SlideShare a Scribd company logo

Politicas y medidas de seguridad

Download as PPTX, PDF
C
Carolina Cols
1 of 25
MATERIA: SEGURIDAD INFORMÁTICA PROF. CAROLINA COLS POLITICAS Y MEDIDAS DE SEGURIDAD
POLÍTICAS DE SEGURIDAD  Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y defínelos criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico.  A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandardización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información.
Áreas de normalización de la política de seguridad  Tecnológica  Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios.
Áreas de normalización de la política de seguridad Humana Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la Administración, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual. El resultado es un programa de seguridad sin el nivel de cultura deseado y la falta de monitoreo más apropiado al orientar empleados, proveedores, clientes y socios. Sin embargo, no se debe dejar de lado los temas tecnológicos y su sofisticación, una vez que también son determinantes para la implementación de soluciones de seguridad adecuadas y eficientes.
Elaboración de la política  Para elaborar una política de seguridad de la información, es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción.  Exigencias de la política  La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento.  Es importante considerar que para la elaboración de una política de seguridad institucional se debe:  Integrar el Comité de Seguridad responsable de definir la política.  Elaborar el documento final.  Hacer oficial la política una vez que se tenga definida.
Integrar el Comité de Seguridad Formar un equipo multidisciplinario que represente gran parte de los aspectos culturales y técnicos de la organización y que se reúnan periódicamente dentro de un cronograma establecido por el Comité de Seguridad. Este comité es formado por un grupo definido de personas responsables por actividades referentes a la creación y aprobación de nuevas normas de seguridad en la organización. En las reuniones se definen los criterios de seguridad adoptados en cada área y el esfuerzo común necesario para que la seguridad alcance un nivel más elevado.Se debe tener en mente que los equipos involucrados necesitan tiempo libre para analizar y escribir todas las normas discutidas durante las reuniones.
Partes que integran el documento final  En este documento deben expresarse las preocupaciones de la administración, donde se establecen normas para la gestión de seguridad de la información, que contengan:  La definición de la propia política  Una declaración de la administración que apoye los principios establecidos y una explicación de las exigencias de conformidad con relación a:  legislación y cláusulas contractuales; educación y formación en seguridad de la información; prevención contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.)  Debe contener también la atribución de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestión de los procesos y de la seguridad.  No olvidar de que toda documentación ya existente sobre cómo realizar las tareas debe ser analizada con relación a los principios de seguridad de la información, para aprovechar al máximo las prácticas actuales, evaluar y agregar seguridad a esas tareas.
Hacer oficial la política  La oficialización de una política tiene como base la aprobación por parte de la administración de la organización.  Debe ser publicada y comunicada de manera adecuada para todos los empleados, socios, terceros y clientes. En virtud que las políticas son guías para orientar la acción de las personas que intervienen en los procesos de la empresa.
Etapas de producción de la política Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. El trabajo de producción se compone por distintas etapas, entre otras: 1. Objetivos y ámbito En este punto debe constar la presentación del tema de la norma con relación a sus propósitos y contenidos, buscando identificar resumidamente cuáles estándares la política trata de establecer, además de la amplitud que tendrá en relación a entornos, individuos, áreas y departamentos de la organización involucrados.
Etapas de producción de la política 2. Entrevista  Las entrevistas tratan de identificar junto a los usuarios y administradores de la organización las preocupaciones que ellos tienen con los activos, los procesos de negocio, áreas o tareas que ejecutan o en la cual participan. Las entrevistas tratan de identificar las necesidades de seguridad existentes en la organización.  Investigación y análisis de documentos En esta etapa se identifican y analizan los documentos existentes en la organización y los que tienen alguna relación con el proceso de seguridad en lo referente a la reducción de riesgos, disminución de trabajo repetido y falta de orientación. Entre la documentación existente, se pueden considerar: libros de rutinas, metodologías, políticas de calidad y otras. 3. Glosario de la política  Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura de la política. Así todos los lectores deben tener el mismo punto de referencia conceptual de términos. Por lo tanto se recomienda que la política cuente con un glosario específico donde se especifiquen los términos y conceptos presentes en toda la política de seguridad
Etapas de producción de la política 4. Responsabilidades y penalidades  Es fundamental identificar a los responsables, por la gestión de seguridad de los activos normalizados, con el objetivo de establecer las relaciones de responsabilidad para el cumplimiento de tareas, como las normas de aplicación de sanciones resultantes de casos de inconformidad con la política elaborada. De esa manera, se busca el nivel de conciencia necesario para los involucrados, con relación a las penalidades que serán aplicadas en casos de infracción de la política de seguridad. 5. Documentos de la política de seguridad  Si existe ya un estándar de estructura de documentos para políticas dentro de la empresa, éste puede ser adoptado.
En este modelo, se explica que una política de seguridad esta formada por tres grandes secciones MODELO DE ESTRUCTURA DE POLÍTICA DE SEGURIDAD
Directrices (Estrategias)  Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la organización y tiene como base su visión y misión para abarcar toda la filosofía de seguridad de la información. Las directrices corresponden a las preocupaciones de la empresa sobre la seguridad de la información, al establecer sus objetivos, medios y responsabilidades.  Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido.  Como la información no está presente en un único entorno (microinformática, por ejemplo) o medio convencional (fax, papel, comunicación de voz, etc.), debe permitir que se aplique a cualquier ambiente existente y no contener términos técnicos de informática. Se compone de un texto, no técnico, con las reglas generales que guían a la elaboración de las normas de seguridad.
