Está en la página 1de 7

INSTITUTO SUPERIOR PEDAGGICO 13 DE JULIO

ESPECIALIDAD : COMPUTACIN I

CURSO

: SEGURIDAD

INFORMATICA

TEMA

: POLTICAS DE SEGURIODAD

PROFESOR

: ROLANDO CARO DAMIAN

ALUMNA

: CHAVARRI CHILON CELINDA

CIUDAD

: SAN PABLO

2013

DEDICATORIA Este Trabajo Especial de Grado se lo dedico principalmente a: Dios por haberme permitido llegar hasta este punto de mi vida y haberme dado Salud, Fuerza y Conocimientos para lograr mis objetivos

POLTICA DE SEGURIDAD Dirigir y dar soporte a la gestin de la seguridad de la informacin. La alta direccin debe definir una poltica que refleje las lneas directrices de la organizacin en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la informacin. La poltica se constituye en la base de todo el sistema de seguridad de la informacin. La alta direccin debe apoyar visiblemente la seguridad de la informacin en la compaa. EJEMPLO DECLARACIN DE POLTICA DE SEGURIDAD OPERACIONAL La seguridad operacional es una de nuestras funciones empresariales bsicas. Estamos comprometidos a elaborar, implantar, mantener y mejorar constantemente estrategias y procesos para asegurar que todas nuestras actividades de aviacin tienen lugar en el marco de una asignacin equilibrada de recursos de la organizacin, dirigidos a lograr el nivel ms elevado de eficacia de la seguridad operacional y a satisfacer las normas nacionales e internacionales en la prestacin de nuestros servicios. Todos los niveles de administracin y todos los empleados son responsables del logro de este nivel ms elevado de eficacia de la seguridad, comenzando con el [Director general/Gerente general o segn corresponda a la organizacin]. Nuestro compromiso es: Apoyar La gestin de la seguridad operacional med ante el suministro de todos los recursos apropiados, que resultar en una cultura de la organizacin que fomente las prcticas seguras, aliente a la efectiva notificacin y comunicacin de seguridad operacional y gestione activamente la seguridad con la misma atencin a los resultados que la atencin a los resultados de los otros sistemas de gestin de la organizacin; Hacer valer La gestin de la seguridad operacional como responsabilidad principal de todos los administradores y empleados; Definir claramente Para todo el personal, administradores y empleados por igual, sus lneas de rendicin de cuentas y responsabilidades para el logro de la eficacia de la seguridad operacional de la organizacin y la eficacia de nuestro sistema de gestin de la seguridad; Establecer y operar Procesos de identificacin de peligros y de gestin de riesgos, incluyendo un sistema de notificacin de peligros, para eliminar o mitigar los riesgos de seguridad operacional de las consecuencias de los peligros que resultan de nuestras operaciones o actividades al punto ms bajo como sea razonable en la prctica (ALARP); Asegurar que no se adoptar ninguna medida contra ningn empleado que revele un problema de seguridad operacional mediante el sistema de notificacin de peligros, a

menos que dicha revelacin indique, ms all de toda duda razonable, que se ha cometido un acto ilcito, una negligencia grave, o incumplimiento deliberado o voluntario de reglamentos o procedimientos; Cumplir Y, cuando sea posible, sobrepasar los requisitos y las normas legislativas y reglamentarias; Asegurar Que se dispone de recursos humanos con conocimientos e instruccin suficientes para poner en prctica las estrategias y procesos de seguridad operacional; Asegurar Que todos los miembros del personal poseen informacin e instruccin sobre seguridad operacional de la aviacin adecuada y apropiada, que son competentes en cuestiones de seguridad operacional y que solamente se les asignan tareas acordes con sus competencias; Establecer y medir Nuestra eficacia de la seguridad operacional con respecto a los indicadores de eficacia de seguridad operacional y objetivos de eficacia de la seguridad operacional realistas; Mejorar continuamente Nuestra eficacia de seguridad operacional mediante procesos de gestin que aseguren que se adoptan, y son eficaces, las medidas de seguridad pertinentes; Asegurar Que los sistemas y servicios suministrados del exterior para apoyar nuestras operaciones satisfacen nuestras normas de eficacia de la seguridad operacional ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin que son accedidos por terceros. Mantener la seguridad de la informacin cuando la responsabilidad de su tratamiento se ha externalizado a otra organizacin. Debe disearse una estructura organizativa dentro de la compaa que defina las Responsabilidades que en materia de seguridad tiene cada usuario o rea de trabajo relacionada con los sistemas de informacin de cualquier forma. Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente tcnicos. CLASIFICACIN Y CONTROL DE ACTIVOS Mantener una proteccin adecuada sobre los activos de la organizacin. Asegurar un nivel de proteccin adecuado a los activos de informacin. Debe definirse una clasificacin de los activos relacionados con los sistemas de informacin, manteniendo un inventario actualizado que registre estos datos, y

