todos los activos de información de propiedad, controlados o procesados por el Instituto Europeo de Certificación de TI. Esto incluye todos los activos de información física y digital, como sistemas, redes, software, datos y documentación. Esta política también se aplica a todos los empleados, contratistas y proveedores de servicios externos que acceden a nuestros activos de información.
1.4. Conformidad
El Instituto Europeo de Certificación de TI se compromete a cumplir con los estándares de seguridad de la información relevantes, incluidos ISO 27001 e ISO 17024. Revisamos y actualizamos periódicamente esta política para garantizar su relevancia continua y el cumplimiento de estos estándares.
Parte 2. Seguridad organizacional
2.1. Objetivos de seguridad de la organización
Mediante la implementación de medidas de seguridad organizacionales, nuestro objetivo es garantizar que nuestros activos de información y las prácticas y procedimientos de procesamiento de datos se lleven a cabo con el más alto nivel de seguridad e integridad, y que cumplamos con las normas y los estándares legales pertinentes.
2.2. Roles y responsabilidades de seguridad de la información
El Instituto Europeo de Certificación de TI define y comunica las funciones y responsabilidades para la seguridad de la información en toda la organización. Esto incluye asignar una propiedad clara de los activos de información en relación con la seguridad de la información, establecer una estructura de gobierno y definir responsabilidades específicas para varios roles y departamentos en toda la organización.
2.3. Gestión de riesgos
Realizamos evaluaciones de riesgos periódicas para identificar y priorizar los riesgos de seguridad de la información para la organización, incluidos los riesgos relacionados con el procesamiento de datos personales. Establecemos controles apropiados para mitigar estos riesgos y revisamos y actualizamos periódicamente nuestro enfoque de gestión de riesgos en función de los cambios en el entorno comercial y el panorama de amenazas.
2.4. Políticas y Procedimientos de Seguridad de la Información
Establecemos y mantenemos un conjunto de políticas y procedimientos de seguridad de la información que se basan en las mejores prácticas de la industria y cumplen con las normas y estándares pertinentes. Estas políticas y procedimientos cubren todos los aspectos de la seguridad de la información, incluido el procesamiento de datos personales, y se revisan y actualizan periódicamente para garantizar su eficacia.
2.5. Sensibilización y formación en materia de seguridad
Brindamos programas regulares de capacitación y concientización sobre seguridad a todos los empleados, contratistas y socios externos que tienen acceso a datos personales u otra información confidencial. Esta capacitación cubre temas como phishing, ingeniería social, higiene de contraseñas y otras mejores prácticas de seguridad de la información.
2.6. Seguridad física y ambiental
Implementamos controles de seguridad físicos y ambientales adecuados para proteger nuestras instalaciones y sistemas de información contra accesos no autorizados, daños o interferencias. Esto incluye medidas tales como controles de acceso, vigilancia, monitoreo y sistemas de energía y enfriamiento de respaldo.
2.7. Gestión de incidentes de seguridad de la información
Hemos establecido un proceso de gestión de incidentes que nos permite responder de manera rápida y eficaz a cualquier incidente de seguridad de la información que pueda ocurrir. Esto incluye procedimientos para informar, escalar, investigar y resolver incidentes, así como medidas para prevenir la recurrencia y mejorar nuestras capacidades de respuesta a incidentes.
2.8. Continuidad Operacional y Recuperación de Desastres
Hemos establecido y probado planes de continuidad operativa y recuperación ante desastres que nos permiten mantener nuestras funciones y servicios operativos críticos en caso de una interrupción o desastre. Estos planes incluyen procedimientos de copia de seguridad y recuperación de datos y sistemas, y medidas para garantizar la disponibilidad e integridad de los datos personales.
2.9. Gestión de terceros
Establecemos y mantenemos controles apropiados para administrar los riesgos asociados con socios externos que tienen acceso a datos personales u otra información confidencial. Esto incluye medidas como la diligencia debida, las obligaciones contractuales, el seguimiento y las auditorías, así como medidas para terminar las asociaciones cuando sea necesario.
Parte 3. Seguridad de los Recursos Humanos
3.1. Evaluación de empleo
El Instituto Europeo de Certificación de TI ha establecido un proceso de selección de empleo para garantizar que las personas con acceso a información confidencial sean confiables y tengan las habilidades y calificaciones necesarias.
3.2. Control de acceso
Hemos establecido políticas y procedimientos de control de acceso para garantizar que los empleados solo tengan acceso a la información necesaria para sus responsabilidades laborales. Los derechos de acceso se revisan y actualizan regularmente para garantizar que los empleados tengan acceso solo a la información que necesitan.
3.3. Concientización y capacitación en seguridad de la información
Brindamos capacitación sobre seguridad de la información a todos los empleados de manera regular. Esta capacitación cubre temas como seguridad de contraseñas, ataques de phishing, ingeniería social y otros aspectos de la ciberseguridad.
3.4. Uso aceptable
Hemos establecido una política de uso aceptable que describe el uso aceptable de los sistemas y recursos de información, incluidos los dispositivos personales utilizados con fines laborales.
