Politica de seguridad de sistemas informaticos

3,250 views
2,992 views

Published on

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,250
On SlideShare
0
From Embeds
0
Number of Embeds
58
Actions
Shares
0
Downloads
107
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Politica de seguridad de sistemas informaticos

  1. 1. POLITICAS DE SEGURIDAD INFORMATICA EL MODELO ES LA BASE Por: Jherson Rugel Ramirez
  2. 2. Entendiendo un Modelo de Soluciones de Seguridad en Informática Estrategia Cumplimiento Regulaciones Reducir Riesgos Reducir Costos Administrativos Mejorar Eficiencia de Procesos Asegurar Propiedad Intelectual Asegurar Información Cliente Defenderse Contra Dsiputas Legales Retorno de la Inversión Política Cumplimiento Regulaciones Reducir Riesgos Limitar Exposición Legal Cumplimiento Personas Observancia y Recurso Reglas Claras Consecuencias Claras Línea Base Para Reglamento Arquitectura Mejorar Eficiencia de Procesos Reducir Costos Administrativos Costo de Propiedad Uso de las Tecnologías Cumplimiento Estándares Administración Integrada Proceso de Actualización y Soporte Retorno de la Inversión Diseño Rendimiento Importancia Técnica Cumplimiento Estándares Herramientas Integradas Licenciamiento Uso de las Tecnologías Proceso de Actualización y Soporte Facilidad de Uso Escalabilidad Flexibilidad Soporte Multi-Plataforma Implementación Rendimiento Importancia Técnica Cumplimiento Estándares Herramientas Integradas Uso de las Tecnologías Proceso de Actualización y Soporte Facilidad de Uso Escalabilidad Flexibilidad Costo Licenciamiento Negocio Técnico
  3. 3. Estándares El Modelo es la Aplicación de Estándares Clasificación de Activos y su Control Personal de Seguridad Seguridad Física y Ambiental Administración y Operación de Comunicaciones Control de Acceso Desarrollo y Mantenimiento de Sistemas Contingencia “Business Continuity” “ Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría Políticas de Seguridad y Seguridad Organizacional
  4. 4. El Estándar de Seguridad - ISO 17799 <ul><li>El estándar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en Diciembre del año 2000. </li></ul><ul><li>El estándar hace referencia a diez aspectos primordiales para la seguridad informática. </li></ul><ul><li>Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Física, Cumplimiento, Seguridad Personal, Seguridad de la Organización, Administración de Operaciones, Control y Clasificación de la Información y Políticas de Seguridad. </li></ul>
  5. 5. ESTANDAR ISO 17799 - Políticas <ul><li>Políticas de Seguridad: </li></ul><ul><li>Documento de la Política de Seguridad </li></ul><ul><li>Revisión y Evaluación </li></ul><ul><li>Seguridad Organizacional </li></ul><ul><li>Infraestructura </li></ul><ul><li>Ente colegiado de Seguridad Informática </li></ul><ul><li>Coordinación de Seguridad Informática </li></ul><ul><li>Nombramiento de Responsables de SI </li></ul><ul><li>Proceso de autorización para oficinas de SI </li></ul><ul><li>Personal especializado en SI </li></ul><ul><li>Cooperación entre Organizaciones </li></ul><ul><li>Revisión independiente de SI </li></ul><ul><li>Seguridad de Ingreso a Terceros </li></ul><ul><li>Identificación de riesgos por Ingreso de 3ros </li></ul><ul><li>Requisitos en Contratos con 3ros </li></ul><ul><li>Outsourcing </li></ul><ul><li>Requisitos en Contratos de Outsourcing </li></ul>Políticas de Seguridad y Seguridad Organizacional
  6. 6. ESTANDAR ISO 17799 – Clasificación de Activos <ul><li>Responsabilidad por Activos </li></ul><ul><li>Inventario de Activos </li></ul><ul><li>Clasificación de Información </li></ul><ul><li>Guías de Clasificación. </li></ul><ul><li>Manipulación y marcación de Información </li></ul>Clasificación de Activos y su Control
  7. 7. ESTANDAR ISO 17799 - Personal <ul><li>Definición de Roles y Perfiles </li></ul><ul><li>Incluir la Seguridad en la responsabilidad de roles </li></ul><ul><li>Política de perfiles en funciones y cargos </li></ul><ul><li>Acuerdos de confidencialidad </li></ul><ul><li>Términos y condiciones del contrato de trabajo </li></ul><ul><li>Entrenamiento de Usuarios </li></ul><ul><li>Entrenamiento y Educación en SI </li></ul><ul><li>Respuesta a Incidentes de Seguridad y “Malfuncionamiento” </li></ul><ul><li>Reportes de Iincidentes de Seguridad </li></ul><ul><li>Debilidades de reportes de Seguridad </li></ul><ul><li>Reportes de “Malfuncionamiento” de software </li></ul><ul><li>Aprendiendo de los incidentes </li></ul><ul><li>Proceso Disciplinario </li></ul>Personal de Seguridad
  8. 8. ESTANDAR ISO 17799 – Seguridad Física <ul><li>Areas Seguras </li></ul><ul><li>Perímetro de Seguridad Física </li></ul><ul><li>Controles de entrada física </li></ul><ul><li>Oficinas de Seguridad </li></ul><ul><li>Trabajo en áreas seguras </li></ul><ul><li>Areas aisladas de cargue y descargue </li></ul><ul><li>Equipos de Seguridad </li></ul><ul><li>Ubicación y proteción de Equipos </li></ul><ul><li>Suministros de potencia </li></ul><ul><li>Cableados de seguridad </li></ul><ul><li>Mantenimiento de equipos </li></ul><ul><li>Seguridad de equipos premisas de apagado </li></ul><ul><li>Reuso o desecho de equipos </li></ul><ul><li>Controles Generales </li></ul><ul><li>Política de limpieza de escritorios y pantallas </li></ul><ul><li>Manipulación de Propiedad </li></ul>Seguridad Física y Ambiental
