La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

SEGURIDAD FÍSICA Políticas de Seguridad. El objetivo de la Políticas de Seguridad de Información, es encima de todo, definir el posicionamiento de la.

Publicada porEmilio Flores González Modificado hace 8 años

Presentaciones similares

Presentación del tema: "SEGURIDAD FÍSICA Políticas de Seguridad. El objetivo de la Políticas de Seguridad de Información, es encima de todo, definir el posicionamiento de la."— Transcripción de la presentación:

1 SEGURIDAD FÍSICA Políticas de Seguridad

2 El objetivo de la Políticas de Seguridad de Información, es encima de todo, definir el posicionamiento de la organización, además de servir de base para desarrollar los procedimientos de seguridad.

3 Políticas de Seguridad La organización debe contar con un documento formalmente elaborado sobre el tema, el cual obligatoriamente será divulgado entre todos los funcionarios.

4 Políticas de Seguridad No puede ser simplemente una carta de intención, así como no es necesario un alto grado de detalle. Las Políticas deben contener claramente las practicas que serán adoptadas por la compañía.  Estas Políticas deben ser revisadas, y de ser necesario actualizadas, periódicamente.  Lo más importante para que estas surtan efecto es lograr la concientización, entendimiento y compromiso de todos los involucrados.

5 Políticas de Seguridad A manera de ejemplo, las Políticas deben comprender:  Definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la empresa  Mostrar el compromiso de la alta gerencia con la misma  Filosofía respecto al acceso a los datos  Percepción y responsabilidades inherentes al tema

6 Políticas de Seguridad  Establecer la base para poder diseñar normas y procedimientos referidos a: Organización de la seguridad Clasificación y control de los datos Seguridad de las personas Seguridad física y ambiental Plan de contingencia Prevención y detección de virus Administración de los equipos

7 Políticas de Seguridad Clasificación de los datos y del nivel riesgo Como el grado de sensibilidad y criticidad de los datos es muy variable, el grado de seguridad requerido no será el mismo para todos. Se deben clasificar los datos, lo cual es similar a establecer su valor.

8 Políticas de Seguridad Clasificación de los datos y del nivel riesgo La clasificación debe hacerse sobre la base de un avalúo individual del contenido de las bases de datos, y de su importancia para el negocio, considerando las consecuencias de pérdida, divulgación o acceso indebido.

9 Políticas de Seguridad Los usuarios, que no se debe olvidar son los dueños de los datos (aunque generalmente se le cede la propiedad al personal de Informática, quien solamente debe tener la administración), son los responsables de realizar esta tarea, dado que son ellos los que conocen los datos y lo que pueden evaluar el impacto en el negocio.

10 Políticas de Seguridad  Como sugerencia de clasificación, pueden utilizarse los siguientes rótulos o niveles:  Confidencial (información estratégica o de sigilo absoluto)  Uso restringido (uso para grupos restringidos de las gerencias y/o jefaturas de área)  Uso interno (Funcionarios)  Uso público (clientes, proveedores, otros)

11 Políticas de Seguridad La sensibilidad de la información debe ser analizada a partir de las siguientes perspectivas (los objetivos de la seguridad):  Grado de confidencialidad, determinado por el daño o perdida sufrido por la empresa ante un acceso no autorizado  Grado de sensibilidad respecto a la integridad, determinado por el daño o pérdida sufrido ante la inexactitud de la información  Grado de sensibilidad a la disponibilidad, determinado por el daño o pérdida sufrida frente a la no-disponibilidad de los datos cuando estos son requeridos.

12 Políticas de Seguridad Complementariamente al nivel de criticidad de los datos, se debe precisar el nivel de riesgo al que están expuestos. Se definen niveles de riesgo de acuerdo a la probabilidad de que se materialice una amenaza y al grado de impacto producido, en caso que lo anterior acontezca. Las amenazas son acciones que ponen en peligro la integridad, disponibilidad y confidencialidad de los datos, como errores, accesos indebidos, desastres naturales, etc.

13 Políticas de Seguridad El impacto es el resultado para la empresa de la materialización de la amenaza, estos resultados pueden ser:  Pérdidas financieras  Pérdida de imagen  Costo de oportunidad, etc.

14 Políticas de Seguridad Los riesgos dependerán de las plataformas (Windows NT/2000/2003, Unix, etc.) y tipo de equipamiento (PC, Servidores, Workstations, etc.) en donde se mantienen los datos, y del intercambio de la misma desde o hacia terceros (vía Internet, VPN, Dial up, etc.).

15 Políticas de Seguridad Si la empresa mantiene, por ejemplo, todos sus datos bajo una aplicación para Windows 2003 en una red de PCs tendrá un nivel de riesgo único para la totalidad de los datos. En cambio si se utilizan varias aplicaciones, una bajo Windows 2003 y otra bajo Linux (Debian 5, 6), y otras bajo Unix (HPUX 11.11, 11.23) los riesgos serán distintos para unos y otros datos.

16 Políticas de Seguridad Si a la primera situación le agregamos que se reciben órdenes de compra, datos, solicitudes vía Internet, el nivel de riesgo al que se expone toda la información es mayor que el establecido en primera instancia.

17 Políticas de Seguridad Seguridad Física, Ambiental y Lógica Si bien cuando se habla de proteger información se piensa inmediatamente en controles para el acceso lógico a la misma, debe existir una primera barrera que muchas veces es olvidada o subvalorada. Esta barrera está compuesta por los procedimientos de Seguridad Física y Seguridad Ambiental.