Normas (Táctico)  Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina, etc.  Las normas, por estar en un nivel táctico, pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios. Normas de Seguridad para técnicos  Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros. Pueden ser ampliamente utilizadas para la configuración y administración de ambientes diversos como Windows NT, Netware, Unix etc.
Normas (Táctico) Normas de Seguridad para Usuarios  Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros. Pueden ser ampliamente utilizadas para todos los usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc.
Procedimientos e instrucciones de trabajo (Operacional) Procedimiento  Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e ínter departamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información. Instrucción de trabajo  Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en modelo de paso a paso para los usuarios del activo en cuestión.
Acompañamiento de la política  Una política de seguridad, para que sea efectiva, necesita contar con los siguientes elementos como base de sustentación:  Cultura  El entrenamiento de personas debe ser constante, de tal manera que se actualice toda la empresa con relación a los conceptos y normas de seguridad,  además de sedimentar la conciencia de seguridad, para tornarla como un esfuerzo común entre todos los involucrados.  Herramientas  Los recursos humanos, financieros y las herramientas de automatización deben estar de acuerdo con las necesidades de seguridad. Parte de la seguridad puede ser automatizada o mejor controlada con herramientas específicas, como  copias de seguridad obligatorias programadas, control de acceso con registro de ejecución, etc.  Monitoreo  La implementación de la política de seguridad debe ser constantemente monitoreada. Es necesario efectuar un ciclo de manutención para ajustar la estandarización resultante de los problemas encontrados, reclamaciones de empleados o resultados de auditoría. Se debe también adaptar la seguridad a las nuevas tecnologías, a los cambios administrativos y al surgimiento de nuevas amenazas.
Temas de la política  Para elaborar una política, es necesario delimitar los temas que serán convertidos en normas.  La división de los temas de una política depende de las necesidades de la organización y su delimitación se hace a partir de: el conocimiento del ambiente organizacional, humano o tecnológico, la recopilación de las preocupaciones sobre seguridad de parte de los usuarios, administradores y ejecutivos de la empresa Algunos ejemplos de temas posibles son:
Temas de la política  Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos.  Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones.  Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia.  Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia.  Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria.  Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.
MEDIDAS DE SEGURIDAD IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD
MEDIDAS DE SEGURIDAD  Las medidas de seguridad son acciones que podemos tomar con la finalidad de reducir las vulnerabilidades existentes en los activos de la empresa.  Son varias las medidas de protección que recomendamos para la reducción de las vulnerabilidadesde la información. Entre otras:  • Protección contra virus, Implementación de firewalls, Control de acceso a los recursos de la red, Control de acceso físico , Sistemas de vigilancia, Detección y control de invasiones, Políticas generales o específicas de seguridad, Equipos, Configuración de ambientes, Entrenamiento, Campañas de divulgación, Planes de continuidad, Clasificación de la información, VPN – Virtual Private Network, Acceso remoto seguro, Monitoreo y gestión de la seguridad, ICP – Infraestructura de llaves públicas
MEDIDAS DE SEGURIDAD  1. Control de acceso a los recursos de la red: Implementación de controles en las estaciones de trabajo que permiten la gestión de acceso, en diferentes niveles, a los recursos y servicios disponibles en la red.  2. Protección contra virus: Implementación de un software que prevenga y detecte software maliciosos, como virus, troyanos y scripts, para minimizar los riesgos con paralizaciones del sistema o la pérdida de información.  3. Seguridad para equipos portátiles: Implantación de aplicaciones y dispositivos para la prevención contra accesos indebidos y el robo de información.
MEDIDAS DE SEGURIDAD  4. ICP – Infraestructura de llaves públicas  Consiste en emplear servicios, protocolos y aplicaciones para la gestión de claves públicas, que suministren servicios de criptografía y firma digital.  5. Detección y control de invasiones  Implantación de una herramienta que analice el tránsito de la red en busca de posibles ataques, para permitir dar respuestas en tiempo real, y reducir así los riesgos de invasiones en el ambiente.  6. Firewall  Sistema que controla el tránsito entre dos o más redes, permite el aislamiento de diferentes perímetros de seguridad, como por ejemplo, la red Interna e Internet.  7. VPN – Virtual private network  Torna factible la comunicación segura y de bajo costo. Utiliza una red pública, como Internet, para enlazar dos o más puntos, y permite el intercambio de información empleando criptografía.
MEDIDAS DE SEGURIDAD  8. Acceso remoto seguro: Torna posible el acceso remoto a los recursos de la red al emplear una red pública, como por ejemplo, Internet.  9. Seguridad en correo electrónico: Utiliza certificados digitales para garantizar el sigilo de las informaciones y software para filtro de contenido, y proteger a la empresa de aplicaciones maliciosas que llegan por ese medio.  10. Seguridad para las aplicaciones: Implementación de dispositivos y aplicaciones para garantizar la confidencialidad, el sigilo de las informaciones y el control del acceso, además del análisis de las vulnerabilidades de la aplicación, al suministrar una serie de recomendaciones y estándares de seguridad.  11. Monitoreo y gestión de la seguridad: Implementación de sistemas y procesos para la gestión de los eventos de seguridad en el ambiente tecnológico, haciendo posible un control mayor del ambiente, para dar prioridad a las acciones e inversiones.
MEDIDAS DE SEGURIDAD  12. Seguridad en comunicación Móvil: Acceso a Internet para usuarios de aparatos móviles como teléfonos celulares y PDA’s, para permitir transacciones e intercambiar información con seguridad vía Internet.  13. Seguridad para servidores: Configuración de seguridad en los servidores, para garantizar un control mayor en lo que se refiere al uso de servicios y recursos disponibles.  14. Firewall interno: Este firewall funciona al aislar el acceso a la red de servidores críticos, minimizando los riesgos de invasiones internas a servidores y aplicaciones de misión crítica.

