Políticas de seguridad,
Normas y Planificación
Introducción
 Para proteger su entorno de red, la organización
debe establecer una funcional y un
programa de seguridad d...
Política de Seguridad Información,
Estándares y Prácticas
 La administración debe considerar políticas como base para
tod...
Política de Seguridad Información,
Estándares y Prácticas cont.
 Para que una política se considera eficaz y legalmente
e...
Política de Seguridad Información,
Estándares y Prácticas cont.
 Para que una política que se considera eficaz y legalmen...
Definiciones
 Política es un conjunto de directrices o instrucciones de
la alta dirección de la organización que implemen...
Políticas, Normas, y
Prácticas
Enterprise Information Security Policy
(EISP)
 EISP también se conoce como la política de seguridad general.
 Establece ...
Enterprise Information Security Policy
(EISP) (continuación)
 Aborda Normalmente cumplimiento en dos áreas:
 - Cumplimie...
Enterprise Information Security Policy
(EISP) Elementos
 Descripción general de la filosofía corporativa de la seguridad....
Política de Seguridad Asunto
Específico (ISSP)
 Directrices necesarias para utilizar las diferentes tecnologías
y proceso...
Componentes de un ISSP Efectiva
1. Declaración de la política .
a. Ámbito de aplicación y aplicabilidad
b. Definición de l...
Políticas de Sistemas Específicos (SysSP)
 SysSPs es codificado con frecuencia como las normas y
procedimientos utilizada...
Políticas de Sistemas Específicos (SysSP)
cont.
 Las SysSPs técnicos se dividen en:
- Listas de control de acceso (ACL) -...
Gestión de Políticas
 Las políticas son documentos que deben estarmadministrados y están en
constante cambio
 Considerac...
Marcos y Estándares de la Industria
 Idea general de las vulnerabilidades de los sistemas de TI,
el equipo de seguridad s...
Marcos y Estándares de la Industria
(cont)
 El marco de seguridad es esquema del conjunto de
estrategias de seguridad de ...
ISO 27000
 Una de las reglas de seguridad más ampliamente referenciada en
modelos de la tecnología de la información - ll...
Modelos NIST de Seguridad
 Otro enfoque disponible se describe en
documentos disponibles en csrc.nist.gov:
- SP 800-12: U...
Arquitectura de Seguridad IETF
 Mientras se promueve ninguna arquitectura específica
a través del Internet Engineering Ta...
Benchmarking y Mejores Prácticas
 La evaluación comparativa y las mejores prácticas son métodos fiables
utilizados por al...
Esferas de Seguridad
Diseño de la arquitectura de
seguridad
 Defensa en profundidad
- Uno de los fundamentos de las arquitecturas de seguridad...
Educación Seguridad, Capacitación y
conciencia
 Las políticas ponen en práctica la formación en seguridad, capacitación
y...
Elementos SETA
 Programa ¨ SETA consta de tres elementos:
- La educación de seguridad
- La formación en seguridad
- Conci...
Educación de Seguridad
 Todos en una organización necesitan ser entrenados y ser conscientes de
la seguridad de la inform...
Entrenamiento de Seguridad
 Involucra proporcionar a los miembros de la organización
con información detallada y práctica...
Conciencia de la Seguridad
 Una de las cosas implementada con menos frecuencia.
 Diseñado para mantener la seguridad de ...
Estrategias de Continuidad
 Los gerentes deben proporcionar una planificación estratégica para
asegurar que los sistemas ...
Planes de Contingencia
 Planificación de Contingencia (CP):
- Planificación de la respuesta de Incidentes (IRP)
- La plan...
Equipo de Planificación de
Contingencia
 Antes de que comience la planificación, un equipo tiene que planificar
el esfuer...
Business Impact Analysis
 Comienza con el análisis de impacto en el negocio (BIA)
- Si el ataque tiene éxito, ¿qué hacemo...
Amenaza Ataque Identificación y
Priorización
 Actualizar la lista de amenaza con los últimos desarrollos y agregar el per...
Análisis de la Unidad de Negocios
 Segunda tarea importante dentro de la BIA es el análisis
y priorización de las funcion...