3.5. Seguridad de dispositivos móviles
Hemos establecido políticas y procedimientos para el uso seguro de dispositivos móviles, incluido el uso de códigos de acceso, encriptación y capacidades de borrado remoto.
3.6. Procedimientos de terminación
El Instituto Europeo de Certificación TI ha establecido procedimientos para la terminación del empleo o contrato para garantizar que el acceso a la información sensible se revoque de manera rápida y segura.
3.7. Personal de terceros
Hemos establecido procedimientos para el manejo de personal de terceros que tienen acceso a información sensible. Estas políticas implican la detección, el control de acceso y la capacitación en concientización sobre la seguridad de la información.
3.8. Informe de incidentes
Hemos establecido políticas y procedimientos para reportar incidentes o inquietudes de seguridad de la información al personal o las autoridades correspondientes.
3.9. Acuerdos de confidencialidad
El Instituto Europeo de Certificación de TI requiere que los empleados y contratistas firmen acuerdos de confidencialidad para proteger la información confidencial de la divulgación no autorizada.
3.10. Acciones disciplinarias
El Instituto Europeo de Certificación TI ha establecido políticas y procedimientos para acciones disciplinarias en caso de violaciones de la política de seguridad de la información por parte de empleados o contratistas.
Parte 4. Evaluación y gestión de riesgos
4.1. Evaluación de riesgos
Realizamos evaluaciones de riesgo periódicas para identificar posibles amenazas y vulnerabilidades a nuestros activos de información. Utilizamos un enfoque estructurado para identificar, analizar, evaluar y priorizar los riesgos en función de su probabilidad e impacto potencial. Evaluamos los riesgos asociados con nuestros activos de información, incluidos los sistemas, las redes, el software, los datos y la documentación.
4.2. Tratamiento de riesgos
Utilizamos un proceso de tratamiento de riesgos para mitigar o reducir los riesgos a un nivel aceptable. El proceso de tratamiento de riesgos incluye la selección de controles apropiados, la implementación de controles y el seguimiento de la eficacia de los controles. Priorizamos la implementación de controles en función del nivel de riesgo, los recursos disponibles y las prioridades del negocio.
4.3. Supervisión y revisión de riesgos
Supervisamos y revisamos periódicamente la eficacia de nuestro proceso de gestión de riesgos para garantizar que siga siendo relevante y eficaz. Utilizamos métricas e indicadores para medir el desempeño de nuestro proceso de gestión de riesgos e identificar oportunidades de mejora. También revisamos nuestro proceso de gestión de riesgos como parte de nuestras revisiones periódicas de gestión para garantizar su idoneidad, adecuación y eficacia continuas.
4.4. Planificación de la respuesta al riesgo
Contamos con un plan de respuesta a los riesgos para garantizar que podamos responder de manera efectiva a cualquier riesgo identificado. Este plan incluye procedimientos para identificar y reportar riesgos, así como procesos para evaluar el impacto potencial de cada riesgo y determinar las acciones de respuesta apropiadas. También contamos con planes de contingencia para garantizar la continuidad del negocio en caso de un evento de riesgo significativo.
4.5. Análisis de impacto operativo
Realizamos análisis de impacto comercial periódicos para identificar el impacto potencial de las interrupciones en nuestras operaciones comerciales. Este análisis incluye una evaluación de la criticidad de nuestras funciones comerciales, sistemas y datos, así como una evaluación del impacto potencial de las interrupciones en nuestros clientes, empleados y otras partes interesadas.
4.6. Gestión de riesgos de terceros
Contamos con un programa de gestión de riesgos de terceros para garantizar que nuestros proveedores y otros proveedores de servicios externos también gestionen los riesgos de manera adecuada. Este programa incluye verificaciones de diligencia debida antes de comprometerse con terceros, monitoreo continuo de las actividades de terceros y evaluaciones periódicas de las prácticas de gestión de riesgos de terceros.
4.7. Respuesta y gestión de incidentes
Contamos con un plan de respuesta y gestión de incidentes para garantizar que podamos responder de manera efectiva a cualquier incidente de seguridad. Este plan incluye procedimientos para identificar y reportar incidentes, así como procesos para evaluar el impacto de cada incidente y determinar las acciones de respuesta apropiadas. También contamos con un plan de continuidad comercial para garantizar que las funciones comerciales críticas puedan continuar en caso de un incidente importante.
Parte 5. Seguridad Física y Ambiental
5.1. Perímetro de seguridad física
Hemos establecido medidas de seguridad física para proteger las instalaciones físicas y la información confidencial del acceso no autorizado.
5.2. Control de acceso
Hemos establecido políticas y procedimientos de control de acceso a las instalaciones físicas para garantizar que solo el personal autorizado tenga acceso a la información confidencial.
5.3. Seguridad del equipo
Nos aseguramos de que todos los equipos que contengan información confidencial estén protegidos físicamente y el acceso a estos equipos esté restringido únicamente al personal autorizado.
5.4. Eliminación segura
Hemos establecido procedimientos para la eliminación segura de información confidencial, incluidos documentos en papel, medios electrónicos y hardware.