Recommended

Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
Carolina Cols
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
Fernando Alfonso Casas De la Torre
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
Maria de Lourdes Castillero
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia Informatico
Fernando Alfonso Casas De la Torre
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
Natii Rossales Hidrobo
 

Recommended

Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
Carolina Cols
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
Fernando Alfonso Casas De la Torre
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
Maria de Lourdes Castillero
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia Informatico
Fernando Alfonso Casas De la Torre
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informática
Natii Rossales Hidrobo
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
Juan Carlos Gonzalez
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccion
Carolina Cols
 
Magerit
MageritMagerit
Magerit
Krolina Agui
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgo
Juan Tomas Jayo Rovira
 
Lista de chequeo mantenimiento y ensamble
Lista de chequeo mantenimiento y ensambleLista de chequeo mantenimiento y ensamble
Lista de chequeo mantenimiento y ensamble
alvego
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
Willian Yanza Chavez
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
aquilesv
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4
UNEFA
 
Seguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaSeguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informática
Jose Quiroz
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
Jean Carlos Leon Vega
 
Capacitacion induccion seguridad 2012
Capacitacion induccion seguridad 2012Capacitacion induccion seguridad 2012
Capacitacion induccion seguridad 2012
Genaro Mendez Mancilla
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Csa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesCsa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummies
Luciano Moreira da Cruz
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
Laura Miranda Dominguez
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
GRECIAGALLEGOS
 
