SEGURIDAD DE SISTEMAS DE LA INFORMACION Políticas de seguridad DIANA CAROLINA LLOCLLA RODRIGUEZ. ISTP. CAP. FAP JOSÉ ABEL...
Estándares de Seguridad <ul><li>Normas Internacionales de seguridad </li></ul><ul><ul><li>Proporcionan un conjunto de buen...
¿Cómo debe ser la política de seguridad? <ul><li>Definir la postura del Directorio y de la gerencia con respecto a la nece...
<ul><li>Ser general , sin comprometerse con tecnologías específicas. </li></ul><ul><li>Debe abarcar toda la organización <...
Qué debe contener una política de seguridad de la información? <ul><li>Políticas específicas </li></ul><ul><li>Procedimien...
Políticas Específicas <ul><li>Definen en detalle aspectos específicos que regulan el uso de los recursos de información y ...
Procedimiento <ul><li>Define los pasos para realizar una actividad </li></ul><ul><li>Evita que se aplique criterio persona...
Estándar <ul><li>En muchos casos depende de la tecnología </li></ul><ul><li>Se debe actualizar periódicamente </li></ul><u...
Que se debe tener en cuenta <ul><li>Objetivo: qué se desea lograr </li></ul><ul><li>Alcance: qué es lo que protegerá y qué...
Políticas de seguridad y Controles <ul><li>Los controles son mecanismos que ayudan a cumplir con lo definido en las políti...
Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales <ul><li>Es...
Conclusiones <ul><li>La Información es uno de los activos mas valiosos de la organización </li></ul><ul><li>Las Políticas ...
of 12

Politicas de sistemas informaticos

Published on: Mar 4, 2016
Published in: Education      Technology      Business      
Source: www.slideshare.net


