Upload
ysabel-lazo
View
220
Download
0
Embed Size (px)
Citation preview
POLITICA DE SEGURIDAD
Seguridad Informática
Política de Seguridad
Una política de seguridad es un conjunto de: Directrices Normas Procedimientos Instrucciones que guían las actuaciones de trabajo y define los criterios
deseguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer,
estandarizar y normalizar la seguridad tanto en el ámbito humano
como en el tecnológico.
Política de Seguridad
A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandarización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información.
Áreas de Normalización
Tecnológica: Hay quienes consideran que la seguridad
de la información es apenas un problema tecnológico.
Áreas de Normalización
Tecnológica:
Lo importante es definir los aspectos técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc.
Para eso, el apoyo de la Administración es fundamental, pues sin ella el plan de seguridad quedaría sin recursos para la adquisición de los mecanismos necesarios.
Áreas de Normalización
Tecnológica:
Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios.
Áreas de Normalización
Humana:
Otras personas ven a la seguridad como un problema únicamente humano.
Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados.
Por lo tanto, sin el apoyo de la Administración, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual.
Áreas de Normalización
Humana:
El resultado es un programa de seguridad sin el nivel de cultura deseado y la falta de monitoreo más apropiado al orientar empleados, proveedores, clientes y socios.
Sin embargo, no se debe dejar de lado los temas tecnológicos y su automatización, una vez que también son determinantes para la implementación de soluciones de seguridad adecuadas y eficientes.
Áreas de Normalización
Humana:
En la elaboración de una política de seguridad no podemos olvidar el lado humano, los descuidos, falta de capacitación, interés, etc.
Se pueden tener problemas de seguridad de la información si no son adecuadamente considerados dentro de la misma política.
Áreas de Normalización
La parte tecnológica obviamente tampoco puede dejarse de lado, y dentro de la política de seguridad es necesario considerar elementos que pongan las bases mínimas a seguir en materia de configuración y administración de la tecnología
Elaboración
Para elaborar una política de seguridad de la información, es importante tomar en cuenta:
Las exigencias básicas
Las etapas necesarias para su producción.
Elaboración
La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento.
Elaboración
Para la elaboración de una Política de Seguridad Institucional se debe:
Integrar el Comité de Seguridad responsable de definir la política
Elaborar el documento final
Hacer oficial la política una vez que se tenga definida.
Elaboración
Integrar el Comité de Seguridad Responsable de definir la Política:
Formar un equipo multidisciplinario que represente gran parte de los aspectos culturales y técnicos de la organización y que se reúnan periódicamente dentro de un cronograma establecido por el Comité de Seguridad.
Elaboración
Integrar el Comité de Seguridad Responsable de definir la Política:
Este comité es formado por un grupo definido de personas responsables por actividades referentes a la creación y aprobación de nuevas normas de seguridad en la organización.
Elaboración
Integrar el Comité se Seguridad Responsable de definir la Política:
En las reuniones se definen los criterios de seguridad adoptados en cada área y el esfuerzo común necesario para que la seguridad alcance un nivel más elevado.
Se debe tener en mente que los equipos involucrados necesitan tiempo libre para analizar y escribir todas las normas discutidas durante las reuniones.
Elaboración
Partes que integran el documento final:
Deben expresarse las preocupaciones de la administración, donde se establecen normas para la gestión de seguridad de la información, que contengan:
La definición de la propia política,
Una declaración de la administración que apoye los principios establecidos
Una explicación de las exigencias de conformidad con relación a:
Elaboración
Legislación y cláusulas contractuales
Educación y formación en seguridad de la información
Prevención contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.)
Atribución de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestión de los procesos y de la seguridad.
Elaboración
No olvidar de que toda documentación ya existente sobre cómo realizar las tareas debe ser analizada con relación a los principios de seguridad de la información, para aprovechar al máximo las prácticas actuales, evaluar y agregar seguridad a esas tareas.
Elaboración
Hacer oficial la política:
La oficialización de una política tiene como base la aprobación por parte de la administración de la organización.
Debe ser publicada y comunicada de manera adecuada para todos los empleados, socios, terceros y clientes.
Elaboración
Elaborar una política es un proceso que exige tiempo e información.
Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos.
Elaboración
A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad.
Elaboración
El trabajo de producción se compone por distintas etapas:
Objetivos y ámbito
Entrevista
Investigación y análisis de documentos
Reunión de política
Glosario de la política
Responsabilidades y penalidades