Políticas de seguridad informática
Tácticas para hacerlas efectivas.
Leonardo Huertas Calle
Asesor en Tecn...
Elaborar la política de seguridad en la
empresa es una cosa, implementarla es
algo completamente distinto.
...
Agenda
No hablaremos de .....
 Historia del Riesgo (Algunos ejemplos)
 Riesgos a tener en cuenta
 Por qué?, para qué ...
No hablaremos de .....
• ISO 2700X
• ISO 17799
• BS 7799
• ISO 9001
• COBIT
• COSO
• ITIL
• Etc…
...
Ninguna empresa puede
consolidarse si su sistema
de seguridad no evoluciona
en razón de la dinámica de
los riesgos de su e...
Agenda
 No hablaremos de .....
Historia del Riesgo (Algunos ejemplos)
 Riesgos a tener en cuenta
 Por qué?, para qué...
Historia del Riesgo
 Crimen
...
Agenda
 No hablaremos de .....
 Historia del Riesgo (Algunos ejemplos)
Riesgos a tener en cuenta
 Por qué?, para qué...
Riesgos a tener en cuenta
Riesgos externos Riesgos internos
 Origen natural ...
Agenda
 No hablaremos de .....
 Historia del Riesgo (Algunos ejemplos)
 Riesgos a tener en cuenta
Por qué?, para qué...
Por qué?, para qué de las políticas de seguridad?
Ing. Leonardo Huertas Call...
Agenda
 No hablaremos de .....
 Historia del Riesgo (Algunos ejemplos)
 Riesgos a tener en cuenta
 Por qué?, ...
Qué es seguridad?
Es la suma de recursos y acciones orientadas a la prevención y
tratamiento de riesgos que afecten a las ...
Agenda
 No hablaremos de .....
 Historia del Riesgo (Algunos ejemplos)
 Riesgos a tener en cuenta
 Por qué?, ...
Ubicación de la política de seguridad
• Visión estratégica de la seguridad de
la Empresa
• Misión de la seguridad de la...
Agenda
 No hablaremos de .....
 Historia del Riesgo (Algunos ejemplos)
 Riesgos a tener en cuenta
 Por qué?, ...
“ … Es frecuente que las personas involucradas con
seguridad informática tengan una visión estrecha de lo que
significa de...
Qué son las Políticas de Seguridad?
Son las reglas y procedimientos que regulan
la forma en que una organización mitiga ...
Agenda
 No hablaremos de .....
 Historia del Riesgo (Algunos ejemplos)
 Riesgos a tener en cuenta
 Por qué?, ...
Parámetros para Establecer Políticas de Seguridad
• Es importante que al momento de formular las políticas de seguridad...
Parámetros para Establecer Políticas de Seguridad
– Identificar quién tiene la autoridad para tomar decisiones en
cada d...
Parámetros para Establecer Políticas de Seguridad
Etapas en el desarrollo de una política
Guía para elabora...
Agenda
 No hablaremos de .....
 Historia del Riesgo (Algunos ejemplos)
 Riesgos a tener en cuenta
 Por qué?, p...
Recomendaciones Para la Implementación de
Políticas de Seguridad
• Informar al mayor nivel de detalle a los us...
Recomendaciones Para la Implementación de
Políticas de Seguridad
• Incluir principalmente los siguientes el...
Recomendaciones Para la Implementación de
Políticas de Seguridad
• Incluir principalmente los siguientes el...
Recomendaciones Para la Implementación de
Políticas de Seguridad
• Importante:
– Deben redactarse en un le...
Agenda
 No hablaremos de .....
 Historia del Riesgo (Algunos ejemplos)
 Riesgos a tener en cuenta
 Por qué?, ...
Conclusiones
• Desarrolle una estrategia bien definida que incluya la participación de
los accionistas.
• Desarro...
¿Preguntas?
Leonardo Huertas Calle
samuraiblanco@gmail.com
of 30

Politicas Seguridad Leonardo Huertas

Recopilación de conceptos y mejores recomendaciones a la hora de diseñar e implementar políticas de seguridad.Presentación que forma parte de la charla dada por SamuraiBlanco en Bogotá - Colombia en el evento de Seguridad realizado por ChannelPlanet.
Published on: Mar 4, 2016
Published in: Technology      
Source: www.slideshare.net


