Contacto con autoridades y organización de la seguridad

1.- ¿Como se materializa el cumplimiento de los controles que no aparecen dentro de tu estructura documental?. Por ejemplo, 6.1.3. Contacto con Autoridades.

2.- No existe una propuesta o borrador de propuesta para la organización de seguridad (6.1.1).
 

Respuesta:

Punto 1: No hay un documento en nuestro toolkit para el control A.6.1.3 porque no es obligatorio tenerlo. En cualquier caso, para cumplir con este control (y controles similares en los que no es obligatorio tener un documento), necesitas evidencias de implementación. En este caso, necesitas evidencia de que mantienes contacto con autoridades (entidades regulatorias, autoridades supervisoras, entidades gubernamentales, etc), y puedes hacer esto por ejemplo con emails, actas de reunión, etc.

Punto 2: No tenemos un documento específico para el control A.6.1.1 Roles y responsabilidades en seguridad de la información, porque no es obligatorio tenerlo, y porque creemos que es mejor definir los roles y responsabilidades de seguridad de la información en cada política y procedimiento. Por ejemplo: En tus procedimientos de TI, deberías definir quien es el responsable de ejecutar el backup, configurar el firewall, etc.

Finalmente, quizás este artículo sobre documentos obligatorios (y no obligatorios) puede ser interesante para ti "Lista de documentos obligatorios exigidos por la norma ISO 27001 (revisión 2013)" : https://advisera.com/27001academy/es/blog/2015/05/04/lista-de-documentos-obligatorios-exigidos-por-la-norma-iso-27001-revision-2013/
Y creo que estos artículos también pueden ser interesantes para ti (en inglés) 

“What is the job of Chief Information Security Officer (CISO) in ISO 27001?” : https://advisera.com/27001academy/knowledgebase/what-is-the-job-of-chief-information-security-officer-ciso-in-iso-27001/
“Roles and responsibilities of top management in ISO 27001 and ISO 22301” : https://advisera.com/27001academy/blog/2014/06/09/roles-and-responsibilities-of-top-management-in-iso-27001-and-iso-22301/

Para el punto 1.-  se describe que las organizaciones deberían tener procedimientos vigentes que especifiquen cuándo y qué
autoridades (por ejemplo, cumplimiento de leyes, organismos reguladores y autoridades de
supervisión), esto es imprecindible ante el requerimiento de contar con un Procedimeinto de hestion de Incidentes, ahi se puede especificar el contacto con autoridades ante un incidente de seguridad, los incidentes no necesariamente son internos, podriamos establecer contacto " escalamiento " de autoridades externas como bomberos, politicia, buro juridico, entidades regulatorias o normativas etc,   6.1.2  y 6.1.4  de SOA. 

Para el punto 2.- Los roles y responsabilidades son obligatorios, ya que lo solicita la norma en los puntos 6.1.1 y 6.1.2 donde se pueden definir en su manual de politicas de seguridad o si, en cada procedimiento, aunque esto seria muy dificil decribir cada segregación en los documentos. Hay funciones que estan cruzadas, por ejemplo quien realiza el respaldo, quien es dueño del activo respaldado y la unidad de respaldo, quien es responsable del mantenimiento del activo, quien administra el sistema de información etc.