18 Políticas de Seguridad La Seguridad Física como los procedimientos existentes para controlar el acceso físico al equipo informático. Como ejemplo:  Cámaras de vídeo en el Site  Puertas de acceso con cerraduras electrónica activadas por tarjetas

19 Políticas de Seguridad La Seguridad Lógica como los procedimientos existentes para controlar el acceso lógico no autorizado al información, ya sea que se realice mientras esta se encuentra almacenada o durante la transmisión.

20 Políticas de Seguridad Mecanismos básicos de seguridad a) Autentificación  Por 1,2 o 3 Factores  Por reconocimiento biométrico

21 Políticas de Seguridad R econocimiento Biométrico Las técnicas biométricas presentan procesos de verificación de la identidad basados en características físicas (cara, huellas digitales) o de comportamiento (registro vocal, firma). Primero estas características (como el registro vocal) son capturadas e ingresadas al sistema, asociadas a cada usuario respectivo. Luego, en el momento de la verificación, la autentificación se produce por la comparación del patrón almacenado y el registro realizado por el usuario que requiere el acceso.

22 Políticas de Seguridad

23 b) Autorización Autorización es el proceso de determinar qué, cómo y cuándo, un usuario autentificado puede utilizar los recursos de la organización. El mecanismo o el grado de autorización puede variar dependiendo de que sea lo que se este protegiendo.

24 Políticas de Seguridad b) Autorización Con la clasificación de los datos es posible establecer distintos niveles para los mismos, así puede determinarse que para acceder a los datos de cada nivel debe contarse con autorización de cierto nivel jerárquico.

25 Políticas de Seguridad Las autorizaciones pueden hacerse efectivas por medio de una firma en un documento o por medio del ingreso de una contraseña específica en el sistema, sí es importante que quede registrada para ser controlada posteriormente. Al nivel de datos, las autorizaciones son instrumentadas de manera de asegurar la confidencialidad e integridad, así sea otorgando o denegando el acceso a la posibilidad de leer, modificar, crear o borrar los mismos.

26 Políticas de Seguridad La autorización debe ser otorgada siempre de acuerdo a la necesidad de saber, o sea el acceso a cierto recurso se le otorgará al usuario si es indispensable para la realización de su trabajo, y si no se le negará. Es posible otorgar autorizaciones transitorias o modificar las anteriormente otorgadas a medida que las necesidades de ese usuario varíen.

27 Políticas de Seguridad c) Administración La administración incluye los procesos de definir, mantener y eliminar las autorizaciones de los usuarios del sistema, los recursos del sistema y las relaciones usuarios-recursos del sistema. Los administradores son responsables de transformar las políticas de la organización y las autorizaciones otorgadas a un formato que pueda ser usado por el sistema.

28 Políticas de Seguridad Esta administración de la seguridad es un esfuerzo constante porque los negocios se encuentran en permanente cambio dentro de la empresa, lo que repercute en sus sistemas y usuarios. Cada uno de los sistemas operativos de redes conocidos (Windows, Novell, Unix, etc.) cuenta con un módulo de administración de seguridad, pero igualmente existe software específico para realizar esta tarea.

29 Políticas de Seguridad d) Auditoría y registro Llamamos auditoría al proceso de recolectar información y analizarla, que permite a los administradores u otros especialistas verificar que las técnicas de autentificación y autorización empleadas se realizan según lo establecido y se cumplen los objetivos fijados por la organización.

30 Políticas de Seguridad d) Auditoría y registro Registrar es el mecanismo por el cual cualquier intento de violar las reglas de seguridad establecidas queda asentado en una base de eventos que permite su posterior análisis.

31 Políticas de Seguridad Monitorear la información registrada o auditar, se puede realizar mediante medios manuales o automáticos, y con una periodicidad acorde a la criticidad de la información protegida y al nivel de riesgo. Es evidente que el hecho de registrar los eventos, por sí solo, no brinda ninguna utilidad.

32 Políticas de Seguridad Los registros pueden ser usados por más de una persona, para realizar chequeos de rutina o para constatar hechos individuales, entre los que podemos citar administradores, auditores internos y externos, consultores y gobierno.

33 Políticas de Seguridad e) Mantenimiento de la Integridad Mantener la información íntegra refiere a los procedimientos establecidos para evitar o controlar que los archivos permanezcan sin sufrir cambios no autorizados y que la información enviada desde un punto llegue a destino inalterada. El mantenimiento de la integridad también involucra la prevención de cambios accidentales, lo cual generalmente se maneja por medio de códigos de manejo de errores.

34 Políticas de Seguridad Dentro de las técnicas más utilizadas para mantener (o controlar) la integridad de los datos, podemos citar: cifrado y funciones “hash”.

Descargar ppt "SEGURIDAD FÍSICA Políticas de Seguridad. El objetivo de la Políticas de Seguridad de Información, es encima de todo, definir el posicionamiento de la."

Presentaciones similares

EVALUACION DE 360 GRADOS.

EVALUACION DE 360 GRADOS.
SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Seguridad Definición de seguridad informática. Terminología.

Seguridad Definición de seguridad informática. Terminología.
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Control Interno Informático. Concepto

Control Interno Informático. Concepto
METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO

METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
Conceptos generales metodología levantamiento de procesos

Conceptos generales metodología levantamiento de procesos
PRODUCTO NO CONFORME.

PRODUCTO NO CONFORME.
REQUISTOS DE LA CERTIFICACIÓN.

REQUISTOS DE LA CERTIFICACIÓN.
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Enrique Cardenas Parga

Enrique Cardenas Parga
Administración de Certificados Digitales

Administración de Certificados Digitales
ARIS-G: Software de Monitoreo Geomecánico de Superficies

ARIS-G: Software de Monitoreo Geomecánico de Superficies
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.

Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN

Presentaciones similares

Anuncios Google