5.5. Entorno físico
Nos aseguramos de que el entorno físico de las instalaciones, incluida la temperatura, la humedad y la iluminación, sea adecuado para la protección de la información confidencial.
5.6. Fuente de alimentación
Nos aseguramos de que el suministro de energía a las instalaciones sea confiable y esté protegido contra cortes de energía o sobretensiones.
5.7. Protección contra incendios
Hemos establecido políticas y procedimientos de protección contra incendios, incluida la instalación y mantenimiento de sistemas de detección y supresión de incendios.
5.8. Protección contra daños por agua
Hemos establecido políticas y procedimientos para proteger la información confidencial de daños por agua, incluida la instalación y el mantenimiento de sistemas de detección y prevención de inundaciones.
5.9. Mantenimiento de equipo
Hemos establecido procedimientos para el mantenimiento del equipo, incluida la inspección del equipo en busca de signos de manipulación o acceso no autorizado.
5.10. Uso aceptable
Hemos establecido una política de uso aceptable que describe el uso aceptable de los recursos físicos y las instalaciones.
5.11. Acceso remoto
Hemos establecido políticas y procedimientos para el acceso remoto a información confidencial, incluido el uso de conexiones seguras y encriptación.
5.12. Monitoreo y Vigilancia
Hemos establecido políticas y procedimientos para monitorear y vigilar las instalaciones físicas y el equipo para detectar y prevenir el acceso no autorizado o la manipulación.
Parte. 6. Seguridad de las Comunicaciones y Operaciones
6.1. Gestión de la seguridad de la red
Hemos establecido políticas y procedimientos para la gestión de la seguridad de la red, incluido el uso de firewalls, sistemas de detección y prevención de intrusos y auditorías periódicas de seguridad.
6.2. Transferencia de información
Hemos establecido políticas y procedimientos para la transferencia segura de información confidencial, incluido el uso de protocolos de encriptación y transferencia segura de archivos.
6.3. Comunicaciones de terceros
Hemos establecido políticas y procedimientos para el intercambio seguro de información confidencial con organizaciones de terceros, incluido el uso de conexiones seguras y encriptación.
6.4. Manejo de medios
Hemos establecido procedimientos para el manejo de información confidencial en varias formas de medios, incluidos documentos en papel, medios electrónicos y dispositivos portátiles de almacenamiento.
6.5. Desarrollo y Mantenimiento de Sistemas de Información
Hemos establecido políticas y procedimientos para el desarrollo y mantenimiento de sistemas de información, incluido el uso de prácticas de codificación seguras, actualizaciones periódicas de software y administración de parches.
6.6. Protección contra malware y virus
Hemos establecido políticas y procedimientos para proteger los sistemas de información contra malware y virus, incluido el uso de software antivirus y actualizaciones periódicas de seguridad.
6.7. Copia de seguridad y restauración
Hemos establecido políticas y procedimientos para la copia de seguridad y restauración de información confidencial para evitar la pérdida o corrupción de datos.
6.8. Gestión de eventos
Hemos establecido políticas y procedimientos para la identificación, investigación y resolución de incidentes y eventos de seguridad.
6.9. Gestión de vulnerabilidades
Hemos establecido políticas y procedimientos para la gestión de las vulnerabilidades del sistema de información, incluido el uso de evaluaciones periódicas de vulnerabilidades y la gestión de parches.
6.10. Control de acceso
Hemos establecido políticas y procedimientos para la gestión del acceso de los usuarios a los sistemas de información, incluido el uso de controles de acceso, autenticación de usuarios y revisiones regulares de acceso.
6.11. Supervisión y registro
Hemos establecido políticas y procedimientos para el monitoreo y registro de las actividades del sistema de información, incluido el uso de registros de auditoría y registro de incidentes de seguridad.
Parte 7. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
7.1. Requisitos
Hemos establecido políticas y procedimientos para la identificación de los requisitos del sistema de información, incluidos los requisitos comerciales, los requisitos legales y reglamentarios y los requisitos de seguridad.
7.2. Relaciones con proveedores
Hemos establecido políticas y procedimientos para la gestión de las relaciones con terceros proveedores de sistemas y servicios de información, incluyendo la evaluación de las prácticas de seguridad de los proveedores.
7.3. Desarrollo del sistema
Hemos establecido políticas y procedimientos para el desarrollo seguro de sistemas de información, incluido el uso de prácticas de codificación seguras, pruebas periódicas y control de calidad.
7.4. Pruebas del sistema
Hemos establecido políticas y procedimientos para las pruebas de los sistemas de información, incluidas las pruebas de funcionalidad, las pruebas de rendimiento y las pruebas de seguridad.
7.5. Aceptación del sistema
Hemos establecido políticas y procedimientos para la aceptación de los sistemas de información, incluida la aprobación de los resultados de las pruebas, las evaluaciones de seguridad y las pruebas de aceptación del usuario.
7.6. Mantenimiento del sistema
Hemos establecido políticas y procedimientos para el mantenimiento de los sistemas de información, incluidas actualizaciones periódicas, parches de seguridad y copias de seguridad del sistema.
