Scribd
Cargar
25 vistas5 páginas

Desarollo Cap 3

El documento describe marcos de referencia de políticas de seguridad, destacando la importancia de normas como ISO/IEC 27001 y 27002, PCI DSS y regulaciones locales e internacionales para la protección de la información. Se detallan los elementos clave y beneficios de estas normas, así como los requisitos y sanciones asociados al cumplimiento del PCI DSS. Además, se mencionan regulaciones específicas como la GDPR y la Ley de Ciberseguridad de China, subrayando la necesidad de cumplir con las leyes para evitar sanciones y fomentar la confianza del cliente.

Cargado por

raybelmendez6
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
25 vistas5 páginas

Desarollo Cap 3

El documento describe marcos de referencia de políticas de seguridad, destacando la importancia de normas como ISO/IEC 27001 y 27002, PCI DSS y regulaciones locales e internacionales para la protección de la información. Se detallan los elementos clave y beneficios de estas normas, así como los requisitos y sanciones asociados al cumplimiento del PCI DSS. Además, se mencionan regulaciones específicas como la GDPR y la Ley de Ciberseguridad de China, subrayando la necesidad de cumplir con las leyes para evitar sanciones y fomentar la confianza del cliente.

Cargado por

raybelmendez6
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Presentación

Nombres: Raybel Manuel

Apellidos: Mendez Soto

Matricula: 2024-0794

Carrera: Seguridad informática

Materia: Desarrollo de Políticas y Procedimientos de Seguridad

Tema: Practica Cap. 3

Docente: Eric Combes

Fecha: 09-06-2025
3. Marcos de Referencia de Políticas de Seguridad
Los marcos de referencia de políticas de seguridad son conjuntos de normas, lineamientos y
mejores prácticas diseñados para ayudar a las organizaciones a proteger su información,
gestionar riesgos y cumplir con requisitos legales o regulatorios. Su implementación permite
establecer un sistema coherente y estructurado para la gestión de la seguridad de la información.
A continuación, se describen tres de los marcos más importantes: ISO 27001 y 27002, PCI DSS,
y las regulaciones locales e internacionales.

3.1. ISO/IEC 27001 y 27002

ISO/IEC 27001

La norma ISO/IEC 27001 es un estándar internacional emitido por la Organización


Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), que
establece los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión
de Seguridad de la Información (SGSI). Esta norma es ampliamente utilizada por
organizaciones de todo el mundo para garantizar la confidencialidad, integridad y disponibilidad
de su información.

Elementos clave de la ISO/IEC 27001:

• Contexto de la organización: Identificar las partes interesadas, el alcance del SGSI y los
requisitos legales o contractuales.
• Evaluación de riesgos: Analizar y tratar los riesgos de seguridad de la información
mediante una metodología estructurada.
• Controles de seguridad: Aplicación de controles adecuados del Anexo A de la norma,
que está alineado con ISO 27002.
• Mejora continua: Implementación del ciclo PHVA (Planificar-Hacer-Verificar-Actuar),
promoviendo la mejora constante del sistema.

Beneficios:

• Reducción de riesgos de ciberseguridad.


• Mejora de la imagen corporativa.
• Cumplimiento de requisitos regulatorios.
• Confianza de clientes y socios comerciales.

ISO/IEC 27002

Complementaria a la ISO/IEC 27001, la ISO/IEC 27002 proporciona una guía detallada sobre
los controles de seguridad de la información recomendados para implementar en un SGSI.
Esta norma no es certificable, pero sirve como referencia para seleccionar e implementar los
controles más adecuados.
Categorías principales de controles en ISO/IEC 27002:

1. Políticas de seguridad.
2. Organización de la seguridad de la información.
3. Seguridad de recursos humanos.
4. Gestión de activos.
5. Control de acceso.
6. Criptografía.
7. Seguridad física y ambiental.
8. Seguridad de las operaciones.
9. Seguridad en las comunicaciones.
10. Adquisición, desarrollo y mantenimiento de sistemas.
11. Relaciones con proveedores.
12. Gestión de incidentes.
13. Aspectos de continuidad del negocio.
14. Cumplimiento normativo.

