La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

SEGURIDAD DE LA INFORMACION Políticas de seguridad.

Publicada porFrancisca María Antonia Toro Ramírez Modificado hace 8 años

Presentaciones similares

Presentación del tema: "SEGURIDAD DE LA INFORMACION Políticas de seguridad."— Transcripción de la presentación:

1

2 SEGURIDAD DE LA INFORMACION Políticas de seguridad

3 Modelo de Seguridad de la Información  Un modelo de la seguridad de la información, es un diseño formal que promueve consistentes y efectivos mecanismos para la definición e implementación de controles  Los componentes deben estar dirigidos a identificar los niveles de riesgo presentes y las acciones que se deben implementar para reducirlos.

4 Modelo de Seguridad de la Información Objetivo Definir un marco conceptual apoyado en Políticas, Estándares y Procedimientos de Seguridad de la Información que se adapten a la tecnología utilizada para apoyar la actividad productiva, permitiendo otorgar flexibilidad y fluidez al negocio.

5 Modelo de Seguridad de la Información

6 Políticas Estándares Procedimientos PERSONAS TECNOLOGIA CULTURA

7 Modelo de Seguridad de la Información Gestión de Riesgo Política general de Seguridad de la Información Políticas detalladas de seguridad de la información 1.- Gestión de seguridad de la información 2.- Aplicaciones clave del negocio 3.- Seguridad Física y ambiental 4.- Plataforma tecnológica y arquitectura de Comunicaciones 5.- Seguridad para terceros Código de ética Procedimientos de seguridad de la información Estándares de seguridad de la información Tecnología Procesos Personas

8 Modelo de Seguridad de la Información La seguridad de la información está compuesta por mas que tecnología utilizada para solucionar problemas específicos o puntuales. Adecuado modelo de seguridad debe incluir políticas, procedimientos y estándares definidos de acuerdo con las características del negocio. Se debe contar con un plan de concientización adecuadamente estructurado para la creación de la cultura de seguridad en la organización. La seguridad de la información es tan buena como el nivel de entendimiento y capacitación que el personal tengan de los riesgos reales y las formas de protección. Utilizar los recursos tecnológicos necesarios como soporte para un adecuado respaldo de las políticas. Las mejores herramientas de seguridad son vulnerables si no existen políticas adecuadas que definan claramente su utilización.

9 Modelo de Seguridad de la Información Un adecuado modelo de “Seguridad Informática” esta basado en: Políticas Sólidas de Seguridad de la Información: Mejores prácticas internacionales (BS ISO/ IEC 17799:2005 - BS 7799-1:2005) Estándares de Calidad Soporte Gerencial Divulgación Capacitación

10 Modelo de Seguridad de la Información Un adecuado modelo de “Seguridad Informática” esta basado en: Herramientas de Protección : Ultima Tecnología Permanentemente Actualizadas Funcionando 7 X 24 X 365 Alta Capacidad de Respuesta

11 Modelo de Seguridad de la Información Un adecuado modelo de “Seguridad Informática” esta basado en: Equipo de Trabajo : Altamente Calificado Disponible 7 X 24 X 365 Actualizado Permanentemente (Capacitación) Enfoque Único y total en Seguridad y Administración del riesgo

12 Modelo de Seguridad de la Información No se trata de tener un libro Se trata de contar con una metodologia

13 Modelo de Seguridad de la Información Que es la seguridad de la información : La seguridad de la información se define como la preservación de : Confidencialidad : se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella. Integridad : se salvaguarda la exactitud y totalidad de la información (confiabilidad) y los métodos de procesamiento. Disponibilidad : se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados cada vez que se requiera.

14 Modelo de Seguridad de la Información Ciclo de administración de las políticas : 2Desarrollo 3 Publicación 4 Educación 1 Creación 5 Cumplimiento

15 Modelo de Seguridad de la Información Políticas : 1.Seguridad del personal : Capacitación del usuario. Todos los empleados de la empresa y, cuando sea pertinente, los usuarios externos y los terceros que desempeñen funciones en la empresa, recibirán un adecuada capacitación y actualización periódica en materia de la política, normas y procedimientos de la empresa.