Escenarios de Ataque en desarrollo
 A continuación, cree una serie de escenarios que representan el
impacto de un ataque ...
Evaluación de Potencial de daño
 Desde el éxito de ataque desarrollado previamente
escenarios, el equipo de planificación...
Clasificación basado en un plan
subordinado
 Una vez que el daño potencial ha sido evaluado, un plan de
subordinación deb...
Planificación de Respuesta a
Incidentes
 Planificación de la respuesta - abarca la identificación
de la clasificación de ...
Planificación de Incidentes
 Las respuestas predefinidas permiten a la organización reaccionar con
rapidez y eficacia a l...
Incidentes o Desastres
 ?Cuándo un incidente convertirse en un desastre?
-
La organización no es capaz de mitigar el imp...
La planificación de recuperación de
desastres
 La planificación de recuperación de desastres (DRP) es la planificación, l...
Pasos de el DRP
 Debe haber un establecimiento claro de las prioridades
 Debe haber una clara delegación de funciones y
...
Gestión de Crisis
 La gestión de la crisis se produce durante y después de un
desastre y se centra en las personas involu...
Plan de Continuidad del Negocio
 Los esquemas de planificación de continuidad del negocio deben dar
restablecimiento de l...
Resumen
 Para tener redes seguras con eficacia, una organización debe establecer
y tener bien diseñado un programa de seg...
Resumen (continuación)
 Una política nunca debe entrar en conflicto con las leyes, pero debería
dar pie en el tribunal en...
Resumen (continuación)
 El marco de la seguridad es el esquema de pasos a seguir para
diseñar e implementar la seguridad ...
Resumen (continuación)
 TI y sus gerentes deben asegurar que la InfoSec tenga la disponibilidad
continua de los sistemas ...
of 48

Políticas de seguridad, normas y planificación en sistemas de informacion

Published on: Mar 4, 2016
Published in: Technology      
Source: www.slideshare.net


Transcripts - Políticas de seguridad, normas y planificación en sistemas de informacion

  • 1. Políticas de seguridad, Normas y Planificación
  • 2. Introducción  Para proteger su entorno de red, la organización debe establecer una funcional y un programa de seguridad de la información  El programa de seguridad de la información comienza con la creación o revisión de la información de la organización, las políticas de seguridad, normas y prácticas  La creación de seguridad de la información, la arquitectura, el desarrollo y uso de detallado plan de seguridad de información creará una planificación para el éxito futuro  Sin políticas, planos y la planificación, no se cumplirán las necesidades de seguridad de cualquier organización
  • 3. Política de Seguridad Información, Estándares y Prácticas  La administración debe considerar políticas como base para todos los esfuerzos en la seguridad de la información  Las políticas deben ser directas en cómo deben abordarse los problemas y las tecnologías utilizadas.  Las políticas de seguridad son el control más económico para ejecutar pero el más difícil de implementar.  Es difícil hacer una política, porque la política debe:  - Nunca entrar en conflicto con las leyes  - Ponerse en pie en el tribunal, en caso de impugnación  - Ser administradas adecuadamente a través de la difusión y documento de aceptación
  • 4. Política de Seguridad Información, Estándares y Prácticas cont.  Para que una política se considera eficaz y legalmente exigible debe tener:  Difusión (distribución): la organización debe ser capaz de demostrar que la política pertinente haya sido fácilmente disponible para su revisión por los empleados.  Revisión (lectura): La organización debe ser capaz de demostrar que difundirá el documento en forma inteligible, incluyendo versiones para analfabetos, lectura no-Inglés, y la lectura de deterioro empleados
  • 5. Política de Seguridad Información, Estándares y Prácticas cont.  Para que una política que se considera eficaz y legalmente exigible: (cont.)  Comprensión (entendimiento): La organización debe ser capaz de demostrar que los empleados comprenden los requisitos y contenido de la política.  Cumplimiento (acuerdo): La organización debe ser capaz de demostrar que los empleados se comprometen a cumplir con la política a través de acto o afirmación.  La aplicación uniforme: la organización debe ser capaz de que la política a demostrar ha sido uniformemente forzada.