Transcripts - Politicas Seguridad Leonardo Huertas

  • 1. Políticas de seguridad informática Tácticas para hacerlas efectivas. Leonardo Huertas Calle Asesor en Tecnología y Seguridad Ministerio de Defensa Nacional
  • 2. Elaborar la política de seguridad en la empresa es una cosa, implementarla es algo completamente distinto. Charles Cressonwood Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 3. Agenda No hablaremos de .....  Historia del Riesgo (Algunos ejemplos)  Riesgos a tener en cuenta  Por qué?, para qué de las políticas de seguridad?  Qué es seguridad?  Ubicación de la política de seguridad  Qué son las Políticas de Seguridad?  Parámetros para Establecer Políticas de Seguridad  Recomendaciones Para la Implementación de Políticas de Seguridad  Conclusiones Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 4. No hablaremos de ..... • ISO 2700X • ISO 17799 • BS 7799 • ISO 9001 • COBIT • COSO • ITIL • Etc… Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 5. Ninguna empresa puede consolidarse si su sistema de seguridad no evoluciona en razón de la dinámica de los riesgos de su entorno. Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 6. Agenda  No hablaremos de ..... Historia del Riesgo (Algunos ejemplos)  Riesgos a tener en cuenta  Por qué?, para qué de las políticas de seguridad?  Qué es seguridad?  Ubicación de la política de seguridad  Qué son las Políticas de Seguridad?  Parámetros para Establecer Políticas de Seguridad  Recomendaciones Para la Implementación de Políticas de Seguridad  Conclusiones Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 7. Historia del Riesgo  Crimen Globalizado +  Internet (Algunos ejemplos)  Terrorismo 2009 Inteligencia Catastrófico  Crimen Impacto a la Organización Organizado en Informática y 2000 Lógica Comunicaciones  Falsificaciones de tarjetas, títulos valores 1990 Procesos - sistemas  Virus, Gusanos, troyanos,… Severo  Etc…  Robos bancario 1980 Electrónica  Etc…  Robos Delicado  Falsificación  Etc… 1970 Física Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 8. Agenda  No hablaremos de .....  Historia del Riesgo (Algunos ejemplos) Riesgos a tener en cuenta  Por qué?, para qué de las políticas de seguridad?  Qué es seguridad?  Ubicación de la política de seguridad  Qué son las Políticas de Seguridad?  Parámetros para Establecer Políticas de Seguridad  Recomendaciones Para la Implementación de Políticas de Seguridad  Conclusiones Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 9. Riesgos a tener en cuenta Riesgos externos Riesgos internos  Origen natural  Origen tecnológico  Origen tecnológico  Origen humano  Origen humano Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 10. Agenda  No hablaremos de .....  Historia del Riesgo (Algunos ejemplos)  Riesgos a tener en cuenta Por qué?, para qué de las políticas de seguridad?  Qué es seguridad?  Ubicación de la política de seguridad  Qué son las Políticas de Seguridad?  Parámetros para Establecer Políticas de Seguridad  Recomendaciones Para la Implementación de Políticas de Seguridad  Conclusiones Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 11. Por qué?, para qué de las políticas de seguridad? Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 12. Agenda  No hablaremos de .....  Historia del Riesgo (Algunos ejemplos)  Riesgos a tener en cuenta  Por qué?, para qué de las políticas de seguridad? Qué es seguridad?  Ubicación de la política de seguridad  Qué son las Políticas de Seguridad?  Parámetros para Establecer Políticas de Seguridad  Recomendaciones Para la Implementación de Políticas de Seguridad  Conclusiones Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 13. Qué es seguridad? Es la suma de recursos y acciones orientadas a la prevención y tratamiento de riesgos que afecten a las personas, procesos, activos y a la empresa en su quehacer integral.
  • 14. Agenda  No hablaremos de .....  Historia del Riesgo (Algunos ejemplos)  Riesgos a tener en cuenta  Por qué?, para qué de las políticas de seguridad?  Qué es seguridad? Ubicación de la política de seguridad  Qué son las Políticas de Seguridad?  Parámetros para Establecer Políticas de Seguridad  Recomendaciones Para la Implementación de Políticas de Seguridad  Conclusiones Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 15. Ubicación de la política de seguridad • Visión estratégica de la seguridad de la Empresa • Misión de la seguridad de la Empresa • Política de seguridad de la Empresa • Organización y funciones del área de seguridad • Evaluación de riesgos • Proceso de la Administración de la Seguridad • Mantenimiento y control de la seguridad • Plan de contingencia del negocio Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 16. Agenda  No hablaremos de .....  Historia del Riesgo (Algunos ejemplos)  Riesgos a tener en cuenta  Por qué?, para qué de las políticas de seguridad?  Qué es seguridad?  Ubicación de la política de seguridad Qué son las Políticas de Seguridad?  