¡Su navegador no admite JavaScript!

Preguntas frecuentes

Preguntas frecuentes sobre seguridad de la información

¿Dónde puedo encontrar políticas de administración de recursos de tecnología de la información (ITRM)?

Las políticas, normas y directrices de la Commonwealth se pueden encontrar en las Políticas, Normas y Directrices del ITRM en la sección Política $ Gobernanza.

¿Es el jefe de una agencia responsable de la seguridad en su agencia?

Sí, el jefe de la agencia es responsable en última instancia de la seguridad de los sistemas de tecnología de la información y los datos de la agencia.

¿Qué responsabilidades específicas de seguridad tiene el jefe de una agencia?

Las responsabilidades específicas del jefe de la agencia, según el Estándar de Seguridad de la Información de TI (SEC501-10.1) PDF "Roles y Responsabilidades Clave de Seguridad de la Información", son:

Designar un Oficial de Seguridad de la Información (ISO) para la agencia, cada dos años.

Asegurarse de que se mantenga un programa de seguridad de la información de la agencia, que sea suficiente para proteger los sistemas de TI de la agencia, y que esté documentado y se comunique de manera efectiva.

Revisar y aprobar los Análisis de Impacto en el Negocio (BIA), las Evaluaciones de Riesgos (RA) y el Plan de Continuidad de Operaciones (COOP) de la agencia, para incluir un Plan de Recuperación de Desastres de TI, si corresponde.

Revisar y aprobar los planes de seguridad del sistema para todos los sistemas de TI de la agencia clasificados como confidenciales.

Asegurar que se establezca un Programa de Auditoría de Seguridad de la Información. Nota: Consulte el Estándar de auditoría de seguridad de TI (COV ITRM Standard SEC502-00) para conocer las responsabilidades específicas de los jefes de las agencias con respecto al cumplimiento del programa de auditoría.

Asegurar que se establezca un programa de Seguridad de la Información.

Garantizar que se establezca un programa de capacitación y concientización sobre seguridad de la información.

Proporcionar los recursos para que los empleados puedan llevar a cabo sus responsabilidades de proteger los sistemas y datos de TI.

Identifique un propietario del sistema, generalmente el propietario de la empresa, para cada sistema confidencial de la agencia.

Prevenir conflictos de intereses adhiriéndose al concepto de seguridad de separación de funciones para el Oficial de Seguridad de la Información, los Propietarios de Sistemas/Datos y los Administradores de Sistemas.

Asegúrese de que las violaciones de datos se informen al director de seguridad de la información. (Solo aplicable para agencias del Poder Ejecutivo).

¿Qué responsabilidades de seguridad puede delegar el jefe de una agencia a otras personas?

El responsable de la agencia podrá delegar todas las responsabilidades en materia de Seguridad de la Información, a excepción de las siguientes:

Designación de un Oficial de Seguridad de la Información.

Asegurar la implementación de un Programa de Seguridad de la Información.

Asegurar la implementación de un Programa de Auditoría.

Nota: La parte delegada debe copiar al jefe de la agencia en las presentaciones de correo electrónico al Director de Seguridad de la Información.

¿Cómo se designa a un Oficial de Seguridad de la Información (ISO)?

La ISO se designa mediante la presentación de la ISO y el nombre, el título y la información de contacto de la ISO de respaldo al Director de Seguridad de la Información (CISO) cada dos años por parte del jefe de la agencia. Para obtener más información, consulte el Estándar de seguridad de la información de TI (SEC501-10.1) PDF "Funciones y responsabilidades clave de la seguridad de la información".

Si la presentación se envía por correo electrónico, se aceptará la presentación de alguien que no sea el jefe de la agencia, si se copia al jefe de la agencia.

¿Cómo completo y presento un plan de auditoría?

El plan de auditoría de seguridad de tecnología de la información (TI) de su agencia debe desarrollarse en función de la dirección dada en el Estándar de auditoría de seguridad de TI (SEC 502) "Planificación de auditorías de seguridad de TI" y la Guía de auditoría de seguridad de TI (SEC 512.00 ) "Plan de auditoría de seguridad de TI". Utilice la plantilla de plan de auditoría de seguridad de TI para completar su plan.

