2. Según la RAE:
12. f. Orientaciones o directrices que rigen la
actuación de una persona o entidad en un
asunto o campo determinado.
3. Recoge las directrices u objetivos de una
organización con respecto a la seguridad de
la información.
Forma parte de su política general y, por
tanto, ha de ser aprobada por la dirección.
(Aguilera López)
4. El objetivo principal de este documento es
concienciar al personal de una organización
(y en especial a los involucrados en el sistema
de información) en la necesidad de conocer
los principios de seguridad y las normas que
ayudan a cumplir los objetivos de ésta.
Se redacta de forma clara y precisa para que
sea entendida por todo el personal.
5. No todas las políticas son iguales, dependen
siempre del giro de negocio de la
organización.
6. Existen estándares por países y por áreas
(gobierno, medicina, militar, etc.).
La ISO (International Organization for
Standardization) define algunas normas de
carácter internacional.
ISO 7498-2:1989 Information processing
systems -- Open Systems Interconnection
7. Contendrá los objetivos de la empresa en
materia de seguridad del sistema de
información.
Estos objetivos se engloban en cuatro
grupos:
8. • Necesidades de seguridad.
• Riesgos que amenazan al sistema.
• Evaluar impactos ante un ataque.
Identificar
• Medidas de seguridad para afrontar riesgos de activos o grupo
de activos.Relacionar
• Perspectiva general de las reglas y procedimientos para
afrontar riesgos identificados en los diferentes departamentos.Proporcionar
• Vulnerabilidades del sistema de información.
• Controlar los fallos producidos.Detectar
9. La definición del plan de contingencias es uno
de los resultados y parte de la política de
seguridad.
10.
11. Esta norma define una política de
autorización genérica, la cual puede
formularse de la siguiente forma:
“La información no puede darse, ni puede
permitirse el acceso a ella, ni se puede
permitir que sea inferida, ni se puede utilizar
ningún recurso por parte de personas o
entidades que no están autorizadas de forma
apropiada.”
12. Esta ISO constituye una base posible para
políticas mas detalladas. No cubre la
disponibilidad (Ejemplo, cuestiones de
DDOS)
Distingue dos tipos de políticas de seguridad:
13. Políticas basadas en identidad:
Determinación del acceso y uso de los recursos en
base a las identidades de los usuarios y recursos.
Políticas basadas en reglas:
El acceso a los recursos se controla a través de
reglas globales impuestas a todos los usuarios,
por ejemplo, utilizando etiquetas de seguridad.
14. Define cinco categorías principales de
servicios de seguridad:
Autenticación, tanto de entidades como de
origen.
Control de acceso.
Confidencialidad de los datos.
Integridad de los datos.
No repudio
15.
16. Es una análisis pormenorizado de un sistema
de información que permite descubrir,
identificar y corregir vulnerabilidades.
Su objetivo es verificar que se cumpla la
política de seguridad.
Proporciona una imagen real y actual del
estado de seguridad del sistema de
información.
17. Los encargados de realizar la auditoría
emiten un informe que contiene como
mínimo lo siguiente:
Descripción y característica de los activos y
procesos analizados.
Análisis de las relaciones y dependencias entre
activos o en el proceso de la información.
Relación y evaluación de las vulnerabilidades
detectadas en cada activo o subconjunto de activo
y proceso.
18. Los encargados de realizar la auditoría
emiten un informe que contiene como
mínimo lo siguiente:
Verificación del cumplimiento de la normativa en
el ámbito de seguridad.
Propuesta de medidas preventivas y de
corrección.
19. Para evaluar la seguridad de un sistema se
necesitan de herramientas de análisis tales
como:
Manuales (activos, procesos, mediciones,
entrevistas, cuestionarios, cálculos, pruebas).
Software Específico para Auditorías (Computer
Assited AuditTechniques, CAAT).
20. La auditoría puede ser total, en todo el SI, o
parcial, sobre determinados activos o
procesos.
La auditoría de un sistema de información
puede realizarse:
Por personal capacitado perteneciente a la propia
empresa.
Por una empresa externa.
21.
22. Instrumento de gestión que contiene las
medidas (tecnológicas, humanas y de
organización) que garanticen la continuidad
del negocio protegiendo el sistema de
información de los peligros que amenazan o
recuperándolo tras un impacto.
23. Consta de tres subplanes independientes:
Plan de Respaldo: crear y conservar en un
lugar seguro copias de seguridad de la
información.
Plan de Emergencia: qué medidas tomar
cuando se está materializando una amenaza
o cuando acaba de producirse.
24. Consta de tres subplanes independientes:
Plan de Recuperación: medidas que se
aplicaran cuando se ha producido un
desastre. El objetivo es evaluar el impacto y
regresar lo antes posible.
25. La elaboración de este plan no puede dejar
por fuera a los miembros de la organización,
el cual debe estar informado y entrenado
para actuar en las funciones que le hayan sido
encomendadas en caso de producirse una
amenaza o impacto.
26. Aguilera López, P. (s.f.). Seguridad
Informática. Madrid: Editex.
Areitio Bertolín, J. (2008). Seguridad de la
Información. Madrid: Paraninfo.