  • 6. Definiciones  Política es un conjunto de directrices o instrucciones de la alta dirección de la organización que implementa a regular las actividades de los miembros de la organización que toman decisiones, toman medidas y llevan a cabo otros deberes.  Las políticas son leyes orgánicas.  Las normas por el contrario, son detalladas declaraciones de lo que se debe hacer para cumplir con una política.  Las prácticas son procedimientos y directrices con eficacia para explicar cómo cumplir con la política.
  • 7. Políticas, Normas, y Prácticas
  • 8. Enterprise Information Security Policy (EISP)  EISP también se conoce como la política de seguridad general.  Establece la dirección estratégica, el alcance y el tono para todo los esfuerzos de seguridad dentro de la organización.  Es un documento de nivel ejecutivo , por lo general redactado por o con el CIO de la organización y por lo general es de 2 a 10 páginas largas
  • 9. Enterprise Information Security Policy (EISP) (continuación)  Aborda Normalmente cumplimiento en dos áreas:  - Cumplimiento general para garantizar la reunión de requisitos para el establecimiento del programa y responsabilidades asignadas a diversos componentes de la organización.  - El uso de sanciones especificas y medidas disciplinarias
  • 10. Enterprise Information Security Policy (EISP) Elementos  Descripción general de la filosofía corporativa de la seguridad.  Información sobre la estructura de seguridad de la información organizacional y las personas que cumplen el papel de seguridad de la información  Responsabilidades de seguridad totalmente articulados que son compartidas por todos los miembros de la organización (empleados, contratistas, consultores, socios, y los visitantes)  Responsabilidades de seguridad totalmente articulados que son únicas para cada rol dentro de la organización
  • 11. Política de Seguridad Asunto Específico (ISSP)  Directrices necesarias para utilizar las diferentes tecnologías y procesos adecuadamente:  El ISSP: - Aborda las áreas específicas de la tecnología - Requiere actualizaciones frecuentes - Contiene declaración en cuestión relativa a la organización de posición sobre un tema  Tres enfoques: - Crear varios documentos independientes ISSP - Crear un único documento exhaustivo ISSP - Crear un documento modular ISSP
  • 12. Componentes de un ISSP Efectiva 1. Declaración de la política . a. Ámbito de aplicación y aplicabilidad b. Definición de la tecnología dirigido c. Responsabilidades 2. El acceso y el uso autorizado . a. El acceso del usuario b. El uso justo y responsable c. Protección de la privacidad 3. Prohibido el uso. a. Uso o mal uso disruptivo b. uso Penal c. Materiales ofensivos o de acoso d. Derechos de autor, licencia, u otra propiedad intelectual e. Otras restricciones 4. gestión de sistemas . a.Gestión de almacenado materiales b. monitoreo del Empleador c. protección contra virus d. La seguridad física e. Encryption 5. Violaciones de la política . a. Procedimientos para la presentación de informes, violaciónes b. Las sanciones por violaciones 6. Revisión de la política y la modificación una. Revisión programada de la política y Procedimientos para la modificación 7. Limitaciones de responsabilidad una. Las declaraciones de responsabilidad o exenciones de responsabilidad
  • 13. Políticas de Sistemas Específicos (SysSP)  SysSPs es codificado con frecuencia como las normas y procedimientos utilizadas al configurar o mantener sistemas.  SysSPs se divide en dos grupos: - Orientación gerencial: creada por gestión para orientar la implementación y configuración de la tecnología, así como para regular comportamientos de las personas en la organización - Especificaciones técnicas: políticas técnicas o un conjunto de configuraciones para implementar la gestión de la política.
  • 14. Políticas de Sistemas Específicos (SysSP) cont.  Las SysSPs técnicos se dividen en: - Listas de control de acceso (ACL) - consisten en el acceso listas de control, matrices y tablas de capacidad de derechos y privilegios de gobierno de un particular, o usuario a un sistema particular - Las políticas de reglas de configuración comprenden específica códigos de configuración introducidos en la seguridad sistemas para guiar la ejecución del sistema.
  • 15. Gestión de Políticas  Las políticas son documentos que deben estarmadministrados y están en constante cambio  Consideraciones especiales se deben hacer para que las organizaciones experimentan fusiones, absorciones, y las asociaciones  Para seguir siendo viable, las políticas de seguridad deben tener: - Un individuo responsable de opiniones - Un calendario de los exámenes - Una política de emisión y fecha de revisión específica
  • 16. Marcos y Estándares de la Industria  Idea general de las vulnerabilidades de los sistemas de TI, el equipo de seguridad se desarrolla con un plan de seguridad que se utiliza para implementar un programa de seguridad .  La seguridad es la base para el diseño, selección, y la ejecución de todos los programas de seguridad , incluyendo la implementación de políticas, gestión de la política actual, la gestión del riesgo programas, la educación y los programas de formación, controles tecnológicos, y el mantenimiento de programa de seguridad
  • 17. Marcos y Estándares de la Industria (cont)  El marco de seguridad es esquema del conjunto de estrategias de seguridad de la información y la hoja de ruta para cambios previstos en la organización de entorno a la seguridad de la información.  Debido a que cada entorno de seguridad de información es único, un equipo de seguridad puede ser necesario para modificar o adaptar piezas de varios marcos
  • 18. ISO 27000  Una de las reglas de seguridad más ampliamente referenciada en modelos de la tecnología de la información - llamada Código de Prácticas para la gestión de seguridad, originalmente publicado como Norma Británica 7799  Se adoptó este Código de Prácticas como norma internacional ISO / IEC 17799 en el año 2000 y pasa a ser la norma ISO / IEC 27002 en 2007  El propósito declarado de la norma ISO / IEC 27002 es "dar recomendaciones para la seguridad de la información para su uso por aquellos que son responsables de iniciar, implementar o mantener la seguridad en la organización "
  • 19. Modelos NIST de Seguridad  Otro enfoque disponible se describe en documentos disponibles en csrc.nist.gov: - SP 800-12: Una introducción a la seguridad informática: El Manual NIST - SP 800-14: Principios de seguridad generalmente aceptados y prácticas para garantizar Tecnología de la Información Sistemas - SP 800-18 Rev 1: La Guía para el desarrollo de Planes de Seguridad de los Sistemas de Información Federales - 800-26 SP: Manual de seguridad de autoevaluación para Sistemas de Tecnología de la Información - SP 800-30: Gestión de Riesgos de la Información y Sistemas de Tecnología
  • 20. Arquitectura de Seguridad IETF  Mientras se promueve ninguna arquitectura específica a través del Internet Engineering Task Force, El Grupo de Trabajo del Área de Seguridad actúa como asesor de pensión para los protocolos y las áreas desarrolladas y promovidas a través del Internet Society  RFC 2196: Site Security Handbook proporciona una visión general de cinco áreas básicas de seguridad con discusiones detalladas sobre el desarrollo e implementación.  Los capítulos sobre temas tan importantes como la seguridad, políticas, arquitectura de seguridad técnica, la seguridad servicios y gestión de incidentes de seguridad
  • 21. Benchmarking y Mejores Prácticas  La evaluación comparativa y las mejores prácticas son métodos fiables utilizados por algunas organizaciones para evaluar prácticas de seguridad.  Es posible obtener información mediante la evaluación comparativa y el uso de las mejores prácticas y por lo tanto función hacia atrás para el diseño eficaz.  La Agencia Federal de Prácticas de Seguridad del Sitio (fasp.nist.gov) proporciona las mejores prácticas para los organismos públicos y se adapta fácilmente a las organizaciones privadas
  • 22. Esferas de Seguridad
  • 23. Diseño de la arquitectura de seguridad  Defensa en profundidad - Uno de los fundamentos de las arquitecturas de seguridad es el requisito para implementar la seguridad en capas - Requiere que la organización establezca suficientes controles de seguridad y las garantías por lo que un intruso se enfrenta a múltiples capas de controles  Perímetro de Seguridad - Punto en el que la seguridad de una organización decide dar protección terminal y comienza el mundo exterior - Por desgracia, el perímetro no se aplica a ataques internos frente a las amenazas de los empleados o en el lugar amenazas físicas