proporcionando a cada activo el nivel de proteccin adecuado a su criticidad en la organizacin. SEGURIDAD LIGADA AL PERSONAL Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el mbito de la seguridad de la informacin, y que estn preparados para sostener la poltica de seguridad de la organizacin en el curso normal de su trabajo. Minimizar los daos provocados por incidencias de seguridad y por el mal funcionamiento, controlndolos y aprendiendo de ellos SEGURIDAD LIGADA AL PERSONAL (II) Las implicaciones del factor humano en la seguridad de la informacin son muy elevadas. Todo el personal, tanto interno como externo a la organizacin, debe conocer tanto las lneas generales de la poltica de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. Diferentes relaciones con los sistemas de informacin: operador, administrador, guardia de seguridad, personal de servicios, etc. Procesos de notificacin de incidencias claros, giles y conocidos por todos SEGURIDAD FSICA Y DEL ENTORNO Evitar accesos no autorizados, daos e interferencias contra los locales y la informacin de la organizacin. Evitar prdidas, daos o comprometer los activos as como la interrupcin de las actividades de la organizacin. Prevenir las exposiciones a riesgo o robos de informacin y de recursos de tratamiento de informacin. Las reas de trabajo de la organizacin y sus activos deben ser cl asificadas y protegidas en funcin de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de ndole fsica (robo, inundacin, incendio...) GESTIN DE COMUNICACIONES Y OPERACIONES Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y la disponibilidad de los servicios de tratamiento de informacin y comunicacin. Asegurar la salvaguarda de la informacin en las redes y la proteccin de su infraestructura de apoyo. Evitar daos a los activos e interrupciones de actividades de la organizacin. Prevenir la prdida, modificacin o mal uso de la informacin intercambiada entre organizaciones. Se debe garantizar la seguridad de las comunicaciones y de la operacin de los sistemas crticos para el negocio. CONTROL DE ACCESOS Controlar los accesos a la informacin. Evitar accesos no autorizados a los sistemas de informacin.

Evitar el acceso de usuarios no autorizados. Proteccin de los servicios en red. Evitar accesos no autorizados a ordenadores. Evitar el acceso no autorizado a la informacin contenida en los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo. Se deben establecer los controles de acceso adecuados para proteger los sistemas de informacin crticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc. DESARROLLO Y MANTENIMIENTO DE SISTEMAS Asegurar que la seguridad est incluida dentro de los sistemas de informacin. Evitar prdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones. Proteger la confidencialidad, autenticidad e integridad de la informacin. Asegurar que los proyectos de Tecnologa de la Informacin y las actividades complementarias son llevados a cabo de una forma segura. Mantener la seguridad del software y la informacin de la aplicacin del sistema. Debe contemplarse la seguridad de la informacin en todas las etapas del nciclo de vida del software en una organizacin: especificacin de requisitos, desarrollo, explotacin, mantenimiento. GESTIN DE CONTINUIDAD DEL NEGOCIO Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente grandes fallos o desastres. Todas las situaciones que puedan provocar la interrupcin de las actividades del negocio deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados. Los planes de contingencia deben ser probados y revisados peridicamente. Se deben definir equipos de recuperacin ante contingencias, en los que se identifiquen claramente las funciones y responsabilidades de cada miembro en caso de desastre. CONFORMIDAD Evitar el incumplimiento de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier requerimiento de seguridad. Garantizar la alineacin de los sistemas con la poltica de seguridad de la organizacin y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditora de sistemas. Se debe identificar convenientemente la legislacin aplicable a los sistemas de informacin corporativos (en nuestro caso, LOPD, LPI, LSSI...), Integrndola en el sistema de seguridad de la informacin de la compaa y garantizando su cumplimiento. Se debe definir un plan de auditora interna y ser ejecutado convenientemente, para garantizar la deteccin de desviaciones con respecto a la poltica de seguridad de la informacin

Gestin de incidentes La gestin de incidentes es un rea de procesos perteneciente a la Gestin de Servicio TI. El primer objetivo de la gestin de incidentes es recuperar el nivel habitual de funcionamiento del servicio y minimizar en todo lo posible el impacto negativo en la organizacin de forma que la calidad del servicio y la disponibilidad se mantengan. Los incidentes que no pueden ser resueltos rpidamente por el equipo de ayuda al usuario, son asignados a un especialista del equipo de soporte tcnico. La resolucin del incidente debe ser ejecutada lo antes posible para restaurar el servicio rpidamente. Ejemplos Los incidentes deben clasificarse a medida que son reportados. Algunos ejemplos de incidentes segn su clasificacin son los siguientes: Aplicaciones Servicio no disponible Fallo de la aplicacin Capacidad del disco duro excedida Hardware Cada del sistema Alerta automtica Impresora que no imprime