  9. 9. ESTANDAR ISO 17799 Administración <ul><li>Procedimientos de Operaciones </li></ul><ul><li>Procedimientos de operación documentados </li></ul><ul><li>Control de cambio de operaciones </li></ul><ul><li>Procedimientos de administración de incidentes </li></ul><ul><li>Segregación de obligaciones </li></ul><ul><li>Separación de áreas de desarrollo y operaciones </li></ul><ul><li>Administración de instalaciones externas </li></ul><ul><li>Planeación de Sistemas </li></ul><ul><li>“ Capacity Planning” – Planeamiento de capacidades </li></ul><ul><li>Aceptación del sistema </li></ul><ul><li>Protección de Software Malicioso </li></ul><ul><li>Control de software malicioso </li></ul><ul><li>“ Housekeeping” – Mantenimiento </li></ul><ul><li>Back – Ups de Información </li></ul><ul><li>Logs de Operación </li></ul><ul><li>Fallas de Logging </li></ul><ul><li>Administración de Red </li></ul><ul><li>Controles de red </li></ul>Administración de Operaciónes y Comunicaciones
  10. 10. ESTANDAR ISO 17799 - Administración <ul><li>Manipulación de Medios y Seguridad </li></ul><ul><li>Administración de medios removibles </li></ul><ul><li>Deshecho de medios </li></ul><ul><li>Procedimientos de administración de información </li></ul><ul><li>Seguridad de la documentación del sistema </li></ul><ul><li>obligaciones </li></ul><ul><li>Separación de áreas de desarrollo y operaciones </li></ul><ul><li>Administración de instalaciones externas </li></ul><ul><li>Intercambio de Información y de Software </li></ul><ul><li>Acuerdos de intercambio de software e información </li></ul><ul><li>Seguridad de medios en tránsito </li></ul><ul><li>Seguridad de Comercio Electrónico </li></ul><ul><li>Seguridad de Correo Electrónico </li></ul><ul><li>Seguridad de sistemas de oficina electrónicos </li></ul><ul><li>Disponibilidad pública de sistemas </li></ul><ul><li>Otras formas de intercambio de información </li></ul>Administración de Operaciónes y Comunicaciones
  11. 11. ESTANDAR ISO 17799 - Control de Acceso <ul><li>Requerimientos de Negocios para Control de Acceso </li></ul><ul><li>Políticas de Control de Acceso </li></ul><ul><li>Administración de Acceso de Usuarios </li></ul><ul><li>Registro de Usuarios </li></ul><ul><li>Administrración de privilegios </li></ul><ul><li>Administración de Constraseñas </li></ul><ul><li>Revisión de derechos de acceso de usuarios </li></ul><ul><li>Responsabilidad de Usuarios </li></ul><ul><li>Utilización de contraseñas </li></ul><ul><li>Equipo de usuarios desatendidos </li></ul>Control de Acceso
  12. 12. ESTANDAR ISO 17799 – Desarrollo y Mantenimiento <ul><li>Requerimientos de Seguridad de Sistemas </li></ul><ul><li>Rquerimientos, Análisis y Especificaciones de Seguridad </li></ul><ul><li>Seguridad en Aplicaciones </li></ul><ul><li>Validación de ingreso de datos </li></ul><ul><li>Control de procesamiento </li></ul><ul><li>Autenticación de mensajes </li></ul><ul><li>Validación de salida de datos </li></ul><ul><li>Controles de Encripción </li></ul><ul><li>Política de uso de controles de encripción </li></ul><ul><li>Encripción </li></ul><ul><li>Firmas digitales </li></ul><ul><li>Servicios de No repudiación </li></ul><ul><li>Administración de claves PKI </li></ul>Desarrollo y Mantenimiento de Sistemas
  13. 13. ESTANDAR ISO 17799 – Desarrollo y Mantenimiento <ul><li>Seguridad de Archivos </li></ul><ul><li>Control de Sistemas Operativos </li></ul><ul><li>Protección de Datos </li></ul><ul><li>Control de acceso a librería de programas </li></ul><ul><li>Seguridad en Procesos de Desarrollo y Soporte </li></ul><ul><li>Procesos de control de cambios </li></ul><ul><li>Revisión técnica al cambio de S.O. </li></ul><ul><li>Restricciones en cambios de paquetes de software </li></ul><ul><li>Canales y código “Trojan” </li></ul><ul><li>Desarrollo de software en “ousorcing” </li></ul>Desarrollo y Mantenimiento de Sistemas
  14. 14. ESTANDAR ISO 17799 - Cumplimiento <ul><li>Cuplimiento de Aspectos Legales </li></ul><ul><li>Identificación de la legislación aplicable </li></ul><ul><li>Derechos de Propiedad Intelectual </li></ul><ul><li>Salvaguarda de Registros Organizacionales </li></ul><ul><li>Protección de Datos y privacidad de información personal </li></ul><ul><li>Prevención de ingreso a Edificios de procesos de Información </li></ul><ul><li>Regulación de controles de encripción </li></ul><ul><li>Obtención de evidencias </li></ul><ul><li>Revisión de la Política de Seguridad y su Cumplimiento Técnico </li></ul><ul><li>Cumplimiento de la política de seguridad </li></ul><ul><li>Chequeo de cumplimiento técnico </li></ul><ul><li>Cosideraciones de Auditoría </li></ul><ul><li>Controles de auditoría de sistemas </li></ul><ul><li>Protección de las herramientas de auditoría </li></ul>“ Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría
  15. 15. <ul><li>GRACIAS </li></ul>

×