Política de seguridad
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Política de seguridad

on

  • 1,084 views

Presentación sobre los aspectos importantes a tener en cuenta al momento de desarrollar e implementar una correcta política de seguridad en una organización. Siguiendo los principios de la ISO/IEC ...

Presentación sobre los aspectos importantes a tener en cuenta al momento de desarrollar e implementar una correcta política de seguridad en una organización. Siguiendo los principios de la ISO/IEC 27001, con el fin último de mejorar la gestión de la seguridad en los sistemas de información

Statistics

Views

Total Views
1,084
Views on SlideShare
1,084
Embed Views
0

Actions

Likes
2
Downloads
74
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Política de seguridad Presentation Transcript

  • 1. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Ramiro Cid | @ramirocid 1 Política de Seguridad
  • 2. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Contenido Políticas de Seguridad Procedimientos de Seguridad Gestión de la Seguridad Manuales Operativos Implantación
  • 3. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Gestión global de Seguridad de un Sistema de Información Fases: Análisis y Gestión de Riesgos Determinar Objetivos y Política de Seguridad Establecer Planificación de Seguridad Implantar Salvaguardas Monitorización y gestión de Cambios en la Seguridad
  • 4. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Introducción Seguridad de la organización: Conjunto de decisiones aceptadas en una comunidad que determinan una postura sobre la seguridad Explican qué está permitido y qué no Determina los límites del comportamiento aceptable y la respuesta si se sobrepasan Tiene que identificar los riesgos
  • 5. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Introducción Ha de ser específica a la organización Al diseñar una solución de seguridad deben tomarse decisiones. Éstas forman la forma de actuación de la organización Al prepararla con anterioridad al diseño: Las decisiones habrán sido tomadas a priori Existirá un documento de referencia para todos Será más completa
  • 6. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Política de Seguridad Documento que establece quién está autorizado a acceder a qué tipo de información y señala los estándares y reglas que se van a adoptar y qué tipo de medidas de seguridad serán necesarias. Define qué se protege, de quién/qué y por qué Da pautas de actuación ante posibles problemas Define responsabilidades
  • 7. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Propósito Definir lo que se entiende por seguridad: Autenticación Autorización Privacidad de los datos Integridad de los datos Informar a los empleados y directivos de su obligación de proteger los activos de la organización
  • 8. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Propósito Especificar los mecanismos mediante los cuales se ha de satisfacer dichas obligaciones Proveer los principios básicos por los que han de guiarse al adquirir, configurar y auditar el sistema de información. Proporcionar el compromiso y soporte de la Dirección en todo lo relacionado a la seguridad
  • 9. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Errores comunes Si la organización no tiene una política de seguridad informática formal: Cada organización la tiene implícitamente No se pueden tomar decisiones La política de seguridad no tiene planes de respuesta en caso de incidentes o desastres Los planes no funcionan cuando se necesitan
  • 10. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Reglas básicas para la Definición de Políticas de Seguridad R1: Debe cubrir TODOS los aspectos involucrados en posibles contingencias. R2: Debe ADECUARSE a las necesidades y recursos de la organización. Pretendemos que un ataque a nuestros bienes sea MAS COSTOSO que su valor, INVIERTIENDO MENOS de lo que vale.
  • 11. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Pasos a seguir Evaluación de riesgos Definir la estrategia, los objetivos de seguridad Definir qué hay que hacer cuando se viola la política Notificar a la autoridad competente Corregir el problema Acciones disciplinarias Excepciones Comunicar e implementar la política
  • 12. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Especificaciones Debe ser corta, precisa y de fácil comprensión Las cuestiones y conflictos deberán ser resueltos refiriéndose a la política establecida La responsabilidad debe ir aparejada a autoridad La política debe proteger a la gente igual que protege a los datos La política protege la propiedad, la reputación y la continuidad de la actividad Deber ser conocida por TODOS los afectados dentro de la organización
  • 13. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Especificaciones Debe Incluir: Declaración de propósitos Debe cubrir los objetivos básicos (Autenticidad, Confidencialidad, Integridad y Disponibilidad) Define quién es quién Quienes son los usuarios Quién identifica los datos y accesos Quién debe auditar Quién debe responder
  • 14. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Especificaciones No debe incluir: Nombres del personal Nombres de productos Nombres de estándares específicos o niveles de seguridad
