AUDITORIA EN SEGURIDAD INFORMÁTICA

INSTITUTO TECNOLÓGICO DE TUXTEPEC

MATERIA:AUDITORIA EN SEGURIDAD INFORMÁTICA

INTEGRANTES:ANOTA SANDOVAL YARA MARIELA

BRAVO ZAMORA SUSANA

MARCIAL RUIZ YESICA

RODRÍGUEZ MORELOS MARÍA FERNANDA

CARRERA:ING. EN INFORMÁTICA

CATEDRÁTICO:

LIC. VALERIANO OROZCO MEZTLI

TUXTEPEC, OAX, 9 DE SEPTIEMBRE DE 2013

POLÍTICAS DE SEGURIDAD

El término política de seguridad, se suele definir como el

conjunto de requisitos definidos por los responsables

directos o indirectos de un sistema, que indica en términos

generales qué está y qué no está permitido en el área de

seguridad durante la operación general de dicho sistema.

INTRODUCCIÓN

Una “Política de Seguridad” debe ser un documento formal que contenga las reglas a las cuales deberán atenerse las personas que están teniendo acceso a la tecnología e información de una organización.

PROPÓSITO

Informar a los usuarios de la obligatoriedad de cumplir con los

requisitos de proteger los activos de tecnología e información.

Esta debería especificar los mecanismos y procedimientos por

los cuales requerimientos son alcanzados.

UNA POLÍTICA DE SEGURIDAD PUEDE SER:

Prohibida: Si todo lo que no está expresamente permitido está

denegado.

Permisiva: Si todo lo que no está expresamente prohibido está

permitido.

 

QUIÉN DEBERÍA ESTAR INVOLUCRADO EN LA REALIZACIÓN DE LA POLÍTICA DE SEGURIDAD

• Directivos y/o representantes de los accionistas de la organización.

• Administrador de la seguridad.

• El staff de las áreas de tecnología.

• Representantes de la comunidad usuaria.

• Gerentes de las distintas áreas.

• Auditoría Interna.

• Asesor legal.

SEIS ELEMENTOS CLAVES EN POLÍTICAS DE SEGURIDAD

1. Disponibilidad: Es necesario garantizar que los recursos del sistema se

encontrarán disponibles cuando se necesitan, especialmente la información

crítica.

2. Utilidad: Los recursos del sistema y la información manejada en el mismo ha de

ser útil para alguna función.

3. Integridad: La información del sistema ha de estar disponible tal y como se

almacenó por un agente autorizado.

4. Autenticidad: El sistema ha de ser capaz de verificar la identidad de sus

usuarios, y los usuarios la del sistema.

5. Confidencialidad: La información sólo ha de estar disponible para agentes

autorizados, especialmente su propietario.

6. Posesión : Los propietarios de un sistema han de ser capaces de controlarlo

en todo momento; perder este control en favor de un usuario malicioso

compromete la seguridad del sistema hacia el resto de usuarios.

PRINCIPALES COMPONENTES DE UNA POLÍTICA DE SEGURIDAD

• Pautas para la adquisición de tecnología informática, que indiquen las preferencias o

dispositivos relacionados con la seguridad que deben poseer.

• Criterios de privacidad que definan razonablemente el alcance de las actividades de

monitoreo (revisión) del correo electrónico, control del acceso de los usuarios, etc.

• Normas de acceso, que especifiquen los privilegios y derechos de accesos; para

proteger los activos de información de la pérdida o su divulgación. Debería proveer

pautas básicas sobre las conexiones externas, comunicación de datos, conexión de

dispositivos a redes públicas o a Internet, la adición de nuevos sistemas, etc.

 

• Niveles de responsabilidad, que definan las misiones y las funciones de los usuarios, el

staff o la gerencia en las revisiones de auditorias, donde se determine las acciones a

seguir y las notificaciones pertinentes en el caso de detección de intromisiones no

deseadas.

• Pautas de autenticación, que definan los mecanismos a utilizar para la identificación y

validación de los usuarios.

• Normas de disponibilidad, que estipulen las expectativas de los usuarios para la

disponibilidad de los recursos. Aquí deberían enunciarse en forma general los

requerimientos de continuidad operativa, como así también los tiempos máximos

tolerados de no operación.

• Pautas sobre el reporte de violaciones, que indiquen las acciones a tomar

para cada una de las violaciones detectadas a cuestiones de privacidad,

confidencialidad, etc., ya sean de fuentes internas o externas.

• Pautas sobre la provisión de información, que especifiquen los canales a

seguir y el tipo de información que se podrá proveer en caso que agentes

externos hagan solicitud de ella.

CONCLUSIÓN

La “Seguridad de la Información” es un tema especialmente importante que

va en aumento, con el incremento de la tecnificación, la diversidad de las

redes de computación, la explotación de los servicios más variados por la

Internet, el advenimiento del comercio electrónico y el mayor número de

negocios que dependen de la información para sus operaciones diarias,

hacen que el contar con una adecuada “Política de Seguridad” sea un

requerimiento infaltable para la salud de la organización.