  • 24. Educación Seguridad, Capacitación y conciencia  Las políticas ponen en práctica la formación en seguridad, capacitación y sensibilización.  SETA es la medida de control diseñado para reducir las brechas de seguridad accidentales.  Suplemento de educación general y la formación de programas para educar al personal sobre la información seguridad  Educación se basa en conocimiento general que los empleados deben poseer para hacer su trabajo, familiarizarlos con la manera de hacer su trabajo de forma segura
  • 25. Elementos SETA  Programa ¨ SETA consta de tres elementos: - La educación de seguridad - La formación en seguridad - Conciencia de Seguridad  La organización puede que no sea capaz o dispuesta a realizar todos los elementos, pero puede subcontratar  La finalidad de SETA es mejorar la seguridad a través de: - Mejorar la conciencia de la necesidad de proteger los recursos del sistema - El desarrollo de habilidades y conocimientos para el uso de las computadoras, los usuarios pueden realizar su trabajo de forma más segura - Construcción de un conocimiento profundo, como sea necesario, para diseñar, implementar y operar los programas de seguridad
  • 26. Educación de Seguridad  Todos en una organización necesitan ser entrenados y ser conscientes de la seguridad de la información, pero no todos los miembro de la organización necesitan un oficial, título o certificado en seguridad de la información  Para la educación formal adecuada se necesitan individuos aptos en seguridad, un empleado puede identificar un currículo proveniente de fuentes municipales e instituciones de educación superior o continuar educación  Varias universidades tienen formales cursos en seguridad de la información
  • 27. Entrenamiento de Seguridad  Involucra proporcionar a los miembros de la organización con información detallada y práctica en la instrucción diseñada para prepararlos para llevar a cabo sus funciones de manera segura.  Seguridad de la información puede gestionar entrenamiento personalizado desarrollado en la empresa o externalizar el programa de formación
  • 28. Conciencia de la Seguridad  Una de las cosas implementada con menos frecuencia.  Diseñado para mantener la seguridad de información en vanguardia de las mentes de los usuarios  No tiene que ser complicado o costoso  Si el programa no se ha implementado de forma activa, los empleados comienzan a 'desconectarse', y el riesgo de accidentes y fallas de los empleados aumenta
  • 29. Estrategias de Continuidad  Los gerentes deben proporcionar una planificación estratégica para asegurar que los sistemas de información continúen la disponibilidad cuando se produzcan ataques  Planes - para los eventos de este tipo se denominan en una número de maneras: - Los planes de continuidad del negocio (BCP) - Los planes de recuperación de desastres (PRM) - Los planes de respuesta a Incidentes (IRP) - Planes de contingencia  Las grandes organizaciones pueden tener muchos tipos de planes y las pequeñas organizaciones pueden tener un plan simple, pero la mayoría tienen una planificación inadecuada
  • 30. Planes de Contingencia  Planificación de Contingencia (CP): - Planificación de la respuesta de Incidentes (IRP) - La planificación de recuperación de desastres (DRP) - Planificación de la continuidad (BCP)  Funciones principales de estos tres tipos: - IRP se centra en la respuesta inmediata, pero si el ataque se intensifica o es desastrosa, los cambios en el proceso son para la recuperación de desastres y el BCP - El DRP generalmente se centra en las operaciones de restauración de el sitio principal después de los desastres que ocurren, y, como tal, está estrechamente relacionada con el BCP - BCP se produce simultáneamente con DRP cuando un daño es mayor o largo plazo, lo que requiere establecimiento de operaciones en el sitio alternativo
  • 31. Equipo de Planificación de Contingencia  Antes de que comience la planificación, un equipo tiene que planificar el esfuerzo y la preparación de los documentos resultantes  Campeón : gerente de alto nivel para apoyar, promover y apoyar los hallazgos del proyecto  El director del proyecto: lidera el proyecto y se asegura de que un proceso de planificación de proyectos se utiliza, un plan completo y proyecto se desarrolla, los recursos del proyecto se gestionan con prudencia  Los miembros del equipo: deben ser gerentes o su representantes de diversas comunidades de interés (negocios, TI y seguridad de la información)