  • 15. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Aspectos importantes Las medidas de seguridad tienen que ser transparentes a los usuarios Es importante la cultura de la seguridad entre los usuarios: Que generan aproximadamente el 80% de los problemas de seguridad Todo bien determinado en la política de seguridad
  • 16. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Siguientes pasos A partir de esta política de seguridad se aplican las medidas y se redactan las subpolíticas, normas y procedimientos: Seguridad Física Seguridad Lógica Mantenimiento de HW y SW Etc
  • 17. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Guión Política Objetivos: qué quiere conseguir la política Alcance: que elementos de la organización están incluidos Políticas Específicas Responsabilidades: Define el responsable Revisión: Quién ha aprobado la política
  • 18. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Un caso concreto... Borrador de cómo se definiría una política de seguridad en una entidad bancaria Declaración de propósitos “Para dar soporte a la actividad diaria de la entidad bancaria (en adelante la Entidad), el Laboratorio de Cálculo proporciona recursos informáticos (ordenadores, redes de comunicaciones, y sistemas de información) a los empleados y clientes de la Entidad. “
  • 19. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Un caso concreto... Derechos y Responsabilidades “Los ordenadores y la red proporcionan acceso y recursos dentro y fuera del ámbito de la Entidad, a la vez que permiten la comunicación con usuarios a través del mundo. Este privilegio de tener un acceso abierto, implica que los usuarios han de actuar con responsabilidad. Los usuarios han de respetar los derechos de los otros usuarios, respetar la integridad del sistema y de los recursos físicos y respetar las leyes y las regulaciones vigentes.”
  • 20. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Un caso concreto… Derechos y Responsabilidades “El usuario se compromete a utilizar los recursos informáticos de la Entidad exclusivamente para fines relacionados estrictamente con su actividad diaria, queda explícitamente excluido cualquier uso comercial no autorizado.”
  • 21. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Un caso concreto... Contexto legal “El contexto legal incluye las leyes existentes y las regulaciones de la Entidad, incluyendo no sólo las normas específicas a los sistemas informáticos, si no también las normas generales de conducta”. (ej. LOPD) Los acuerdos existentes con otras entidades bancarias. “El uso incorrecto podrá ser perseguido judicialmente”.
  • 22. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Uso Incorrecto Ejemplos de uso incorrecto “Las actividades de la siguiente lista son ejemplos de uso incorrecto, aunque no los incluye todos: Uso de cuentas de ordenador sin autorización. Obtener el password de una cuenta de usuario sin la autorización del propietario. Uso de la red informática de la Entidad para conseguir acceso no autorizado a cualquier ordenador. Realizar con conocimiento de causa cualquier acto que interfiera en el correcto funcionamiento de los ordenadores, terminales, periféricos o de la red informática.
  • 23. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Uso Incorrecto Ejemplos de uso incorrecto (II) Violaciones de las leyes de protección de datos, de licencias de programas y de derechos de autor (Copyright). Utilizar el correo electrónico para insultar u ofender a personas o entidades. Enmascarar la identidad de una cuenta de usuario o de ordenador. Robo de información. Venta de información. Divulgación de información privada.
  • 24. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Uso Incorrecto Ejemplos de uso incorrecto (III) “Algunas de estas actividades no serán consideradas como uso incorrecto de los recursos informáticos de la Entidad cuando estén autorizadas para probar o incrementar la seguridad informática de la misma.” Aplicación “Las sanciones podrán ser impuestas por uno o más de los estamentos jurídicos del estado.”
  • 25. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Procedimientos de Seguridad Documentación que forma el Sistema de Gestión del Sistema de Información y deja claramente definidas las responsabilidades, tareas y todos aquellos deberes y derechos de los usuarios frente a la seguridad del sistema “La Seguridad somos todos”
  • 26. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Documentación de Seguridad Formato Plantillas de documentación Control de versiones quién la revisa (y cuando) quién la aprueba (y cuando) Objetivos Alcance Validez Confidencialidad Contenido
  • 27. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Legislación No conocer una ley no exime de su cumplimiento Leyes a tener en cuenta: LOPD (Ley Orgánica de Protección de datos LSSICE (Ley de Servicios de la Sociedad de Información y Comercio Electrónico) Una política de seguridad debe garantizar el cumplimiento de la legislación vigente y mantenerse actualizada conforme a la misma.
  • 28. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad ¿Dudas? ¿preguntas? ¡¡ Muchas Gracias !! ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL