Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridaddela Informacion
Seguridaddela Informacion
INFORMACION
Políticas de seguridad
Yessica Gómez G.
Porqué hablar de la Seguridad
de la Información?
Porque el negocio se sustenta a partir de la
información que maneja.....
Estrategia de Funciones y procesos de
negocio negocio
ACTIVIDADES DE LA EMPRESA
Diseño y ejecución de
Planificación de acciones para conseguir
Objetivos objetivo
Entorno ORGANIZACION
Porque no sólo es un tema Tecnológico.
Porque la institución no cuenta con Políticas
de Seguridad de la Información
formalmente aceptadas y conocidas por
todos.
CULTURA de la seguridad ,
responsabilidad de TODOS
ACTITUD proactiva,
Investigación permanente
Porque la seguridad tiene un costo, pero la
INSEGURIDAD tiene un costo mayor.
“Ninguna medicina es útil a menos que
el paciente la tome”
definen
Salvaguardas
RIESGO
Principales problemas:
No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades.
No se puede medir la severidad y la probabilidad
de los riesgos.
Se inicia el análisis con una noción preconcebida
de que el costo de los controles será excesivo o
que la seguridad tecnológica no existe.
Se cree que la solución de seguridad interferirá
con el rendimiento o apariencia del producto o
servicio del negocio.
Estándares de Seguridad
Normas Internacionales de seguridad
– Proporcionan un conjunto de buenas prácticas en gestión
de seguridad de la información:
– Ejemplos ISO/IEC 17799,COBIT,ISO 15408
Se ha homologado a la realidad Chilena NCh2777 la
ISO 17799 que tiene la bondad de ser transversal a
las organizaciones , abarcando la seguridad como un
problema integral y no meramente técnico.
Ley 19.233 sobre delitos informáticos.
Ley 19.628 sobre protección de los datos personales.
Ley 19.799 sobre firma electrónica
¿Qué es una Política?
Conjunto de orientaciones o directrices que
rigen la actuación de una persona o entidad
en un asunto o campo determinado.
¿Qué es una Política de
Seguridad?
Conjunto de directrices que permiten
resguardar los activos de información .
¿Cómo debe ser la política de
seguridad?
Definir la postura del Directorio y de la gerencia con
respecto a la necesidad de proteger la información
corporativa.
Rayar la cancha con respecto al uso de los recursos
de información.
Definir la base para la estructura de seguridad de la
organización.
Ser un documento de apoyo a la gestión de seguridad
informática.
Tener larga vigencia , manteniéndose sin grandes
cambios en el tiempo.
Ser general , sin comprometerse con tecnologías
específicas.
Debe abarcar toda la organización
Debe ser clara y evitar confuciones
No debe generar nuevos problemas
Debe permitir clasificar la información en
confidencial, uso interno o pública.
Debe identificar claramente funciones específicas
de los empleados como : responsables, custodio o
usuario , que permitan proteger la información.
Qué debe contener una política
de seguridad de la información?
Políticas específicas
Procedimientos
Estándares o prácticas
Estructura organizacional
Políticas Específicas
Definen en detalle aspectos específicos que regulan el
uso de los recursos de información y están más afectas
a cambios en el tiempo que la política general.
Ejemplo:
– Política de uso de Correo Electrónico:
• Definición del tipo de uso aceptado: “El servicio de correo
electrónico se proporciona para que los empleados realicen
funciones propias del negocio,cualquier uso personal deberá
limitarse al mínimo posible”
• Prohibiciones expresas: “ Se prohíbe el envío de mensajes
ofensivos”. “ Deberá evitarse el envío de archivos peligrosos”
• Declaración de intención de monitorear su uso: “La empresa podrá
monitorear el uso de los correos en caso que se sospeche del mal
uso”
Procedimiento
Define los pasos para realizar una actividad
Evita que se aplique criterio personal.
Ejemplo:
– Procedimiento de Alta de Usuarios:
• 1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al
Adminsitrador de Privilegios una solicitud formal de creación de cuenta,
identificando claramente los sistemas a los cuales tendrá accesos y tipos de
privilegios.
• 2.-El Administrador de privilegios debe validar que la solicitud formal
recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o
unidad a la que pertenece.
• 3.- El Administrador de privilegios creará la cuenta del usuario a través del
Sistema de Administración de privilegios y asignará una clave inicial para que
el usuario acceda inicialmente.
• 4.- El Administrados de privilegios formalizará la creación de la cuenta al
usuario e instruirá sobre su uso.
Estándar
En muchos casos depende de la tecnología
Se debe actualizar periódicamente
Ejemplo:
– Estándar de Instalación de PC:
• Tipo de máquina:
– Para plataforma de Caja debe utilizarse máquinas Lanix
– Para otras plataformas debe utilizarse máquinas Compaq o HP.
– Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB
• Registro:
– Cada máquina instalada debe ser registrada en catastro computacional
identificando los números de serie de componente y llenar formulario de
traslado de activo fijo
• Condiciones electricas:
– Todo equipo computacional debe conectarse a la red electrica computacional
y estar provisto de enchufes MAGIC
Que se debe tener en cuenta
Objetivo: qué se desea lograr
Alcance: qué es lo que protegerá y qué áreas serán
afectadas
Definiciones: aclarar terminos utilizados
Responsabilidades: Qué debe y no debe hacer cada
persona
Revisión: cómo será monitoreado el cumplimiento
Aplicabilidad: En qué casos será aplicable
Referencias: documentos complementarios
Sanciones e incentivos
Ciclo de vida del Proyecto
Creación
Colaboración
Publicación
Enfoque
Educación Metodológico
Cumplimiento
Políticas de seguridad y
Controles
Los controles son mecanismos que ayudan a
cumplir con lo definido en las políticas
Si no se tienen políticas claras , no se sabrá qué
controlar.
Orientación de los controles:
– PREVENIR la ocurrencia de una amenaza
– DETECTAR la ocurrencia de una amenaza
– RECUPERAR las condiciones ideales de
funcionamiento una vez que se ha producido un evento
indeseado.
Ejemplo:Modelo Seguridad
Informática (MSI) a partir de
políticas de seguridad de la
información institucionales
Estructura del modelo adoptado:
– Gestión IT (Tecnologías de Información)
– Operaciones IT
Para cada estructura incorpora
documentación asociada como políticas
específicas, procedimientos y estándares.
Gestión IT