Importancia práctica: ISO/IEC 27002 sirve como catálogo de buenas prácticas para seleccionar
controles en función de los resultados del análisis de riesgos.

3.2. PCI DSS (Payment Card Industry Data Security Standard)

El Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) fue
desarrollado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago
(PCI SSC), fundado por empresas como Visa, MasterCard, American Express, Discover y JCB.
Este estándar establece una serie de requisitos de seguridad obligatorios para todas las
organizaciones que procesan, almacenan o transmiten datos de tarjetas de crédito.

Objetivo principal: Proteger la información sensible del titular de la tarjeta y reducir el riesgo
de fraude y violaciones de seguridad.

Requisitos fundamentales del PCI DSS:

1. Instalar y mantener una configuración segura de la red.


2. Proteger los datos del titular de la tarjeta.
3. Mantener un programa de gestión de vulnerabilidades.
4. Implementar medidas sólidas de control de acceso.
5. Supervisar y probar regularmente las redes.
6. Mantener una política de seguridad de la información.
Niveles de cumplimiento:

• Se clasifican en función del volumen de transacciones anuales (Nivel 1 al 4).


• Las empresas más grandes deben someterse a auditorías anuales por parte de un QSA
(Qualified Security Assessor).
• Las más pequeñas pueden completar un cuestionario de autoevaluación (SAQ).

Sanciones por incumplimiento:

• Multas económicas.
• Pérdida del derecho a procesar pagos con tarjeta.
• Pérdida de reputación.

Ventajas de cumplimiento con PCI DSS:

• Disminución del riesgo de filtración de datos financieros.


• Confianza por parte de los clientes.
• Cumplimiento con regulaciones financieras nacionales e internacionales.

3.3. Regulaciones Locales e Internacionales


En el ámbito de la ciberseguridad y la protección de datos, existen múltiples regulaciones
legales a nivel local (nacional) e internacional que las organizaciones deben cumplir. Estas
regulaciones varían según el país o la región, pero tienen como objetivo común la protección de
la información personal, el establecimiento de responsabilidades legales y la promoción de
buenas prácticas.

Regulaciones Locales (Ejemplos):

• Colombia – Ley 1581 de 2012 y Decreto 1377 de 2013:


o Regulan la protección de datos personales y el tratamiento adecuado de
información sensible por parte de organizaciones públicas y privadas.
o Requieren autorización expresa para el uso de datos personales.
o Obligan a las empresas a contar con políticas de privacidad y mecanismos para
que los titulares de los datos puedan ejercer sus derechos (acceso, corrección,
cancelación).
• República Dominicana – Ley 172-13:
o Establece el marco legal para la protección de los datos de carácter personal.
o Regula la creación y uso de bancos de datos públicos y privados.
o Reconoce derechos como el acceso, oposición y rectificación de datos personales.
Regulaciones Internacionales:

• GDPR (Reglamento General de Protección de Datos) – Unión Europea:


o Es uno de los marcos más estrictos en cuanto a la protección de datos personales.
o Aplica no solo a empresas dentro de la UE, sino también a aquellas fuera del
bloque que procesan datos de ciudadanos europeos.
o Introduce derechos como el “derecho al olvido”, la portabilidad de los datos y la
notificación obligatoria de violaciones de seguridad.
o Las multas por incumplimiento pueden superar los 20 millones de euros o el 4%
de la facturación global anual.
• HIPAA (Health Insurance Portability and Accountability Act) – EE. UU.:
o Regula el uso y la divulgación de información médica protegida (PHI).
o Aplica a hospitales, aseguradoras, y proveedores de servicios de salud.
o Incluye requisitos sobre privacidad, seguridad física y digital, y auditorías.
• Ley de Ciberseguridad de China:
o Exige que los datos generados dentro del país se almacenen localmente.
o Establece regulaciones para infraestructuras críticas y cooperación con
autoridades gubernamentales.
o Restringe el flujo de información al exterior bajo determinadas circunstancias.

Importancia del Cumplimiento Legal:

• Evita sanciones legales y económicas.


• Protege la reputación de la organización.
• Fomenta la confianza de los clientes y usuarios.
• Garantiza un marco ético para el uso de datos.

También podría gustarte