¿Porque se necesita Políticas de Seguridad de la Información? Protege la información y a los usuarios. Conjunto de reglas que determina los lineamientos de conducta y responsabilidades de los usuarios, administradores de los sistemas, gestión, seguridad del personal. Autoriza al personal de seguridad para monitorear, probar e investigar. Es de carácter obligatorio y por lo tanto sancionable. Permite el despliegue e implementación de controles de seguridad.
Mg. Ing. Robert E. Puican Gutiérrez
Política de Seguridad de la Información
Es una declaración general que determina como la
información es protegida, administrada y distribuida. La política de seguridad es un documento que expresa exactamente cual es el nivel de seguridad que deben tener los sistemas para cumplir con los mecanismos y controles de seguridad. Especifican las condiciones, derechos y obligaciones sobre el uso de los activos de la información.
Mg. Ing. Robert E. Puican Gutiérrez
Importancia de las Políticas de Seguridad Demuestran el apoyo de la alta dirección. Aseguran las aplicaciones de las medidas de seguridad en la organización. Guían el proceso de selección e implementación de los controles de seguridad. Evita responsabilidades legales. Logra efectividad de la Seguridad de la Información.
Mg. Ing. Robert E. Puican Gutiérrez
Características de las Políticas de Seguridad Estos documentos deben ser claros, exactos, precisos y concisos. Debe tener una estructura bien definida Debe tener fecha de aprobación y difusión, número de versión y un control de cambios. Debe ser vigente y actualizado permanentemente. No debe interferir con los procesos del negocio. Debe establecer las condiciones aceptables y no aceptables Accesible al personal según el alcance del documento Aprobado por la alta dirección Documento oficial y de cumplimiento obligatorio, esta sujeto a sanciones RRHH y el área legal deben contemplar en los estatutos de la empresa y la ley. Mg. Ing. Robert E. Puican Gutiérrez Las políticas establecen la estrategia
Mg. Ing. Robert E. Puican Gutiérrez
Soporte de las Políticas de Seguridad
Estándares.- Especifica las buenas prácticas en la
organización. Se aplican y prueban internacionalmente. Guías.- Son acciones recomendadas y guías operacionales para los usuarios personal de TI cuando un estándar específico no se aplica. Considerando que los estándares son actividades mandatorias, las guías en general son acercamientos que provee la flexibilidad necesaria ante circunstancias imprevistas. Procedimientos.- Son acciones detalladas paso a paso para alcanzar determinadas tareas. Estos pasos puede aplicar a los usuarios, personal de TI, miembros de seguridad. Mg. Ing. Robert E. Puican Gutiérrez ¿Quiénes desarrollan las políticas de Seguridad de la Información? Equipo de desarrollo de políticas. Equipo de seguridad de la información. Personal Técnico. Área Legal RRHH Usuarios Método de Desarrollo de la Política Se debe considerar lo siguiente: 1.- Definir el propósito de la política 2.- Escribir un borrador de la Política: Determinar el nivel correcto entre realizar una política viable o intransigente/rígida. Considerar que puede existir excepciones en algunas declaraciones de las políticas y se debe evaluar sin dejar expuesta la seguridad. Que sea clara y use términos concretos, sin términos abstractos. Evitar usar declaraciones muy negativas como “nunca” Usar un lenguaje fácilmente entendible. Usar la palabra “debe”por “debería” Si se necesita hacer referencias adicionales usar anexos La longitud del documento no debe ser muy extenso, va depender de la organización y su tamaño.
Mg. Ing. Robert E. Puican Gutiérrez
Método de Desarrollo de la Política 3.- Revisión del documento 4.- Aprobación 5.- Estrategia de difusión 6.- Publicación 7.- Desarrollo de estrategia de comunicación activa 8.- Asegurar que las políticas están consideradas en la estrategia de concienciación/sensibilización 9.- Revisión y Actualización
Mg. Ing. Robert E. Puican Gutiérrez
Secciones de la Política Cada política debe incluir lo siguiente: 1. Introducción 2. Objetivo Proporciona las principales metas de la política , explica las razones y ayuda a los usuarios como debe ser usada. 3.- Alcance Es el alcance de la aplicación de la política y las personas que están involucradas. 4.- Roles y Responsabilidades Esta es una declaración de la política a través de la cual, se designa las responsabilidades de la personas que van a aplicar la política. 5.- Fecha y versión 6.- Definición / Glosario 7.- Declaración de la política
Mg. Ing. Robert E. Puican Gutiérrez
Estructura de los documentos
¿Un solo documento o varios documentos?
Se puede utilizar ISO 27001 e ISO 27002 como base para definir las políticas de seguridad. Deben ser documentos controlados. Estructura de los documentos Ejercicio de Política Política de Acceso remoto de Usuarios ¿Por qué se requiere al acceso remoto? ¿Cuántos y de qué tipo de usuarios requieren acceso remoto? ¿Que tipo de acceso remoto debe usar la empresa? ¿Qué tipo de información y recursos deben tener los usuarios remotos? ¿Qué mecanismos de protección se debe tener para asegurar el acceso de los usuarios remotos autorizados? ¿Qué mecanismos de protección se debe tener para asegurar que no ingresen los usuarios no autorizados? ¿Qué tipo y quien autoriza el acceso? ¿Quiénes son los responsables de hacer cumplir todas estas políticas? ¿Qué mecanismos existen para monitorear los accesos? Ejercicio de Política Desarrolle una política considerando la siguiente estructura: 1. Introducción 2. Objetivo 3.- Alcance 4.- Roles y Responsabilidades 5.- Fecha y versión 6.- Responsables de la política 7.- Definición / Glosario 8.- Declaración de la política
Considere los siguientes ejemplos:
Política de antivirus Política de uso del correo electrónico Política de contraseñas Política de clasificación de la información Política de control de acceso físico