Tema 2 Políticas y Plan de Seguridad Informática
-
Upload
natsha-rauseo -
Category
Documents
-
view
232 -
download
5
description
Transcript of Tema 2 Políticas y Plan de Seguridad Informática
INSTITUTO
UNIVERSITARIO MILITAR
DE COMUNICACIONES Y
ELECTRONICA DE LA
F.A.N.B
Prof. Julio C. Jordán A.
Que son las Políticas de Seguridad Informática?
Una política de seguridad informática es una forma
de comunicarse con los usuarios y los gerentes. Las
PSI establecen el canal formal de actuación del
personal, en relación con los recursos y servicios
informáticos, importantes de la organización.
Es más bien una descripción de los que deseamos
proteger y el por qué de ello.
Cada PSI es consciente y vigilante del personal por
el uso y limitaciones de los recursos y servicios
informáticos críticos de la compañía.
2
Las PSI se deben considerar entre otros, los
siguientes elementos:
Alcance de las políticas, incluyendo facilidades, sistemas y
personal sobre la cual aplica.
Objetivos de la política y descripción clara de los
elementos involucrados en su definición.
Responsabilidades por cada uno d los servicios y recursos
informáticos a todos los niveles de la organización.
Requerimientos mínimos para configuración de la seguridad
de los sistemas que cobija el alcance de la política.
Definición de violaciones y de las consecuencias del no
cumplimiento de la política.
Responsabilidades de los usuarios con respecto a la
información a la ella tiene acceso.
3
Espere lo inesperado, Imagine lo que sucedería si:
La información esencial fuera robada, se perdiera,
estuviera en peligro, fuera alterada o borrada.
Los sistemas de correo electrónico no funcionaran durante un día o más. ¿Cuánto costaría esta improductividad?
Los clientes no pudieran enviar órdenes de compra a través de la red durante un prolongado periodo de tiempo.
Los directivos se interesen cada vez más en la prevención de
desastres físicos y espionaje. Implementar una política de
seguridad le da valor a su empresa o institución. También
mejorará la credibilidad y reputación de la institución y
aumentará la confianza de los accionistas principales, lo que le
dará a la empresa una ventaja estratégica. 4
Identifique y evalué los
activos.
Hardware.
Software.
Datos.
Personas.
Identifique las
amenaza
Amenazas externas.
Amenazas internas
5
Evalué los riegos.
Componente mas desafiante.
Calcular que puedan ocurrir ciertos sucesos
Determinar cuales tienen potencial para causar daños.
Asigne las responsabilidades Cree equipo de apoyo para
identificar amenazas.
Involucre personal de cada departamento.
6
Establezca política de seguridad. Cree una política que apunte a los documentos asociados;
parámetros y procedimientos, normas, así como los contratos de empleados.
Involucre a las áreas propietarias de los recursos o servicios, pues ellos poseen la experiencia y son fuente principal para establecer el alcance y las definiciones de violaciones a la PSI.
Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
Recuerde que es necesario identificar quién tiene la autoridad para tomar decisiones, pues son ellos los responsables de salvaguardar los activos críticos de la funcionalidad de su área u organización.
Desarrolle un proceso de monitoreo periódico de las directrices en el hacer de la organización, que permita una actualización oportuna de las mismas.
No dé por hecho algo que es obvio. 7
Implemente una política en toda la organización. La política que se escoja debe establecer claramente las
responsabilidades en cuanto a la seguridad y reconocer quién es el propietario de los sistemas y datos específicos. Éstas son las tres partes esenciales de cumplimiento que debe incluir la política:
Cumplimiento: Indique un procedimiento para garantizar el
cumplimiento y las consecuencias potenciales por incumplimiento.
Funcionarios de seguridad: Nombre individuos que sean directamente responsables de la seguridad de la información. Asegúrese de que no es la misma persona que supervisa, implementa o revisa la seguridad para que no haya conflicto de intereses.
Financiación: Asegúrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir adecuadamente con la política de seguridad de la compañía.
Administre el programa de seguridad. 8
9
Diseño e implementación de la seguridad
Manejo de la seguridad
Re-evaluación
Evaluación de riesgos
10
10
Las empresas necesitan establecer políticas, estándares y
procedimientos de seguridad para hacer cumplir la seguridad
de la información de forma estructurada. Una evaluación de
riesgos le ayudará a identificar y administrar las
vulnerabilidades de su entorno., Con base en este análisis,
usted puede desarrollar un marco de políticas apropiado y
empezar a construir un conjunto de políticas adaptadas a su
empresa.
La norma ISO 17799 es una de las muchas regulaciones y
estándares gubernamentales, o del sector, que las empresas
están incorporando a sus políticas de seguridad.
INSTITUTO
UNIVERSITARIO MILITAR
DE COMUNICACIONES Y
ELECTRONICA DE LA
F.A.N.B
Prof. Julio C. Jordán A.
2
Es la expresión gráfica del Sistema de Seguridad Informática
diseñado y constituye el documento básico que establece los
principios organizativos y funcionales de la actividad de
Seguridad Informática en una Entidad y recoge claramente las
políticas de seguridad y las responsabilidades de cada uno de
los participantes en el proceso informático, así como las
medidas y procedimientos que permitan prevenir, detectar y
responder a las amenazas que gravitan sobre el mismo.
Durante el proceso de diseño de un Sistema de Seguridad
Informática se distinguen tres etapas:
3
1) Determinar las necesidades de protección del sistema
informático objeto de análisis, que incluye:
• Caracterización del sistema informático.
• Identificación de las amenazas y estimación de los
riesgos.
• Evaluación del estado actual de la seguridad.
2) Definir e implementar el sistema de seguridad que garantice
minimizar los riesgos identificados en la primera etapa.
• Definir las políticas de seguridad.
• Definir las medidas y procedimientos a implementar.
3) Evaluar el sistema de seguridad diseñado.
4
Para la elaboración del Plan de Seguridad Informática se
tendrán en cuenta las consideraciones siguientes:
• Serán confeccionados tantos ejemplares como se determine en cada
lugar, numerando las páginas consecutivamente.
• Se determinará su clasificación, parcial o total, de acuerdo a la
información que contenga, en correspondencia con las categorías que
expresa el LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS (2001).
Gaceta Oficial de la República Bolivariana de Venezuela, 37.313,
octubre 30 de 2001 y otras que aplique.
• Contendrá las tablas y gráficos que se consideren necesarios y
contribuyan a su mejor interpretación.
• Tendrán acceso a este documento, o a parte de él, las personas que en
cada área requieran de su conocimiento.
• Se mantendrá permanentemente actualizado sobre la base de los
cambios que se produzcan en las condiciones que se consideraron
durante su elaboración.
5
DOCUMENTO
5
LECTURA DEL DOCUMENTO