Transcripts - Politicas de sistemas informaticos

  • 1. SEGURIDAD DE SISTEMAS DE LA INFORMACION Políticas de seguridad DIANA CAROLINA LLOCLLA RODRIGUEZ. ISTP. CAP. FAP JOSÉ ABELARDO QUIÑONEZ
  • 2. Estándares de Seguridad <ul><li>Normas Internacionales de seguridad </li></ul><ul><ul><li>Proporcionan un conjunto de buenas prácticas en gestión de seguridad de la información: </li></ul></ul><ul><ul><li>Ejemplos ISO/IEC 17799,COBIT,ISO 15408 </li></ul></ul><ul><li>Se ha homologado a la realidad Chilena NCh2777 la ISO 17799 que tiene la bondad de ser transversal a las organizaciones , abarcando la seguridad como un problema integral y no meramente técnico. </li></ul><ul><li>Ley 19.233 sobre delitos informáticos. </li></ul><ul><li>Ley 19.628 sobre protección de los datos personales. </li></ul><ul><li>Ley 19.799 sobre firma electrónica </li></ul>
  • 3. ¿Cómo debe ser la política de seguridad? <ul><li>Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la información corporativa. </li></ul><ul><li>Rayar la cancha con respecto al uso de los recursos de información. </li></ul><ul><li>Definir la base para la estructura de seguridad de la organización. </li></ul><ul><li>Ser un documento de apoyo a la gestión de seguridad informática. </li></ul><ul><li>Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo. </li></ul>
  • 4. <ul><li>Ser general , sin comprometerse con tecnologías específicas. </li></ul><ul><li>Debe abarcar toda la organización </li></ul><ul><li>Debe ser clara y evitar confuciones </li></ul><ul><li>No debe generar nuevos problemas </li></ul><ul><li>Debe permitir clasificar la información en confidencial, uso interno o pública. </li></ul><ul><li>Debe identificar claramente funciones específicas de los empleados como : responsables, custodio o usuario , que permitan proteger la información. </li></ul>
  • 5. Qué debe contener una política de seguridad de la información? <ul><li>Políticas específicas </li></ul><ul><li>Procedimientos </li></ul><ul><li>Estándares o prácticas </li></ul><ul><li>Estructura organizacional </li></ul>
  • 6. Políticas Específicas <ul><li>Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general. </li></ul><ul><li>Ejemplo: </li></ul><ul><ul><li>Política de uso de Correo Electrónico: </li></ul></ul><ul><ul><ul><li>Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible” </li></ul></ul></ul><ul><ul><ul><li>Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos” </li></ul></ul></ul><ul><ul><ul><li>Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso” </li></ul></ul></ul>
  • 7. Procedimiento <ul><li>Define los pasos para realizar una actividad </li></ul><ul><li>Evita que se aplique criterio personal. </li></ul><ul><li>Ejemplo: </li></ul><ul><ul><li>Procedimiento de Alta de Usuarios: </li></ul></ul><ul><ul><ul><li>1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios. </li></ul></ul></ul><ul><ul><ul><li>2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece. </li></ul></ul></ul><ul><ul><ul><li>3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente. </li></ul></ul></ul><ul><ul><ul><li>4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso. </li></ul></ul></ul>
  • 8. Estándar <ul><li>En muchos casos depende de la tecnología </li></ul><ul><li>Se debe actualizar periódicamente </li></ul><ul><li>Ejemplo: </li></ul><ul><ul><li>Estándar de Instalación de PC: </li></ul></ul><ul><ul><ul><li>Tipo de máquina: </li></ul></ul></ul><ul><ul><ul><ul><li>Para plataforma de Caja debe utilizarse máquinas Lanix </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Para otras plataformas debe utilizarse máquinas Compaq o HP. </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB </li></ul></ul></ul></ul><ul><ul><ul><li>Registro: </li></ul></ul></ul><ul><ul><ul><ul><li>Cada máquina instalada debe ser registrada en catastro computacional identificando los números de serie de componente y llenar formulario de traslado de activo fijo </li></ul></ul></ul></ul><ul><ul><ul><li>Condiciones electricas: </li></ul></ul></ul><ul><ul><ul><ul><li>Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC </li></ul></ul></ul></ul>
  • 9. Que se debe tener en cuenta <ul><li>Objetivo: qué se desea lograr </li></ul><ul><li>Alcance: qué es lo que protegerá y qué áreas serán afectadas </li></ul><ul><li>Definiciones: aclarar terminos utilizados </li></ul><ul><li>Responsabilidades: Qué debe y no debe hacer cada persona </li></ul><ul><li>Revisión: cómo será monitoreado el cumplimiento </li></ul><ul><li>Aplicabilidad: En qué casos será aplicable </li></ul><ul><li>Referencias: documentos complementarios </li></ul><ul><li>Sanciones e incentivos </li></ul>
  • 10. Políticas de seguridad y Controles <ul><li>Los controles son mecanismos que ayudan a cumplir con lo definido en las políticas </li></ul><ul><li>Si no se tienen políticas claras , no se sabrá qué controlar. </li></ul><ul><li>Orientación de los controles: </li></ul><ul><ul><li>PREVENIR la ocurrencia de una amenaza </li></ul></ul><ul><ul><li>DETECTAR la ocurrencia de una amenaza </li></ul></ul><ul><ul><li>RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado. </li></ul></ul>
  • 11. Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales <ul><li>Estructura del modelo adoptado: </li></ul><ul><ul><li>Gestión IT (Tecnologías de Información) </li></ul></ul><ul><ul><li>Operaciones IT </li></ul></ul><ul><li>Para cada estructura incorpora documentación asociada como políticas específicas, procedimientos y estándares. </li></ul>
  • 12. Conclusiones <ul><li>La Información es uno de los activos mas valiosos de la organización </li></ul><ul><li>Las Políticas de seguridad permiten disminuir los riesgos </li></ul><ul><li>Las políticas de seguridad no abordan sólo aspectos tecnológicos </li></ul><ul><li>El compromiso e involucramiento de todos es la premisa básica para que sea real. </li></ul><ul><li>La seguridad es una inversión y no un gasto. </li></ul><ul><li>No existe nada 100% seguro </li></ul><ul><li>Exige evaluación permanente. </li></ul>