Seguridad fisica
Seguridad fisicaSeguridad fisica
Seguridad fisica
Julio Diaz Estica
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
yuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
yuliaranda
 

More Related Content

What's hot

Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccion
Carolina Cols
 
Lista de chequeo mantenimiento y ensamble
Lista de chequeo mantenimiento y ensambleLista de chequeo mantenimiento y ensamble
Lista de chequeo mantenimiento y ensamble
alvego
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4
UNEFA
 
Seguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaSeguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informática
Jose Quiroz
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
GRECIAGALLEGOS
 

What's hot (20)

Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccion
 
Magerit
MageritMagerit
Magerit
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgo
 
Lista de chequeo mantenimiento y ensamble
Lista de chequeo mantenimiento y ensambleLista de chequeo mantenimiento y ensamble
Lista de chequeo mantenimiento y ensamble
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4
 
Seguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaSeguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informática
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
 
Capacitacion induccion seguridad 2012
Capacitacion induccion seguridad 2012Capacitacion induccion seguridad 2012
Capacitacion induccion seguridad 2012
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Csa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummiesCsa summit 2017 - csa star for dummies
Csa summit 2017 - csa star for dummies
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
Seguridad fisica
Seguridad fisicaSeguridad fisica
Seguridad fisica
 

Similar to Politicas y medidas de seguridad

Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
yuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
yuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
yuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
yuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
yuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
yuliaranda
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
yuliaranda
 
Exigencias de politicas
Exigencias de politicasExigencias de politicas
Exigencias de politicas
paola_yanina
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
diana_16852
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
diana_16852
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
paola_yanina
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
paola_yanina
 
Etapas de produccion
Etapas de produccionEtapas de produccion
Etapas de produccion
jhadir
 
Etapas de produccion
Etapas de produccionEtapas de produccion
Etapas de produccion
jhadir
 
Año del centenario de machu picchu para
Año del centenario de machu picchu paraAño del centenario de machu picchu para
Año del centenario de machu picchu para
galactico_87
 

Similar to Politicas y medidas de seguridad (20)

Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Diapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informáticaDiapositivas elaboración de la política de segurada informática
Diapositivas elaboración de la política de segurada informática
 
Exigencias de politicas
Exigencias de politicasExigencias de politicas
Exigencias de politicas
 
Exigencias de politicas
Exigencias de politicasExigencias de politicas
Exigencias de politicas
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Trabajo de computacion
Trabajo de computacionTrabajo de computacion
Trabajo de computacion
 
Etapas de produccion
Etapas de produccionEtapas de produccion
Etapas de produccion
 
Etapas de produccion
Etapas de produccionEtapas de produccion
Etapas de produccion
 
Para imprimer a hora
Para imprimer a horaPara imprimer a hora
Para imprimer a hora
 
Año del centenario de machu picchu para
Año del centenario de machu picchu paraAño del centenario de machu picchu para
Año del centenario de machu picchu para
 

More from Carolina Cols

Manejo de los procesos en los sistemas operativos
Manejo de los procesos en los sistemas operativosManejo de los procesos en los sistemas operativos
Manejo de los procesos en los sistemas operativos
Carolina Cols
 
Introducción a los sistemas operativos i.doc
Introducción a los sistemas operativos i.docIntroducción a los sistemas operativos i.doc
Introducción a los sistemas operativos i.doc
Carolina Cols
 
Introducción a la computación
Introducción a la computaciónIntroducción a la computación
Introducción a la computación
Carolina Cols
 
El computador y sus partes
El computador y sus partesEl computador y sus partes
El computador y sus partes
Carolina Cols
 
Asesorías metodológicas 2011
Asesorías metodológicas 2011Asesorías metodológicas 2011
Asesorías metodológicas 2011
Carolina Cols
 

More from Carolina Cols (13)

Infografía Yenni Cols
Infografía Yenni ColsInfografía Yenni Cols
Infografía Yenni Cols
 
Ingreso al campus virtual
Ingreso al campus virtualIngreso al campus virtual
Ingreso al campus virtual
 
Presente y Pasado Continuo
Presente y Pasado ContinuoPresente y Pasado Continuo
Presente y Pasado Continuo
 
