Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad de La Informacion1
Seguridad de La Informacion1
INFORMACION
Polticas de seguridad
Yessica Gmez G.
Estrategia de
negocio
Funciones y procesos de
negocio
ACTIVIDADES DE LA EMPRESA
Diseo y ejecucin de
acciones para conseguir
objetivo
Planificacin de
Objetivos
Sistemas de
Informacin
Registro de
transacciones
Entorno
Transacciones
ORGANIZACION
CULTURA de la seguridad ,
responsabilidad de TODOS
ACTITUD proactiva,
Investigacin permanente
Identificacin de Riesgos
Riesgo: La posibilidad de que una
Propietarios
Quieren minimizar
definen
Salvaguardas
Pueden tener
conciencia de
Amenaza
s
Que pueden
tener
explotan
RECURSOS
Reducen
Vulnerabili
dades
RIESGO
RIESGO
Permiten o
facilitan
Dao
Principales problemas:
No se entienden o no se cuantifican las amenazas
Estndares de Seguridad
Normas Internacionales de seguridad
Proporcionan un conjunto de buenas prcticas en gestin
de seguridad de la informacin:
Ejemplos ISO/IEC 17799,COBIT,ISO 15408
Se ha homologado a la realidad Chilena NCh2777 la
Qu es una Poltica?
Conjunto de orientaciones o directrices que
Qu es una Poltica de
Seguridad?
especficas.
Debe abarcar toda la organizacin
Debe ser clara y evitar confuciones
No debe generar nuevos problemas
Debe permitir clasificar la informacin en
confidencial, uso interno o pblica.
Debe identificar claramente funciones especficas
de los empleados como : responsables, custodio o
usuario , que permitan proteger la informacin.
Polticas Especficas
Definen en detalle aspectos especficos que regulan el
Procedimiento
Define los pasos para realizar una actividad
Evita que se aplique criterio personal.
Ejemplo:
Procedimiento de Alta de Usuarios:
1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al
Adminsitrador de Privilegios una solicitud formal de creacin de cuenta,
identificando claramente los sistemas a los cuales tendr accesos y tipos de
privilegios.
2.-El Administrador de privilegios debe validar que la solicitud formal recibida
indique: fecha de ingreso,perfil del usuario, nombre , rut, seccin o unidad a la
que pertenece.
3.- El Administrador de privilegios crear la cuenta del usuario a travs del
Sistema de Administracin de privilegios y asignar una clave inicial para que
el usuario acceda inicialmente.
4.- El Administrados de privilegios formalizar la creacin de la cuenta al
usuario e instruir sobre su uso.
Estndar
En muchos casos depende de la tecnologa
Se debe actualizar peridicamente
Ejemplo:
Estndar de Instalacin de PC:
Tipo de mquina:
Para plataforma de Caja debe utilizarse mquinas Lanix
Para otras plataformas debe utilizarse mquinas Compaq o HP.
Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB
Registro:
Cada mquina instalada debe ser registrada en catastro computacional
identificando los nmeros de serie de componente y llenar formulario de
traslado de activo fijo
Condiciones electricas:
Todo equipo computacional debe conectarse a la red electrica computacional
y estar provisto de enchufes MAGIC
afectadas
Definiciones: aclarar terminos utilizados
Responsabilidades: Qu debe y no debe hacer cada
persona
Revisin: cmo ser monitoreado el cumplimiento
Aplicabilidad: En qu casos ser aplicable
Referencias: documentos complementarios
Sanciones e incentivos
Enfoque
Metodolgico
Polticas de seguridad y
Controles
Ejemplo:Modelo Seguridad
Informtica (MSI) a partir de
polticas de seguridad de la
Gestin IT
Objetivo: contar con procedimientos
Operaciones IT
Objetivo: Contar conprocedimientos formales para
Administracin Cintoteca:
Rotulacin
Custodia
Requerimientos, rotacin y caduciddad de cintas.
Seguridad de Networking:
Definicin de ambientes
Definicin de datos de prueba
Adminsitracin de versiones de sistema de aplicaciones
Programas fuentes
Programas ejecutables
Compilacin de programas
Testing:
Responsables y encargados de pruebas
Pruebas de funcionalidad
Pruebas de integridad
Instalacin de aplicaciones
Asignacin de responsabilidades de harware y software para
usuarios
Caducidad de password
Definicin de tipo y largo de password
Password de red , sistemas
Password protectores de pantalla, arranque PC
Fechas y tiempos de caducidad de usuarios
Conclusiones
La Informacin es uno de los activos mas valiosos
de la organizacin
Las Polticas de seguridad permiten disminuir los
riesgos
Las polticas de seguridad no abordan slo aspectos
tecnolgicos
El compromiso e involucramiento de todos es la
premisa bsica para que sea real.
La seguridad es una inversin y no un gasto.
No existe nada 100% seguro
Exige evaluacin permanente.