👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.6.1.5, A.14.1.1, A.14.2.5, A.14.2.6, A.14.3.1
ISO 27001 en su versión 2022: A.5.8, A.8.27, A.8.31, A.8.33
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir los criterios de seguridad pertinentes para verificar que los proyectos de la empresa están alineados con las políticas definidas y los requisitos normativos.
Además, te permite revisar periódicamente que los sistemas y aplicaciones desarrollados o adquiridos mantengan el nivel de seguridad adecuado.
¿Qué tengo que hacer? 🚀
Para generar este documento, debes analizar todos los aspectos o rubros que te permitan revisar, monitorear y evaluar los sistemas, aplicaciones y proyectos de desarrollo de la empresa.
Y para ello, te sugerimos documentar estos rubros en un formato de checklist, para que puedas replicarlo todas las veces que sea necesario.
Los rubros que contenga este checklist deben ser definidos conforme a las necesidades de la empresa, y sobre todo, deben estar enfocados para garantizar la seguridad de la información y la protección de los activos.
Los rubros que te sugerimos incluir en este checklist son los siguientes:
Conectividad y seguridad lógica.
Arquitectura de la solución.
Controles de acceso.
Seguridad en la gestión con el proveedor.
Seguridad en la gestión de los recursos humanos.
Gestión y monitoreo de logs.
Seguridad en la gestión del desarrollo in-house.
💡 Debes añadir a este checklist todos los criterios, aspectos, rubros o categorías de seguridad que desees evaluar, e incluso puedes adaptarlo para asegurar que estás evaluando los aspectos pertinentes a cada proyecto y/o solución.
Por último, debes establecer la forma de evaluar el resultado, por ejemplo: cumple ✅ o no cumple ❌. Con esto, sabrás a qué debes darle prioridad para garantizar el éxito del proyecto y/o solución.
Lo más importante de esta actividad es que evalúes los nuevos proyectos o sistemas que la organización adquiera o desarrolle, que se identifiquen los posibles riesgos de seguridad de su uso y/o implementación, y que se realicen revisiones periódicas para mantener el nivel de seguridad adecuado.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu guía fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
La gestión de proyectos es un requisito normativo muy importante, y debes asegurar que tu información está protegida en todos ellos. Para eso, puedes tener diferentes checklist para los diferentes tipos de proyectos que haya dentro de la empresa.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.