Manejo de los procesos en los sistemas operativos
Manejo de los procesos en los sistemas operativosManejo de los procesos en los sistemas operativos
Manejo de los procesos en los sistemas operativos
 
Introducción a los sistemas operativos i.doc
Introducción a los sistemas operativos i.docIntroducción a los sistemas operativos i.doc
Introducción a los sistemas operativos i.doc
 
Introducción a la computación
Introducción a la computaciónIntroducción a la computación
Introducción a la computación
 
El computador y sus partes
El computador y sus partesEl computador y sus partes
El computador y sus partes
 
Asesorías metodológicas 2011
Asesorías metodológicas 2011Asesorías metodológicas 2011
Asesorías metodológicas 2011
 
Wikiwiki2
Wikiwiki2Wikiwiki2
Wikiwiki2
 
Wikiwiki
WikiwikiWikiwiki
Wikiwiki
 
Wikiwiki
WikiwikiWikiwiki
Wikiwiki
 
Wikiwiki
WikiwikiWikiwiki
Wikiwiki
 
La wiki
La wikiLa wiki
La wiki
 

Politicas y medidas de seguridad

  • 1. MATERIA: SEGURIDAD INFORMÁTICA PROF. CAROLINA COLS POLITICAS Y MEDIDAS DE SEGURIDAD
  • 2. POLÍTICAS DE SEGURIDAD  Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y defínelos criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico.  A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandardización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información.
  • 3. Áreas de normalización de la política de seguridad  Tecnológica  Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios.
  • 4. Áreas de normalización de la política de seguridad Humana Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la Administración, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual. El resultado es un programa de seguridad sin el nivel de cultura deseado y la falta de monitoreo más apropiado al orientar empleados, proveedores, clientes y socios. Sin embargo, no se debe dejar de lado los temas tecnológicos y su sofisticación, una vez que también son determinantes para la implementación de soluciones de seguridad adecuadas y eficientes.
  • 5. Elaboración de la política  Para elaborar una política de seguridad de la información, es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción.  Exigencias de la política  La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento.  Es importante considerar que para la elaboración de una política de seguridad institucional se debe:  Integrar el Comité de Seguridad responsable de definir la política.  Elaborar el documento final.  Hacer oficial la política una vez que se tenga definida.
  • 6. Integrar el Comité de Seguridad Formar un equipo multidisciplinario que represente gran parte de los aspectos culturales y técnicos de la organización y que se reúnan periódicamente dentro de un cronograma establecido por el Comité de Seguridad. Este comité es formado por un grupo definido de personas responsables por actividades referentes a la creación y aprobación de nuevas normas de seguridad en la organización. En las reuniones se definen los criterios de seguridad adoptados en cada área y el esfuerzo común necesario para que la seguridad alcance un nivel más elevado.Se debe tener en mente que los equipos involucrados necesitan tiempo libre para analizar y escribir todas las normas discutidas durante las reuniones.
  • 7. Partes que integran el documento final  En este documento deben expresarse las preocupaciones de la administración, donde se establecen normas para la gestión de seguridad de la información, que contengan:  La definición de la propia política  Una declaración de la administración que apoye los principios establecidos y una explicación de las exigencias de conformidad con relación a:  legislación y cláusulas contractuales; educación y formación en seguridad de la información; prevención contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.)  Debe contener también la atribución de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestión de los procesos y de la seguridad.  No olvidar de que toda documentación ya existente sobre cómo realizar las tareas debe ser analizada con relación a los principios de seguridad de la información, para aprovechar al máximo las prácticas actuales, evaluar y agregar seguridad a esas tareas.
  • 8. Hacer oficial la política  La oficialización de una política tiene como base la aprobación por parte de la administración de la organización.  Debe ser publicada y comunicada de manera adecuada para todos los empleados, socios, terceros y clientes. En virtud que las políticas son guías para orientar la acción de las personas que intervienen en los procesos de la empresa.
  • 9. Etapas de producción de la política Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. El trabajo de producción se compone por distintas etapas, entre otras: 1. Objetivos y ámbito En este punto debe constar la presentación del tema de la norma con relación a sus propósitos y contenidos, buscando identificar resumidamente cuáles estándares la política trata de establecer, además de la amplitud que tendrá en relación a entornos, individuos, áreas y departamentos de la organización involucrados.