7.7. Retiro del sistema
Hemos establecido políticas y procedimientos para el retiro de los sistemas de información, incluida la eliminación segura de hardware y datos.
7.8. Retención de datos
Hemos establecido políticas y procedimientos para la retención de datos de conformidad con los requisitos legales y reglamentarios, incluido el almacenamiento seguro y la eliminación de datos confidenciales.
7.9. Requisitos de seguridad para los sistemas de información
Hemos establecido políticas y procedimientos para la identificación e implementación de requisitos de seguridad para los sistemas de información, incluidos los controles de acceso, el cifrado y la protección de datos.
7.10. Entornos de desarrollo seguros
Hemos establecido políticas y procedimientos para entornos de desarrollo seguros para sistemas de información, incluido el uso de prácticas de desarrollo seguro, controles de acceso y configuraciones de red seguras.
7.11. Protección de entornos de prueba
Hemos establecido políticas y procedimientos para la protección de entornos de prueba para sistemas de información, incluido el uso de configuraciones seguras, controles de acceso y pruebas de seguridad periódicas.
7.12. Principios de ingeniería de sistemas seguros
Hemos establecido políticas y procedimientos para la implementación de principios de ingeniería de sistemas seguros para sistemas de información, incluido el uso de arquitecturas de seguridad, modelos de amenazas y prácticas de codificación seguras.
7.13. Directrices de codificación segura
Hemos establecido políticas y procedimientos para la implementación de pautas de codificación segura para sistemas de información, incluido el uso de estándares de codificación, revisiones de códigos y pruebas automatizadas.
Parte 8. Adquisición de hardware
8.1. Cumplimiento de las normas
Cumplimos con la norma ISO 27001 para el sistema de gestión de seguridad de la información (ISMS) para garantizar que los activos de hardware se adquieran de acuerdo con nuestros requisitos de seguridad.
8.2. Evaluación de riesgos
Realizamos una evaluación de riesgos antes de adquirir activos de hardware para identificar posibles riesgos de seguridad y garantizar que el hardware seleccionado cumpla con los requisitos de seguridad.
8.3. Selección de proveedores
Adquirimos activos de hardware solo de proveedores confiables que tienen un historial comprobado de entrega de productos seguros. Revisamos las políticas y prácticas de seguridad de los proveedores y les exigimos que garanticen que sus productos cumplen con nuestros requisitos de seguridad.
8.4. Transporte Seguro
Nos aseguramos de que los activos de hardware se transporten de forma segura a nuestras instalaciones para evitar manipulaciones, daños o robos durante el tránsito.
8.5. Verificación de autenticidad
Verificamos la autenticidad de los activos de hardware en el momento de la entrega para garantizar que no sean falsificados ni manipulados.
8.6. Controles físicos y ambientales
Implementamos controles físicos y ambientales apropiados para proteger los activos de hardware del acceso no autorizado, robo o daño.
8.7. Instalación de hardware
Nos aseguramos de que todos los activos de hardware estén configurados e instalados de acuerdo con los estándares y pautas de seguridad establecidos.
8.8. Revisiones de hardware
Realizamos revisiones periódicas de los activos de hardware para garantizar que sigan cumpliendo con nuestros requisitos de seguridad y estén actualizados con los últimos parches y actualizaciones de seguridad.
8.9. Eliminación de hardware
Eliminamos los activos de hardware de manera segura para evitar el acceso no autorizado a información confidencial.
Parte 9. Protección contra malware y virus
9.1. Política de actualización de software
Mantenemos un software de protección contra malware y antivirus actualizado en todos los sistemas de información utilizados por el Instituto Europeo de Certificación de TI, incluidos servidores, estaciones de trabajo, computadoras portátiles y dispositivos móviles. Nos aseguramos de que el software de protección antivirus y de malware esté configurado para actualizar automáticamente sus archivos de definición de virus y versiones de software de forma regular, y que este proceso se pruebe con regularidad.
9.2. Escaneo de antivirus y malware
Realizamos escaneos regulares de todos los sistemas de información, incluidos servidores, estaciones de trabajo, computadoras portátiles y dispositivos móviles, para detectar y eliminar cualquier virus o malware.
9.3. Política de no inhabilitación y no alteración
Aplicamos políticas que prohíben a los usuarios deshabilitar o modificar el software de protección antivirus y contra malware en cualquier sistema de información.
9.4. Supervisión
Supervisamos las alertas y los registros de nuestro software de protección antivirus y de malware para identificar cualquier incidente de infección de virus o malware, y respondemos a dichos incidentes de manera oportuna.
9.5. Mantenimiento de registros
Mantenemos registros de configuración, actualizaciones y escaneos del software de protección antivirus y de malware, así como cualquier incidente de infección de virus o malware, con fines de auditoría.
9.6. Reseñas de software
Realizamos revisiones periódicas de nuestro software de protección antivirus y malware para asegurarnos de que cumpla con los estándares actuales de la industria y sea adecuado para nuestras necesidades.
