Unidad IIPolíticas Generales de Seguridad
M.E. YESENIA CETINA
Las Políticas
● Las políticas son instrucciones gerenciales que trazan una dirección predeterminada o describen la manera de manejar un problema o situación.
Políticas Generales de Seguridad (PSI)
● Una PSI es una forma de comunicarse con los usuarios y los gerentes.
● Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización.
● Sin PSI, la gerencia no puede garantizar que los sistemas informáticos son operados de manera segura.
● Las PSI proporcionan delimitaciones claras que definen un dominio donde se puede encontrar una solución aceptable.
● No se puede iniciar un adiestramiento efectivo sobre la seguridad informática y sobre el esfuerzo de concientización que al respecto se requiere, sin documentar las políticas de seguridad informática, porque dichas políticas proporcionan el contenido esencial del adiestramiento mismo.
● Las PSI pueden servir también para:● Referencias para auditorías internas.● Resolución de disputas legales.● Evidencias de control de calidad.
● Deben hacerse revisiones periódicas por parte de los especialistas en seguridad, a fin de determinar si necesitan modificarse.
Algunos ejemplos en políticas de seguridad informática.
Elementos de una política de seguridad informática.
Elementos de una PSI
● Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
● Objetivos de la política y descripción clara de los elementos involucrados en su definición.
● Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización.
● Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política.
● Definición de violaciones y de las consecuencias del no cumplimiento de la política.
● Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.
Parámetros para establecer PSI
● Ejercicio de análisis de riesgos informático, a través del cual valore sus activos.
● Involucre a las áreas propietarias de los recursos o servicios
● Comunique a todo el personal involucrado en el desarrollo de las PSI
● Identificar quién tiene la autoridad para tomar decisiones
● Monitoreo periódico de las directrices
● Un último consejo: no dé por hecho algo que es obvio
Forma de realizar el análisis para llevar a cabo un sistema de seguridad informática
Top Related