  • 10. Etapas de producción de la política 2. Entrevista  Las entrevistas tratan de identificar junto a los usuarios y administradores de la organización las preocupaciones que ellos tienen con los activos, los procesos de negocio, áreas o tareas que ejecutan o en la cual participan. Las entrevistas tratan de identificar las necesidades de seguridad existentes en la organización.  Investigación y análisis de documentos En esta etapa se identifican y analizan los documentos existentes en la organización y los que tienen alguna relación con el proceso de seguridad en lo referente a la reducción de riesgos, disminución de trabajo repetido y falta de orientación. Entre la documentación existente, se pueden considerar: libros de rutinas, metodologías, políticas de calidad y otras. 3. Glosario de la política  Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura de la política. Así todos los lectores deben tener el mismo punto de referencia conceptual de términos. Por lo tanto se recomienda que la política cuente con un glosario específico donde se especifiquen los términos y conceptos presentes en toda la política de seguridad
  • 11. Etapas de producción de la política 4. Responsabilidades y penalidades  Es fundamental identificar a los responsables, por la gestión de seguridad de los activos normalizados, con el objetivo de establecer las relaciones de responsabilidad para el cumplimiento de tareas, como las normas de aplicación de sanciones resultantes de casos de inconformidad con la política elaborada. De esa manera, se busca el nivel de conciencia necesario para los involucrados, con relación a las penalidades que serán aplicadas en casos de infracción de la política de seguridad. 5. Documentos de la política de seguridad  Si existe ya un estándar de estructura de documentos para políticas dentro de la empresa, éste puede ser adoptado.
  • 12. En este modelo, se explica que una política de seguridad esta formada por tres grandes secciones MODELO DE ESTRUCTURA DE POLÍTICA DE SEGURIDAD
  • 13. Directrices (Estrategias)  Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la organización y tiene como base su visión y misión para abarcar toda la filosofía de seguridad de la información. Las directrices corresponden a las preocupaciones de la empresa sobre la seguridad de la información, al establecer sus objetivos, medios y responsabilidades.  Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido.  Como la información no está presente en un único entorno (microinformática, por ejemplo) o medio convencional (fax, papel, comunicación de voz, etc.), debe permitir que se aplique a cualquier ambiente existente y no contener términos técnicos de informática. Se compone de un texto, no técnico, con las reglas generales que guían a la elaboración de las normas de seguridad.
  • 14. Normas (Táctico)  Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina, etc.  Las normas, por estar en un nivel táctico, pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios. Normas de Seguridad para técnicos  Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros. Pueden ser ampliamente utilizadas para la configuración y administración de ambientes diversos como Windows NT, Netware, Unix etc.
  • 15. Normas (Táctico) Normas de Seguridad para Usuarios  Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros. Pueden ser ampliamente utilizadas para todos los usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc.
  • 16. Procedimientos e instrucciones de trabajo (Operacional) Procedimiento  Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e ínter departamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información. Instrucción de trabajo  Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en modelo de paso a paso para los usuarios del activo en cuestión.
  • 17. Acompañamiento de la política  Una política de seguridad, para que sea efectiva, necesita contar con los siguientes elementos como base de sustentación:  Cultura  El entrenamiento de personas debe ser constante, de tal manera que se actualice toda la empresa con relación a los conceptos y normas de seguridad,  además de sedimentar la conciencia de seguridad, para tornarla como un esfuerzo común entre todos los involucrados.  Herramientas  Los recursos humanos, financieros y las herramientas de automatización deben estar de acuerdo con las necesidades de seguridad. Parte de la seguridad puede ser automatizada o mejor controlada con herramientas específicas, como  copias de seguridad obligatorias programadas, control de acceso con registro de ejecución, etc.  Monitoreo  La implementación de la política de seguridad debe ser constantemente monitoreada. Es necesario efectuar un ciclo de manutención para ajustar la estandarización resultante de los problemas encontrados, reclamaciones de empleados o resultados de auditoría. Se debe también adaptar la seguridad a las nuevas tecnologías, a los cambios administrativos y al surgimiento de nuevas amenazas.
