INSTITUTO

UNIVERSITARIO MILITAR

DE COMUNICACIONES Y

ELECTRONICA DE LA

F.A.N.B

Prof. Julio C. Jordán A.

Que son las Políticas de Seguridad Informática?

Una política de seguridad informática es una forma

de comunicarse con los usuarios y los gerentes. Las

PSI establecen el canal formal de actuación del

personal, en relación con los recursos y servicios

informáticos, importantes de la organización.

Es más bien una descripción de los que deseamos

proteger y el por qué de ello.

Cada PSI es consciente y vigilante del personal por

el uso y limitaciones de los recursos y servicios

informáticos críticos de la compañía.

2

Las PSI se deben considerar entre otros, los

siguientes elementos:

Alcance de las políticas, incluyendo facilidades, sistemas y

personal sobre la cual aplica.

Objetivos de la política y descripción clara de los

elementos involucrados en su definición.

Responsabilidades por cada uno d los servicios y recursos

informáticos a todos los niveles de la organización.

Requerimientos mínimos para configuración de la seguridad

de los sistemas que cobija el alcance de la política.

Definición de violaciones y de las consecuencias del no

cumplimiento de la política.

Responsabilidades de los usuarios con respecto a la

información a la ella tiene acceso.

3

Espere lo inesperado, Imagine lo que sucedería si:

La información esencial fuera robada, se perdiera,

estuviera en peligro, fuera alterada o borrada.

Los sistemas de correo electrónico no funcionaran durante un día o más. ¿Cuánto costaría esta improductividad?

Los clientes no pudieran enviar órdenes de compra a través de la red durante un prolongado periodo de tiempo.

Los directivos se interesen cada vez más en la prevención de

desastres físicos y espionaje. Implementar una política de

seguridad le da valor a su empresa o institución. También

mejorará la credibilidad y reputación de la institución y

aumentará la confianza de los accionistas principales, lo que le

dará a la empresa una ventaja estratégica. 4

Identifique y evalué los

activos.

Hardware.

Software.

Datos.

Personas.

Identifique las

amenaza

Amenazas externas.

Amenazas internas

5

Evalué los riegos.

Componente mas desafiante.

Calcular que puedan ocurrir ciertos sucesos

Determinar cuales tienen potencial para causar daños.

Asigne las responsabilidades Cree equipo de apoyo para

identificar amenazas.

Involucre personal de cada departamento.

6

Establezca política de seguridad. Cree una política que apunte a los documentos asociados;

parámetros y procedimientos, normas, así como los contratos de empleados.

Involucre a las áreas propietarias de los recursos o servicios, pues ellos poseen la experiencia y son fuente principal para establecer el alcance y las definiciones de violaciones a la PSI.

Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.

Recuerde que es necesario identificar quién tiene la autoridad para tomar decisiones, pues son ellos los responsables de salvaguardar los activos críticos de la funcionalidad de su área u organización.

Desarrolle un proceso de monitoreo periódico de las directrices en el hacer de la organización, que permita una actualización oportuna de las mismas.

No dé por hecho algo que es obvio. 7

Implemente una política en toda la organización. La política que se escoja debe establecer claramente las

responsabilidades en cuanto a la seguridad y reconocer quién es el propietario de los sistemas y datos específicos. Éstas son las tres partes esenciales de cumplimiento que debe incluir la política:

Cumplimiento: Indique un procedimiento para garantizar el

cumplimiento y las consecuencias potenciales por incumplimiento.

Funcionarios de seguridad: Nombre individuos que sean directamente responsables de la seguridad de la información. Asegúrese de que no es la misma persona que supervisa, implementa o revisa la seguridad para que no haya conflicto de intereses.

Financiación: Asegúrese de que a cada departamento se le haya asignado los fondos necesarios para poder cumplir adecuadamente con la política de seguridad de la compañía.

Administre el programa de seguridad. 8

9

Diseño e implementación de la seguridad

Manejo de la seguridad

Re-evaluación

Evaluación de riesgos

10

10

Las empresas necesitan establecer políticas, estándares y

procedimientos de seguridad para hacer cumplir la seguridad

de la información de forma estructurada. Una evaluación de

riesgos le ayudará a identificar y administrar las

vulnerabilidades de su entorno., Con base en este análisis,

usted puede desarrollar un marco de políticas apropiado y

empezar a construir un conjunto de políticas adaptadas a su

empresa.

La norma ISO 17799 es una de las muchas regulaciones y

estándares gubernamentales, o del sector, que las empresas

están incorporando a sus políticas de seguridad.

INSTITUTO

UNIVERSITARIO MILITAR

DE COMUNICACIONES Y

ELECTRONICA DE LA

F.A.N.B

Prof. Julio C. Jordán A.

2

Es la expresión gráfica del Sistema de Seguridad Informática

diseñado y constituye el documento básico que establece los

principios organizativos y funcionales de la actividad de

Seguridad Informática en una Entidad y recoge claramente las

políticas de seguridad y las responsabilidades de cada uno de

los participantes en el proceso informático, así como las

medidas y procedimientos que permitan prevenir, detectar y

responder a las amenazas que gravitan sobre el mismo.

Durante el proceso de diseño de un Sistema de Seguridad

Informática se distinguen tres etapas:

3

1) Determinar las necesidades de protección del sistema

informático objeto de análisis, que incluye:

• Caracterización del sistema informático.

• Identificación de las amenazas y estimación de los

riesgos.

• Evaluación del estado actual de la seguridad.

2) Definir e implementar el sistema de seguridad que garantice

minimizar los riesgos identificados en la primera etapa.

• Definir las políticas de seguridad.

• Definir las medidas y procedimientos a implementar.

3) Evaluar el sistema de seguridad diseñado.

4

Para la elaboración del Plan de Seguridad Informática se

tendrán en cuenta las consideraciones siguientes:

• Serán confeccionados tantos ejemplares como se determine en cada

lugar, numerando las páginas consecutivamente.

• Se determinará su clasificación, parcial o total, de acuerdo a la

información que contenga, en correspondencia con las categorías que

expresa el LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS (2001).

Gaceta Oficial de la República Bolivariana de Venezuela, 37.313,

octubre 30 de 2001 y otras que aplique.

• Contendrá las tablas y gráficos que se consideren necesarios y

contribuyan a su mejor interpretación.

• Tendrán acceso a este documento, o a parte de él, las personas que en

cada área requieran de su conocimiento.

• Se mantendrá permanentemente actualizado sobre la base de los

cambios que se produzcan en las condiciones que se consideraron

durante su elaboración.

5

DOCUMENTO

5

LECTURA DEL DOCUMENTO