Parámetros para Establecer Políticas de Seguridad  Recomendaciones Para la Implementación de Políticas de Seguridad  Conclusiones Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 17. “ … Es frecuente que las personas involucradas con seguridad informática tengan una visión estrecha de lo que significa desarrollar las políticas de seguridad, pues no basta con escribirlas y pretender ponerlas en práctica. En ocasiones se incluye la asignación de responsables, se realizan actividades para dar a conocerlas y, quizá, se supervise su cumplimiento; pero esto tampoco basta. Muchas políticas de seguridad informática fallan ya que se desconoce lo que implica realmente desarrollarlas…” Guía para elaboración de políticas de seguridad -2003 Universidad Nacional de Colombia Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 18. Qué son las Políticas de Seguridad? Son las reglas y procedimientos que regulan la forma en que una organización mitiga los riesgos. Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 19. Agenda  No hablaremos de .....  Historia del Riesgo (Algunos ejemplos)  Riesgos a tener en cuenta  Por qué?, para qué de las políticas de seguridad?  Qué es seguridad?  Ubicación de la política de seguridad  Qué son las Políticas de Seguridad? Parámetros para Establecer Políticas de Seguridad  Recomendaciones Para la Implementación de Políticas de Seguridad  Conclusiones Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 20. Parámetros para Establecer Políticas de Seguridad • Es importante que al momento de formular las políticas de seguridad, se consideren por lo menos los siguientes aspectos: – Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa. – Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas. – Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 21. Parámetros para Establecer Políticas de Seguridad – Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área. – Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente. – Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas. Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 22. Parámetros para Establecer Políticas de Seguridad Etapas en el desarrollo de una política Guía para elaboración de políticas de seguridad -2003 Universidad Nacional de Colombia
  • 23. Agenda  No hablaremos de .....  Historia del Riesgo (Algunos ejemplos)  Riesgos a tener en cuenta  Por qué?, para qué de las políticas de seguridad?  Qué es seguridad?  Ubicación de la política de seguridad  Qué son las Políticas de Seguridad?  Parámetros para Establecer Políticas de Seguridad Recomendaciones Para la Implementación de Políticas de Seguridad  Conclusiones Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 24. Recomendaciones Para la Implementación de Políticas de Seguridad • Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las normas y mecanismos que deben cumplir y utilizar para proteger los activos de la organización. • Brindar explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. • Establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 25. Recomendaciones Para la Implementación de Políticas de Seguridad • Incluir principalmente los siguientes elementos: – Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. – Objetivos de la política y descripción clara de los elementos involucrados en su definición. – Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 26. Recomendaciones Para la Implementación de Políticas de Seguridad • Incluir principalmente los siguientes elementos: – Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política. – Definición de violaciones y sanciones por no cumplir con las políticas. – Responsabilidades de los usuarios con respecto a la información a la que tiene acceso. Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 27. Recomendaciones Para la Implementación de Políticas de Seguridad • Importante: – Deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, sin sacrificar su precisión. – Deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios, etc. Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 28. Agenda  No hablaremos de .....  Historia del Riesgo (Algunos ejemplos)  Riesgos a tener en cuenta  Por qué?, para qué de las políticas de seguridad?  Qué es seguridad?  Ubicación de la política de seguridad  Qué son las Políticas de Seguridad?  Parámetros para Establecer Políticas de Seguridad  Recomendaciones Para la Implementación de Políticas de Seguridad Conclusiones Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 29. Conclusiones • Desarrolle una estrategia bien definida que incluya la participación de los accionistas. • Desarrolle el marco apropiado para administrar seguridad, a través de políticas, procedimientos, programas y listas de verificación. • Enfatice la capacitación y la comunicación. • La política de seguridad no puede permanecer estática, debe evolucionar con el tiempo (adaptarse a la tecnología y los procesos). • La política de seguridad de la organización debe partir de una visión estratégica y gestionarse bajo un enfoque de protección integral e integrada a los macroprocesos del negocio. Ing. Leonardo Huertas Calle samuraiblanco@gmail.com
  • 30. ¿Preguntas? Leonardo Huertas Calle samuraiblanco@gmail.com

Related Documents