  • 18. Temas de la política  Para elaborar una política, es necesario delimitar los temas que serán convertidos en normas.  La división de los temas de una política depende de las necesidades de la organización y su delimitación se hace a partir de: el conocimiento del ambiente organizacional, humano o tecnológico, la recopilación de las preocupaciones sobre seguridad de parte de los usuarios, administradores y ejecutivos de la empresa Algunos ejemplos de temas posibles son:
  • 19. Temas de la política  Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos.  Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones.  Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia.  Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia.  Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria.  Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.
  • 20. MEDIDAS DE SEGURIDAD IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD
  • 21. MEDIDAS DE SEGURIDAD  Las medidas de seguridad son acciones que podemos tomar con la finalidad de reducir las vulnerabilidades existentes en los activos de la empresa.  Son varias las medidas de protección que recomendamos para la reducción de las vulnerabilidadesde la información. Entre otras:  • Protección contra virus, Implementación de firewalls, Control de acceso a los recursos de la red, Control de acceso físico , Sistemas de vigilancia, Detección y control de invasiones, Políticas generales o específicas de seguridad, Equipos, Configuración de ambientes, Entrenamiento, Campañas de divulgación, Planes de continuidad, Clasificación de la información, VPN – Virtual Private Network, Acceso remoto seguro, Monitoreo y gestión de la seguridad, ICP – Infraestructura de llaves públicas
  • 22. MEDIDAS DE SEGURIDAD  1. Control de acceso a los recursos de la red: Implementación de controles en las estaciones de trabajo que permiten la gestión de acceso, en diferentes niveles, a los recursos y servicios disponibles en la red.  2. Protección contra virus: Implementación de un software que prevenga y detecte software maliciosos, como virus, troyanos y scripts, para minimizar los riesgos con paralizaciones del sistema o la pérdida de información.  3. Seguridad para equipos portátiles: Implantación de aplicaciones y dispositivos para la prevención contra accesos indebidos y el robo de información.
  • 23. MEDIDAS DE SEGURIDAD  4. ICP – Infraestructura de llaves públicas  Consiste en emplear servicios, protocolos y aplicaciones para la gestión de claves públicas, que suministren servicios de criptografía y firma digital.  5. Detección y control de invasiones  Implantación de una herramienta que analice el tránsito de la red en busca de posibles ataques, para permitir dar respuestas en tiempo real, y reducir así los riesgos de invasiones en el ambiente.  6. Firewall  Sistema que controla el tránsito entre dos o más redes, permite el aislamiento de diferentes perímetros de seguridad, como por ejemplo, la red Interna e Internet.  7. VPN – Virtual private network  Torna factible la comunicación segura y de bajo costo. Utiliza una red pública, como Internet, para enlazar dos o más puntos, y permite el intercambio de información empleando criptografía.
  • 24. MEDIDAS DE SEGURIDAD  8. Acceso remoto seguro: Torna posible el acceso remoto a los recursos de la red al emplear una red pública, como por ejemplo, Internet.  9. Seguridad en correo electrónico: Utiliza certificados digitales para garantizar el sigilo de las informaciones y software para filtro de contenido, y proteger a la empresa de aplicaciones maliciosas que llegan por ese medio.  10. Seguridad para las aplicaciones: Implementación de dispositivos y aplicaciones para garantizar la confidencialidad, el sigilo de las informaciones y el control del acceso, además del análisis de las vulnerabilidades de la aplicación, al suministrar una serie de recomendaciones y estándares de seguridad.  11. Monitoreo y gestión de la seguridad: Implementación de sistemas y procesos para la gestión de los eventos de seguridad en el ambiente tecnológico, haciendo posible un control mayor del ambiente, para dar prioridad a las acciones e inversiones.
  • 25. MEDIDAS DE SEGURIDAD  12. Seguridad en comunicación Móvil: Acceso a Internet para usuarios de aparatos móviles como teléfonos celulares y PDA’s, para permitir transacciones e intercambiar información con seguridad vía Internet.  13. Seguridad para servidores: Configuración de seguridad en los servidores, para garantizar un control mayor en lo que se refiere al uso de servicios y recursos disponibles.  14. Firewall interno: Este firewall funciona al aislar el acceso a la red de servidores críticos, minimizando los riesgos de invasiones internas a servidores y aplicaciones de misión crítica.