Polticas de seguridad
Estrategia de negocio
ACTIVIDADES DE LA EMPRESA
Planificacin de Objetivos Diseo y ejecucin de acciones para conseguir objetivo
Control (de resultados de acciones contra objetivos)
Sistemas de Informacin
Registro de transacciones
Transacciones
Entorno
ORGANIZACION
Porque no slo es un tema Tecnolgico. Porque la institucin no cuenta con Polticas de Seguridad de la Informacin formalmente aceptadas y conocidas por todos.
ACTITUD proactiva,
Investigacin permanente
Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. Ninguna medicina es til a menos que el paciente la tome
Ejemplos:
Inexistencia de procedimientos de trabajo Concentracin de funciones en una sola persona Infraestructura insuficiente
IDENTIFICACIN DE RIESGOS
Riesgo: La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte un activo Que debe analizarse? El impacto (leve ,moderado,grave) La probabilidad (baja, media, alta)
valoran
definen
Salvaguardas
Pueden tener conciencia de
Que pueden tener Reducen
RECURSOS
Amenazas
explotan
Vulnerabili dades
Permiten o facilitan
Dao
RIESGO
PRINCIPALES PROBLEMAS:
No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades. No se puede medir la severidad y la probabilidad de los riesgos. Se inicia el anlisis con una nocin preconcebida de que el costo de los controles ser excesivo o que la seguridad tecnolgica no existe. Se cree que la solucin de seguridad interferir con el rendimiento o apariencia del producto o servicio del negocio.
ESTNDARES DE SEGURIDAD
Se ha homologado a la realidad Chilena NCh2777 la ISO 17799 que tiene la bondad de ser transversal a las organizaciones , abarcando la seguridad como un problema integral y no meramente tcnico. Ley 19.233 sobre delitos informticos. Ley 19.628 sobre proteccin de los datos personales. Ley 19.799 sobre firma electrnica
QU ES UNA POLTICA?
Conjunto de orientaciones o directrices que rigen la actuacin de una persona o entidad en un asunto o campo determinado.
Ser general , sin comprometerse con tecnologas especficas. Debe abarcar toda la organizacin Debe ser clara y evitar confuciones No debe generar nuevos problemas Debe permitir clasificar la informacin en confidencial, uso interno o pblica. Debe identificar claramente funciones especficas de los empleados como : responsables, custodio o usuario , que permitan proteger la informacin.
Procedimientos
Estndares o prcticas Estructura organizacional
POLTICAS ESPECFICAS
Definen en detalle aspectos especficos que regulan el uso de los recursos de informacin y estn ms afectas a cambios en el tiempo que la poltica general. Ejemplo:
Poltica de uso de Correo Electrnico:
Definicin del tipo de uso aceptado: El servicio de correo electrnico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deber limitarse al mnimo posible
Prohibiciones expresas: Se prohbe el envo de mensajes ofensivos. Deber evitarse el envo de archivos peligrosos
Declaracin de intencin de monitorear su uso: La empresa podr monitorear el uso de los correos en caso que se sospeche del mal uso
PROCEDIMIENTO
Define los pasos para realizar una actividad Evita que se aplique criterio personal. Ejemplo:
Procedimiento de Alta de Usuarios:
1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Administrador de Privilegios una solicitud formal de creacin de cuenta, identificando claramente los sistemas a los cuales tendr accesos y tipos de privilegios. 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso, perfil del usuario, nombre , Rut, seccin o unidad a la que pertenece. 3.- El Administrador de privilegios crear la cuenta del usuario a travs del Sistema de Administracin de privilegios y asignar una clave inicial para que el usuario acceda inicialmente. 4.- El Administrados de privilegios formalizar la creacin de la cuenta al usuario e instruir sobre su uso.
ESTNDAR
En muchos casos depende de la tecnologa Se debe actualizar peridicamente Ejemplo:
Estndar de Instalacin de PC:
Tipo de mquina:
Para plataforma de Caja debe utilizarse mquinas Lanix Para otras plataformas debe utilizarse mquinas Compaq o HP. Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB
Registro:
Cada mquina instalada debe ser registrada en catastro computacional identificando los nmeros de serie de componente y llenar formulario de traslado de activo fijo
Condiciones electricas:
Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC
Colaboracin
Publicacin Educacin Cumplimiento
Enfoque Metodolgico
RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado.
Para cada estructura incorpora documentacin asociada como polticas especficas, procedimientos y estndares.
GESTIN IT
Objetivo: contar con procedimientos formales que permitan realizar adecuadamente la planeacin y desarrollo del plan informtico. Contiene: Objetivo y estrategia institucional Plan Informtico y comit informtica Metodologa de Desarrollo y Mantencin
OPERACIONES IT
Objetivo: Contar conprocedimientos formales para asegurar la operacin normal de los Sistemas de Informacin y uso de recursos tecnolgicos que sustentan la operacin del negocio. Contiene:
Seguridad Fsica sala servidores
Control de acceso a la sala Alarmas y extincin de incendios Aire acondicionado y control de temperaturas UPS Piso y red electrica Contratos de mantencin Contratos proveedores de servicios
Ficha de servidores
Poltica Respaldos: diarios,semanales,mensuales, histricos Bases de datos, correo electrnico, datos de usuarios, softawre de aplicaciones, sistemas operativos. Administracin Cintoteca: Rotulacin Custodia Requerimientos, rotacin y caduciddad de cintas. Administracin de licencias de software y programas
Seguridad de Networking:
Caractersticas y topologa de la Red
Estandarizacin de componentes de red Seguridad fsica de sites de comunicaciones Seguridad y respaldo de enlaces Seguridad y control de accesos de equipos de comunicaciones Plan de direcciones IP Control de seguridad WEB
CONCLUSIONES
La Informacin es uno de los activos mas valiosos de la organizacin
La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.