9.7. Formación y sensibilización.
Brindamos programas de capacitación y concientización para educar a todos los empleados sobre la importancia de la protección contra virus y malware, y cómo reconocer y reportar cualquier actividad o incidente sospechoso.
Parte 10. Gestión de activos de información
10.1. Inventario de activos de información
El Instituto Europeo de Certificación de TI mantiene un inventario de activos de información que incluye todos los activos de información física y digital, como sistemas, redes, software, datos y documentación. Clasificamos los activos de información en función de su criticidad y sensibilidad para garantizar que se implementen las medidas de protección adecuadas.
10.2. Manejo de activos de información
Implementamos las medidas apropiadas para proteger los activos de información en función de su clasificación, incluida la confidencialidad, la integridad y la disponibilidad. Nos aseguramos de que todos los activos de información se manejen de acuerdo con las leyes, regulaciones y requisitos contractuales aplicables. También nos aseguramos de que todos los activos de información se almacenen, protejan y eliminen adecuadamente cuando ya no se necesiten.
10.3. Propiedad de activos de información
Asignamos la propiedad de los activos de información a personas o departamentos responsables de administrar y proteger los activos de información. También nos aseguramos de que los propietarios de activos de información entiendan sus responsabilidades y responsabilidades para proteger los activos de información.
10.4. Protección de activos de información
Utilizamos una variedad de medidas de protección para salvaguardar los activos de información, incluidos los controles físicos, los controles de acceso, el cifrado y los procesos de copia de seguridad y recuperación. También nos aseguramos de que todos los activos de información estén protegidos contra el acceso, la modificación o la destrucción no autorizados.
Parte 11. Control de acceso
11.1. Política de control de acceso
El Instituto Europeo de Certificación de TI tiene una Política de control de acceso que describe los requisitos para otorgar, modificar y revocar el acceso a los activos de información. El control de acceso es un componente fundamental de nuestro sistema de gestión de seguridad de la información y lo implementamos para garantizar que solo las personas autorizadas tengan acceso a nuestros activos de información.
11.2. Implementación de control de acceso
Implementamos medidas de control de acceso basadas en el principio de privilegio mínimo, lo que significa que las personas solo tienen acceso a los activos de información necesarios para realizar sus funciones laborales. Utilizamos una variedad de medidas de control de acceso, que incluyen autenticación, autorización y contabilidad (AAA). También utilizamos listas de control de acceso (ACL) y permisos para controlar el acceso a los activos de información.
11.3. Política de contraseña
El Instituto Europeo de Certificación de TI tiene una Política de contraseñas que describe los requisitos para crear y administrar contraseñas. Requerimos contraseñas seguras que tengan al menos 8 caracteres, con una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. También requerimos cambios periódicos de contraseña y prohibimos la reutilización de contraseñas anteriores.
11.4. Gestión de usuarios
Tenemos un proceso de gestión de usuarios que incluye la creación, modificación y eliminación de cuentas de usuario. Las cuentas de usuario se crean en base al principio de privilegio mínimo, y se otorga acceso solo a los activos de información necesarios para realizar las funciones laborales del individuo. También revisamos periódicamente las cuentas de los usuarios y eliminamos las cuentas que ya no se necesitan.
Parte 12. Gestión de incidentes de seguridad de la información
12.1. Política de gestión de incidentes
El Instituto Europeo de Certificación de TI tiene una Política de gestión de incidentes que describe los requisitos para detectar, informar, evaluar y responder a incidentes de seguridad. Definimos incidentes de seguridad como cualquier evento que comprometa la confidencialidad, integridad o disponibilidad de los activos o sistemas de información.
12.2. Detección e informe de incidentes
Implementamos medidas para detectar y reportar incidentes de seguridad de manera oportuna. Utilizamos una variedad de métodos para detectar incidentes de seguridad, incluidos los sistemas de detección de intrusos (IDS), software antivirus e informes de usuarios. También nos aseguramos de que todos los empleados conozcan los procedimientos para reportar incidentes de seguridad y alentamos el reporte de todos los incidentes sospechosos.
12.3. Evaluación y respuesta a incidentes
Contamos con un proceso para evaluar y responder a los incidentes de seguridad en función de su gravedad e impacto. Priorizamos los incidentes en función de su impacto potencial en los activos o sistemas de información y asignamos los recursos apropiados para responder a ellos. También tenemos un plan de respuesta que incluye procedimientos para identificar, contener, analizar, erradicar y recuperarse de incidentes de seguridad, así como notificar a las partes relevantes y realizar revisiones posteriores al incidente. Nuestros procedimientos de respuesta a incidentes están diseñados para garantizar una respuesta rápida y eficaz. a los incidentes de seguridad. Los procedimientos se revisan y actualizan periódicamente para garantizar su eficacia y pertinencia.
12.4. Equipo de respuesta a incidentes
Contamos con un Equipo de Respuesta a Incidentes (IRT) que se encarga de responder a los incidentes de seguridad. El IRT está compuesto por representantes de varias unidades y está dirigido por el Oficial de Seguridad de la Información (ISO). El IRT es responsable de evaluar la gravedad de los incidentes, contener el incidente e iniciar los procedimientos de respuesta apropiados.