El jefe de la agencia o la persona designada debe presentar el plan de auditoría anualmente al Director de Seguridad de la Información (CISO). Si la presentación es enviada por correo electrónico por la persona designada, se debe enviar una copia al jefe de la agencia.

¿Cómo completo y presento el plan de acción correctiva (CAP)?

El plan de acción correctiva de seguridad de tecnología de la información (TI) de su agencia debe desarrollarse en función de la dirección dada en el Estándar de auditoría de seguridad de TI (SEC 502) "Documentación de auditorías de seguridad de TI" y la Guía de auditoría de seguridad de TI (SEC 512.00), "Plan de acción correctiva" e "Informes periódicos de CAP". Utilice la plantilla del plan de acción correctiva para completar su plan.

El jefe de la agencia o la persona designada debe presentar el plan de acción correctiva trimestralmente al Director de Seguridad de la Información (CISO) de la Commonwealth.

Si el plan contiene información confidencial, envíe un correo electrónico a CommonwealthSecurity@VITA.Virginia.Gov para solicitar ayuda para identificar una forma eficiente y segura de transmitir el plan.

¿Cómo obtengo acceso a aplicaciones adicionales, unidades de red, etc.?

Si necesita acceso adicional en el entorno de red a aplicaciones, unidades de red, etc., solicite a su agencia de recursos de tecnología de la información (AITR) o al oficial de seguridad de la información (ISO) que envíe la solicitud por correo electrónico al Centro de Atención al Cliente de VITA (VCCC) al vccc@vita.virginia.gov.

¿Puede mi organización/estado usar el video "Duhs of Security" para nuestra capacitación en concientización sobre seguridad?

Por favor, siéntase libre de utilizar el video "Duhs of Security" en sus esfuerzos de concienciación sobre la seguridad de la información. Nos alegra que vea suficiente valor en nuestro producto para agregarlo a su programa.

¿Cuál es la información de contacto de Commonwealth Security and Risk Management (CS/RM)?

Se puede contactar a Commonwealth Security and Risk Management de las siguientes maneras:

Correo: Director de Seguridad de la Información, Agencia de Tecnologías de la Información de Virginia, 7325 Beaufont Springs Drive, Richmond, VA 23225

Correo electrónico: commonwealthsecurity@vita.virginia.gov.

¿Qué hago si sospecho de un incidente de seguridad de la información o cómo presento un incidente de seguridad conocido?

Hay dos formas principales de enviar un incidente de seguridad sospechoso o conocido. Una forma de enviar un incidente de seguridad es completar el formulario de denuncia en línea que se encuentra aquí: Informar de un incidente cibernético.

La segunda forma de presentar un incidente de seguridad es llamar al Centro de Atención al Cliente de VITA (VCCC) al 1-866-637-8482. El VCCC aceptará informes de incidentes de seguridad tanto para las agencias de asociación de TI como para las que no lo son.

Es imperativo que no toque ni apague la computadora hasta que reciba instrucciones.

¿Cómo completo y envío una excepción a un estándar de seguridad de la información?

Si el jefe de una agencia determina que el cumplimiento de las disposiciones de las normas de seguridad de la información afectaría negativamente un proceso comercial de la agencia, el jefe de la agencia puede solicitar aprobación para desviarse de un requisito específico mediante la presentación de una solicitud de excepción al Director de Seguridad de la Información. Utilice el Formulario de excepción estándar de seguridad COV para enviar una excepción.

La solicitud de excepción debe presentarse al Director de Seguridad de la Información (CISO). Si la presentación se envía por correo electrónico, la ISO puede enviar el correo electrónico y copiar al jefe de la agencia.

Si la excepción contiene información confidencial, envíe un correo electrónico a CommonwealthSecurity@VITA.Virginia.Gov para solicitar ayuda con la identificación de una manera eficiente y segura de transmitir la excepción.