  • 32. Business Impact Analysis  Comienza con el análisis de impacto en el negocio (BIA) - Si el ataque tiene éxito, ¿qué hacemos entonces?  Equipo CP conduce BIA en las siguientes etapas: - La identificación de amenazas de ataque - Análisis de la unidad de negocios - Ataque de escenarios de éxito - Evaluación de Daños potenciales - Clasificación del plan subordinado
  • 33. Amenaza Ataque Identificación y Priorización  Actualizar la lista de amenaza con los últimos desarrollos y agregar el perfil de ataque  Perfil de Ataque es la descripción detallada de actividades durante un ataque  Deben ser desarrollados para cada amenaza  Se utiliza para determinar la extensión del daño que podría dar lugar a la unidad de negocios si el ataque fuera exitoso
  • 34. Análisis de la Unidad de Negocios  Segunda tarea importante dentro de la BIA es el análisis y priorización de las funciones de la empresa dentro de la organización.  Identificar las áreas funcionales de la organización y dar prioridad a ellos como a los que son más vital  Enfoque en la lista de prioridades de las diversas funciones que la organización realiza
  • 35. Escenarios de Ataque en desarrollo  A continuación, cree una serie de escenarios que representan el impacto de un ataque con éxito de cada amenaza que podría tener en cada área funcional priorizado con: - Los detalles sobre el método de ataque - Indicadores de ataque - Consecuencias generales  Ataque - detalles de escenarios de éxito se añaden a perfil de ataque, incluyendo el mejor, el peor, y más posibles resultados
  • 36. Evaluación de Potencial de daño  Desde el éxito de ataque desarrollado previamente escenarios, el equipo de planificación de la BIA debe estimar costo de los mejores, peores y más probables casos  Costos - incluyen acciones de equipo de respuesta  Este resultado final se conoce como un ataque caso extremo
  • 37. Clasificación basado en un plan subordinado  Una vez que el daño potencial ha sido evaluado, un plan de subordinación debe ser desarrollado e identificado  Los planes subordinados tendrán en cuenta identificación de reacción a, y la recuperación de cada supuesto de un ataque .  Cada caso extremo escenario de ataque se clasifica como desastroso o no.  Diferencia - si existe o no una organización es capaz de tomar medidas eficaces durante el evento de lucha contra el efecto de la ataque
  • 38. Planificación de Respuesta a Incidentes  Planificación de la respuesta - abarca la identificación de la clasificación de y la respuesta a un incidente.  Un incidente es el ataque contra un activo de información que plantea una amenaza clara a la confidencialidad, integridad o disponibilidad de recursos de información.  Los ataques sólo están clasificados como incidentes si tienen las siguientes características: - Se dirigen contra los activos de información - Tener una oportunidad realista de éxito - ¿Podría poner en peligro la confidencialidad, la integridad o la disponibilidad de recursos de información ?  Un IR(Respuesta a incidente en ingles) es más reactivo que proactivo, con excepción de la planificación y la preparación de equipos IR
  • 39. Planificación de Incidentes  Las respuestas predefinidas permiten a la organización reaccionar con rapidez y eficacia a los incidentes detectados.  Esto supone que la organización cuenta con un equipo de RI (respuesta de incidentes) y puede detectar el incidente  Un equipo IR consiste en aquellas personas necesarias para manejar los sistemas cuando un problema se produce.  Una RI consta de los siguientes cuatro fases: - Planificación - Detección - Reacción - Recuperación
  • 40. Incidentes o Desastres  ?Cuándo un incidente convertirse en un desastre? - La organización no es capaz de mitigar el impacto de un incidente durante el incidente - El nivel de daño o destrucción es tan grave que la organización no es capaz de recuperarse rápidamente  La diferencia puede ser sutil  La organización debe decidir qué incidentes se clasifican como desastres y por lo tanto tener el nivel apropiado de respuesta