12.5. Informe y revisión de incidentes
Hemos establecido procedimientos para informar incidentes de seguridad a las partes relevantes, incluidos clientes, autoridades reguladoras y agencias de aplicación de la ley, según lo exigen las leyes y regulaciones aplicables. También mantenemos comunicación con las partes afectadas durante todo el proceso de respuesta a incidentes, brindando actualizaciones oportunas sobre el estado del incidente y cualquier acción que se esté tomando para mitigar su impacto. También llevamos a cabo una revisión de todos los incidentes de seguridad para identificar la causa raíz y evitar que ocurran incidentes similares en el futuro.
Parte 13. Gestión de la Continuidad del Negocio y Recuperación ante Desastres
13.1. Planificación de la Continuidad del Negocio
Aunque el Instituto Europeo de Certificación de TI es una organización sin fines de lucro, tiene un Plan de Continuidad Comercial (BCP) que describe los procedimientos para garantizar la continuidad de sus operaciones en caso de un incidente disruptivo. El BCP cubre todos los procesos operativos críticos e identifica los recursos necesarios para mantener las operaciones durante y después de un incidente disruptivo. También describe los procedimientos para mantener las operaciones comerciales durante una interrupción o desastre, evaluando el impacto de las interrupciones, identificando los procesos operativos más críticos en el contexto de un incidente disruptivo particular y desarrollando procedimientos de respuesta y recuperación.
13.2. Planificación de recuperación ante desastres
El Instituto Europeo de Certificación de TI tiene un Plan de Recuperación de Desastres (DRP) que describe los procedimientos para recuperar nuestros sistemas de información en caso de una interrupción o desastre. El DRP incluye procedimientos para la copia de seguridad de datos, la restauración de datos y la recuperación del sistema. El DRP se prueba y actualiza periódicamente para garantizar su eficacia.
13.3. Análisis de impacto empresarial
Realizamos un Business Impact Analysis (BIA) para identificar los procesos críticos de operación y los recursos necesarios para mantenerlos. El BIA nos ayuda a priorizar nuestros esfuerzos de recuperación y asignar recursos en consecuencia.
13.4. Estrategia de Continuidad del Negocio
Con base en los resultados del BIA, desarrollamos una estrategia de continuidad comercial que describe los procedimientos para responder a un incidente disruptivo. La estrategia incluye procedimientos para activar el BCP, restaurar los procesos operativos críticos y comunicarse con las partes interesadas relevantes.
13.5. Pruebas y Mantenimiento
Probamos y mantenemos regularmente nuestro BCP y DRP para garantizar su eficacia y relevancia. Realizamos pruebas periódicas para validar el BCP/DRP e identificar áreas de mejora. También actualizamos el BCP y el DRP según sea necesario para reflejar los cambios en nuestras operaciones o el panorama de amenazas. Las pruebas incluyen ejercicios de simulación, simulaciones y pruebas en vivo de los procedimientos. También revisamos y actualizamos nuestros planes en función de los resultados de las pruebas y las lecciones aprendidas.
13.6. Sitios de procesamiento alternativos
Mantenemos sitios alternativos de procesamiento en línea que se pueden usar para continuar las operaciones comerciales en caso de una interrupción o desastre. Los sitios de procesamiento alternativos están equipados con las infraestructuras y los sistemas necesarios, y se pueden utilizar para respaldar los procesos comerciales críticos.
Parte 14. Cumplimiento y Auditoría
14.1. Cumplimiento de Leyes y Reglamentos
El Instituto Europeo de Certificación de TI se compromete a cumplir con todas las leyes y reglamentaciones aplicables relacionadas con la seguridad y la privacidad de la información, incluidas las leyes de protección de datos, los estándares de la industria y las obligaciones contractuales. Revisamos y actualizamos periódicamente nuestras políticas, procedimientos y controles para garantizar el cumplimiento de todos los requisitos y estándares pertinentes. Los principales estándares y marcos que seguimos en el contexto de la seguridad de la información incluyen:
- El estándar ISO/IEC 27001 proporciona pautas para la implementación y gestión de un Sistema de Gestión de Seguridad de la Información (SGSI) que incluye la gestión de vulnerabilidades como un componente clave. Proporciona un marco de referencia para implementar y mantener nuestro sistema de gestión de seguridad de la información (SGSI), incluida la gestión de vulnerabilidades. De conformidad con las disposiciones de esta norma, identificamos, evaluamos y gestionamos los riesgos de seguridad de la información, incluidas las vulnerabilidades.
- El marco de seguridad cibernética del Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) proporciona pautas para identificar, evaluar y administrar los riesgos de seguridad cibernética, incluida la administración de vulnerabilidades.
- El marco de seguridad cibernética del Instituto Nacional de Estándares y Tecnología (NIST) para mejorar la gestión de riesgos de seguridad cibernética, con un conjunto básico de funciones que incluyen la gestión de vulnerabilidades a las que nos adherimos para administrar nuestros riesgos de seguridad cibernética.
