políticas de seguridad- ejemplo
TRANSCRIPT
-
7/23/2019 Polticas de Seguridad- Ejemplo
1/10
Polticas de Seguridad
Universidad Tecnolgica del Sur de Sonora
Jos Manuel Acosta Rendn
Marzo 2010
-
7/23/2019 Polticas de Seguridad- Ejemplo
2/10
Qu son las polticas de seguridadinformtica (PSI)?
Una poltica de seguridad informtica es una forma de comunicarse con losusuarios y los gerentes. Las PSI establecen el canal formal de actuacin delpersonal, en relacin con los recursos y servicios informticos, importantes de laorganizacin.
No se trata de una descripcin tcnica de mecanismos de seguridad, ni de una expresinlegal que involucre sanciones a conductas de los empleados. Es ms bien unadescripcin de los que deseamos proteger y el por qu de ello.
Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos yservicios informticos crticos de la compaa.
Es un conjunto de requisitos definidos por los responsables de un sistema, queindica en trminos generales que est y que no est permitido en el rea de
seguridad durante la operacin general del sistema.
Una declaracin de intenciones de alto nivel que cubre la seguridadde los sistemas informticos y que proporciona las bases paradefinir y delimitar responsabilidades para las diversas actuacionestcnicas y organizativas que se requerirn.
-
7/23/2019 Polticas de Seguridad- Ejemplo
3/10
Qu son las polticas de seguridadinformtica (PSI)?
La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, donde sedefinen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...)una poltica de seguridad es una forma de comunicarse con los usuarios... Siempre hayque tener en cuenta que la seguridad comienza y termina con personas.y debe:
Ser holstica (cubrir todos los aspectos relacionados con la misma). No tiene sentidoproteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
Adecuarse a las necesidades y recursos.No tiene sentido adquirir una caja fuerte paraproteger un lpiz.
Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia yeficiencia.
Definir estrategias y criterios generales a adoptar en distintas funciones y actividades,donde se conocen las alternativas ante circunstancias repetidas.
Cualquier poltica de seguridad ha de contemplar los elementos claves de seguridad yamencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control,Autenticidad y Utilidad.
-
7/23/2019 Polticas de Seguridad- Ejemplo
4/10
Elementos de una poltica de seguridadinformtica
Como mencionbamos en el apartado anterior, una PSI debe orientar las decisiones quese toman en relacin con la seguridad. Por tanto, requiere de una disposicin por parte decada uno de los miembros de la empresa para lograr una visin conjunta de lo que seconsidera importante.
Las PSI deben considerar entre otros, los siguientes elementos:
Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cualaplica. Es una invitacin de la organizacin a cada uno de sus miembros a reconocer lainformacin como uno de sus principales activos as como, un motor de intercambio ydesarrollo en el mbito de sus negocios. Invitacin que debe concluir en una posicin.
Objetivos de la poltica y descripcin clarade los elementos involucrados en sudefinicin.
Responsabilidadespor cada uno de los servicios y recursos informticos a todos losniveles de la organizacin.
-
7/23/2019 Polticas de Seguridad- Ejemplo
5/10
Elementos de una poltica de seguridadinformtica
- Requerimientos mnimos para configuracin de la seguridad de los sistemas quecobija el alcance de la poltica.
Definicin de violacionesy de las consecuencias del no cumplimiento de la poltica.
Responsabilidadesde los usuarios con respecto a la informacin a la que ella tieneacceso.
Las PSI deben ofrecer explicaciones comprensibles acerca de por qu deben tomarseciertas decisiones, transmitir por qu son importantes estos u otros recursos o servicios.
-
7/23/2019 Polticas de Seguridad- Ejemplo
6/10
Algunos parmetros para establecerpolticas de seguridad
Si bien las caractersticas de la PSI que hemos mencionado hasta el momento, nosmuestran una perspectiva de las implicaciones en la formulacin de estas directrices,revisaremos a continuacin, algunos aspectos generales recomendados para laformulacin de las mismas.
Considere efectuar un ejercicio deanlisis de riesgos informtico, a travs del cualvalore sus activos, el cual le permitir afinar las PSI de su organizacin.
Involucre a las reas propietarias de los recursos o servicios, pues ellos poseen laexperiencia y son fuente principal para establecer el alcance y las definiciones deviolaciones a la PSI.
Comuniquea todo el personal involucrado en el desarrollo de las PSI, los beneficios yriesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
-
7/23/2019 Polticas de Seguridad- Ejemplo
7/10
Algunos parmetros para establecerpolticas de seguridad
Recuerde que es necesarioidentificar quin tiene la autoridadpara tomar decisiones,pues son ellos los responsables de salvaguardar los activos crticos de la funcionalidad desu rea u organizacin.
Desarrolle unproceso de monitoreo peridico de las directrices en el hacer de laorganizacin, que permita una actualizacin oportuna de las mismas.
Un ltimo consejo: no d por hecho algo que es obvio. Haga explcito y concreto losalcances y propuestas de seguridad, con el propsito de evitar sorpresas y malosentendidos en el momento de establecer los mecanismos de seguridad que respondan alas PSI trazadas.
-
7/23/2019 Polticas de Seguridad- Ejemplo
8/10
Proposicin de una forma de realizar el anlisispara llevar a cabo un sistema de seguridadinformtica
-
7/23/2019 Polticas de Seguridad- Ejemplo
9/10
Dudas ?
-
7/23/2019 Polticas de Seguridad- Ejemplo
10/10
Gracias
Jos Manuel Acosta R.Septiembre 2010