  • 41. La planificación de recuperación de desastres  La planificación de recuperación de desastres (DRP) es la planificación, la preparación y la recuperación de un desastre.  El equipo de planificación de contingencia debe decidir qué acciones constituyen los desastres y que constituyen incidentes  Cuando las situaciones se clasifican como desastres, debe haber un cambio de planes sobre la manera de responder, tomar acción para asegurar la mayoría de los activos de valor del sistema para preservar el valor para el largo plazo, incluso en el riesgo de más interrupciones en el plazo inmediato
  • 42. Pasos de el DRP  Debe haber un establecimiento claro de las prioridades  Debe haber una clara delegación de funciones y responsabilidades.  Alguien debe iniciar la lista de alerta y notificar al personal clave  Alguien debe estar encargado de la documentación de la catástrofe  Si, y sólo si es posible, algunos intentos deben hacerse para mitigar el impacto de la catástrofe sobre las operaciones de la organización
  • 43. Gestión de Crisis  La gestión de la crisis se produce durante y después de un desastre y se centra en las personas involucradas y abordan la viabilidad de la empresa  El equipo de gestión de crisis se encarga de la gestión de eventos, desde la perspectiva de la empresa a través de: - Apoyo a las familias durante la crisis - La determinación de impacto en las operaciones de negocio y si es necesario, la declaración de desastre por lo que debe - Mantenerse informado el pública - Mantener la comunicación con los principales clientes, proveedores, socios, agencias reguladoras, la industria organizaciones, medios de comunicación, otras partes interesadas
  • 44. Plan de Continuidad del Negocio  Los esquemas de planificación de continuidad del negocio deben dar restablecimiento de las operaciones críticas del negocio durante un desastre que las operaciones de los impactos.  Si el desastre ha hecho que la empresa no sea utilizable para la continuidad de las operaciones, debe haber un plan de para permitir que el negocio siga funcionando.  Un BCP (plan de continuidad de negocio en ingles) es algo más simple que un IRP o DRP  Consiste principalmente en la selección de la continuidad estrategica y la integración del almacenamiento de datos fuera del sitio y funciones de recuperación en esta estrategia
  • 45. Resumen  Para tener redes seguras con eficacia, una organización debe establecer y tener bien diseñado un programa de seguridad de la información.  La creación del programa de seguridad de la información requiere políticas de seguridad de la información, estándares y prácticas, una arquitectura de seguridad de la información; y un detallado plan de seguridad de información.  Debe hacerse una política para toda planificación de la seguridad de la información, diseño, y despliegue con el fin de dirigir cómo los temas son destinatarios y cómo se utilizan las tecnologías
  • 46. Resumen (continuación)  Una política nunca debe entrar en conflicto con las leyes, pero debería dar pie en el tribunal en caso de impugnación.  Para ser eficaz y legalmente exigible, la política debe ser difundida, revisada, entendida, cumplida y aplicada de manera uniforme.  Un equipo identifica la seguridad de la información susvulnerabilidades y luego desarrolla la seguridad modelo que se utiliza para implementar la seguridad programa
  • 47. Resumen (continuación)  El marco de la seguridad es el esquema de pasos a seguir para diseñar e implementar la seguridad de la información.  El (SETA) tiene como finalidad la educación de seguridad, capacitación y conciencia, mejorar el conocimiento de la necesidad de proteger el sistema sus recursos y usuarios, para realizar trabajos de forma más segura, y la construcción de conocimiento para diseñar, implementar, operar la seguridad de los programas
  • 48. Resumen (continuación)  TI y sus gerentes deben asegurar que la InfoSec tenga la disponibilidad continua de los sistemas de información  Se consigue con diversos planes de contingencia: respuesta a incidentes (IR), la recuperación de desastres (DR), continuidad de negocio (BC)  Los IR identifican direcciones del plan, la clasificación, respuesta y recuperación de incidentes  El plan de DR aborda la preparación y la recuperación del desastre  El plan de BC asegura que las funciones críticas del negocio continuar si se produce un evento catastrófico

Related Documents