- Los controles de seguridad críticos de SANS contienen un conjunto de 20 controles de seguridad para mejorar la seguridad cibernética, cubriendo una variedad de áreas, incluida la gestión de vulnerabilidades, brindando orientación específica sobre el escaneo de vulnerabilidades, la gestión de parches y otros aspectos de la gestión de vulnerabilidades.
- El estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), que requiere el manejo de la información de la tarjeta de crédito con respecto a la gestión de vulnerabilidades en este contexto.
- El Centro de Controles de Seguridad de Internet (CIS) que incluye la gestión de vulnerabilidades como uno de los controles clave para garantizar configuraciones seguras de nuestros sistemas de información.
- El Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP), con su lista Top 10 de los riesgos de seguridad de aplicaciones web más críticos, incluida la evaluación de vulnerabilidades como ataques de inyección, autenticación y administración de sesiones rotas, secuencias de comandos entre sitios (XSS), etc. OWASP Top 10 para priorizar nuestros esfuerzos de gestión de vulnerabilidades y centrarnos en los riesgos más críticos con respecto a nuestros sistemas web.
14.2. Auditoría interna
Realizamos auditorías internas periódicas para evaluar la eficacia de nuestro Sistema de gestión de la seguridad de la información (SGSI) y garantizar que se sigan nuestras políticas, procedimientos y controles. El proceso de auditoría interna incluye la identificación de no conformidades, el desarrollo de acciones correctivas y el seguimiento de los esfuerzos de remediación.
14.3. Auditoría externa
Periódicamente nos relacionamos con auditores externos para validar nuestro cumplimiento de las leyes, reglamentaciones y estándares de la industria aplicables. Brindamos a los auditores acceso a nuestras instalaciones, sistemas y documentación según sea necesario para validar nuestro cumplimiento. También trabajamos con auditores externos para abordar los hallazgos o recomendaciones identificados durante el proceso de auditoría.
14.4. Monitoreo de Cumplimiento
Supervisamos nuestro cumplimiento de las leyes, reglamentaciones y estándares de la industria aplicables de forma continua. Utilizamos una variedad de métodos para monitorear el cumplimiento, incluidas evaluaciones periódicas, auditorías y revisiones de proveedores externos. También revisamos y actualizamos periódicamente nuestras políticas, procedimientos y controles para garantizar el cumplimiento continuo de todos los requisitos pertinentes.
Parte 15. Gestión de terceros
15.1. Política de gestión de terceros
El Instituto Europeo de Certificación TI tiene una Política de Gestión de Terceros que describe los requisitos para seleccionar, evaluar y monitorear proveedores externos que tienen acceso a nuestros activos o sistemas de información. La política se aplica a todos los proveedores externos, incluidos los proveedores de servicios en la nube, los proveedores y los contratistas.
15.2. Selección y evaluación de terceros
Llevamos a cabo la debida diligencia antes de contratar a proveedores externos para asegurarnos de que cuentan con los controles de seguridad adecuados para proteger nuestros activos o sistemas de información. También evaluamos el cumplimiento de los proveedores externos con las leyes y regulaciones aplicables relacionadas con la seguridad y privacidad de la información.
15.3. Monitoreo de terceros
Supervisamos a los proveedores externos de forma continua para garantizar que sigan cumpliendo nuestros requisitos de seguridad y privacidad de la información. Utilizamos una variedad de métodos para monitorear proveedores externos, incluidas evaluaciones periódicas, auditorías y revisiones de informes de incidentes de seguridad.
15.4. Requisitos contractuales
Incluimos requisitos contractuales relacionados con la seguridad y privacidad de la información en todos los contratos con proveedores externos. Estos requisitos incluyen disposiciones para la protección de datos, controles de seguridad, gestión de incidentes y supervisión del cumplimiento. También incluimos provisiones para la terminación de contratos en caso de incidente de seguridad o incumplimiento.
Parte 16. Seguridad de la Información en los Procesos de Certificación
16.1 Seguridad de los Procesos de Certificación
Tomamos medidas adecuadas y sistémicas para garantizar la seguridad de toda la información relacionada con nuestros procesos de certificación, incluidos los datos personales de las personas que buscan la certificación. Esto incluye controles de acceso, almacenamiento y transmisión de toda la información relacionada con la certificación. Al implementar estas medidas, nuestro objetivo es garantizar que los procesos de certificación se lleven a cabo con el más alto nivel de seguridad e integridad, y que los datos personales de las personas que buscan la certificación estén protegidos de conformidad con las normas y estándares pertinentes.
16.2. Autenticacion y autorizacion
Utilizamos controles de autenticación y autorización para garantizar que solo el personal autorizado tenga acceso a la información de certificación. Los controles de acceso se revisan y actualizan periódicamente en función de los cambios en las funciones y responsabilidades del personal.
16.3. Protección de Datos
Protegemos los datos personales durante todo el proceso de certificación mediante la implementación de medidas técnicas y organizativas apropiadas para garantizar la confidencialidad, integridad y disponibilidad de los datos. Esto incluye medidas como el cifrado, los controles de acceso y las copias de seguridad periódicas.
16.4. Seguridad de los procesos de examen
Garantizamos la seguridad de los procesos de examen mediante la implementación de medidas apropiadas para evitar trampas, monitorear y controlar el entorno del examen. También mantenemos la integridad y confidencialidad de los materiales de examen a través de procedimientos de almacenamiento seguro.
16.5. Seguridad del contenido del examen
Garantizamos la seguridad del contenido del examen mediante la implementación de medidas apropiadas para proteger contra el acceso no autorizado, la alteración o la divulgación del contenido. Esto incluye el uso de almacenamiento seguro, cifrado y controles de acceso para el contenido del examen, así como controles para evitar la distribución o difusión no autorizada del contenido del examen.
16.6. Seguridad de entrega del examen
Garantizamos la seguridad de la entrega del examen mediante la implementación de medidas apropiadas para evitar el acceso no autorizado o la manipulación del entorno del examen. Esto incluye medidas como el seguimiento, la auditoría y el control del entorno de examen y enfoques de examen particulares, para evitar trampas u otras infracciones de seguridad.
16.7. Seguridad de los resultados del examen
Garantizamos la seguridad de los resultados de los exámenes mediante la implementación de medidas apropiadas para proteger contra el acceso no autorizado, la alteración o la divulgación de los resultados. Esto incluye el uso de almacenamiento seguro, cifrado y controles de acceso para los resultados de los exámenes, así como controles para evitar la distribución o difusión no autorizada de los resultados de los exámenes.
16.8. Seguridad de la Emisión de Certificados
Garantizamos la seguridad de la emisión de certificados implementando las medidas adecuadas para evitar el fraude y la emisión no autorizada de certificados. Esto incluye controles para verificar la identidad de las personas que reciben certificados y procedimientos seguros de almacenamiento y emisión.
16.9. Quejas y Apelaciones
Hemos establecido procedimientos para la gestión de quejas y apelaciones relacionadas con el proceso de certificación. Estos procedimientos incluyen medidas para garantizar la confidencialidad e imparcialidad del proceso, y la seguridad de la información relacionada con las denuncias y apelaciones.
16.10. Procesos de Certificación Gestión de la Calidad
Hemos establecido un Sistema de Gestión de la Calidad (SGC) para los procesos de certificación que incluye medidas para asegurar la eficacia, eficiencia y seguridad de los procesos. El SGC incluye auditorías y revisiones periódicas de los procesos y sus controles de seguridad.
16.11. Mejora Continua de la Seguridad de los Procesos de Certificación
Estamos comprometidos con la mejora continua de nuestros procesos de certificación y sus controles de seguridad. Esto incluye revisiones y actualizaciones periódicas de las políticas y procedimientos de seguridad relacionados con la certificación en función de los cambios en el entorno empresarial, los requisitos reglamentarios y las mejores prácticas en la gestión de la seguridad de la información, de conformidad con la norma ISO 27001 para la gestión de la seguridad de la información, así como con la norma ISO Norma de funcionamiento de los organismos de certificación 17024.
Parte 17. Disposiciones de cierre
17.1. Revisión y actualización de políticas
Esta Política de seguridad de la información es un documento vivo que se somete a revisiones y actualizaciones continuas en función de los cambios en nuestros requisitos operativos, requisitos reglamentarios o las mejores prácticas en la gestión de la seguridad de la información.
17.2. Monitoreo de Cumplimiento
Hemos establecido procedimientos para monitorear el cumplimiento de esta Política de seguridad de la información y los controles de seguridad relacionados. El monitoreo del cumplimiento incluye auditorías, evaluaciones y revisiones periódicas de los controles de seguridad y su eficacia para lograr los objetivos de esta política.
17.3. Informes de incidentes de seguridad
Hemos establecido procedimientos para reportar incidentes de seguridad relacionados con nuestros sistemas de información, incluidos los relacionados con datos personales de personas. Se alienta a los empleados, contratistas y otras partes interesadas a informar cualquier incidente de seguridad o sospecha de incidente al equipo de seguridad designado lo antes posible.
17.4. Formación y sensibilización.
Brindamos programas regulares de capacitación y concientización a los empleados, contratistas y otras partes interesadas para garantizar que conozcan sus responsabilidades y obligaciones relacionadas con la seguridad de la información. Esto incluye capacitación sobre políticas y procedimientos de seguridad y medidas para proteger los datos personales de las personas.
17.5. Responsabilidad y rendición de cuentas
Hacemos responsables a todos los empleados, contratistas y otras partes interesadas de cumplir con esta Política de seguridad de la información y los controles de seguridad relacionados. También responsabilizamos a la gerencia de garantizar que se asignen los recursos apropiados para implementar y mantener controles efectivos de seguridad de la información.
Esta Política de seguridad de la información es un componente fundamental del marco de gestión de la seguridad de la información del Instituto de certificación de TI de Euroepan y demuestra nuestro compromiso de proteger los activos de información y los datos procesados, garantizar la confidencialidad, privacidad, integridad y disponibilidad de la información, y cumplir con los requisitos normativos y contractuales.