16 Modelo de Seguridad de la Información Políticas : 2.Seguridad Física y Ambiental : Pretende evitar al máximo el riesgo de accesos físicos no autorizados mediante el establecimiento de perímetros de seguridad Perímetro de seguridad física. Las áreas protegidas se resguardarán mediante el empleo de controles de acceso físico. A fin de permitir el acceso solo a personal autorizado, estos controles deberán tener a lo menos las siguientes características: -Registrar fecha y hora de ingreso y egreso, solo permitiendo el ingreso mediante propósitos específicos y autorizados. -Controlar y limitar el acceso a la información clasificada y a las instalaciones solo a personas autorizadas mediante tarjeta magnética o inteligente o huella digital o numero de identificación (pin), etc. -Personal externo, deberá ser acompañado por personal autorizado, para poder entrar al área de seguridad de la información. Ninguna persona externa deberá estar sola dentro de esta área.

17 Modelo de Seguridad de la Información Políticas : 2. Seguridad Física y Ambiental : Suministros de Energía. El equipamiento estará protegido con respecto a las posibles fallas en suministro de energía u otras anomalías eléctricas: -Disponer de múltiples enchufes o líneas de suministro para evitar un único punto de falla en el suministro de energía. -Contar con un suministro de energía ininterrumpible (UPS) para asegurar el apagado regulado y sistemático o la ejecución continua del equipamiento que sustenta las operaciones críticas de la empresa.

18 Modelo de Seguridad de la Información Políticas : 2. Seguridad Física y Ambiental : Seguridad del Cableado. -El cableado de energía eléctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de información estará protegido contra intercepción o daño, por medio de las siguientes acciones: -Cumplir con las normas vigentes -Proteger el cableado de red contra intercepción no autorizada o daño. -Separación de los cables de energía de los cables de comunicaciones para evitar interferencias. -Proteger el tendido del cableado mediante utilización de ductos blindados -Para los sistemas críticos o sensibles como bases de datos, servidores, firewall, etc. Se implementaran los siguientes controles adicionales -Seguridad física y ambiental

19 Modelo de Seguridad de la Información Políticas : 2. Seguridad Física y Ambiental : Mantenimiento de Equipos. Se realizara el mantenimiento del equipamiento para asegurar su disponibilidad e integridad permanentes. Para ello se debe considerar: -Someter el equipamiento a tareas de mantenimiento preventivo, el aérea de informática llevara un control de cada una de estas mantenciones -Solo el personal de mantenimiento puede hacer esta labor. -Registro de todas las fallas supuestas o reales y todo el mantenimiento preventivo. -Registro del retiró de equipamiento de la empresa para su mantenimiento. -Eliminar toda información confidencial que contenga cualquier equipamiento que sea necesario retirar, realizándose previamente los respectivos respaldo de esta

20 Modelo de Seguridad de la Información Políticas : 3. Protección contra Software Malicioso : Controles contra software malicioso. El responsable de la seguridad informática definirá controles de detección y prevención contra software malicioso. -Prohibir el uso de software no autorizado por la empresa -Instalar y actualizar periódicamente software de detección y limpieza de virus realizando revisiones a PCS y otros medios como medida precautoria. -Mantener los sistemas al día con las actualizaciones de seguridad disponibles, previa prueba de dichas actualizaciones. -Revisar periódicamente el contenido de software y datos de los equipos -Verificar antes de su uso la presencia de virus en archivos de medios electrónicos de origen incierto -Concientizar el personal acerca del problema de los falsos virus y como proceder frente a los mismos.

21 Modelo de Seguridad de la Información Políticas : 4. Seguridad del Correo Electrónico : Política de Correo Electrónico. -Protección contra ataques al correo electrónico, virus, intercepción, etc. -Protección de archivos adjuntos de correo electrónico. -Uso de técnicas criptográficas para proteger la confidencialidad e integridad de los mensajes electrónicos. -Controles adicionales para examinar mensajes electrónicos que no pueden ser autentificados. -Aspectos operativos para garantizar el correcto funcionamiento del servicio, tamaño máximo de información transmitida y recibida, cantidad de destinatarios, tamaño máximo del buzón del usuario, otras. -Definición de los alcances del uso del correo electrónico por parte del personal de la empresa. -Potestad de la empresa para auditar los mensajes recibidos o emitidos por los servidores de la empresa.

22 Modelo de Seguridad de la Información Políticas : 5. Control de Accesos : Política de Control de Accesos. -Identificar los requerimientos de seguridad de cada una de las aplicaciones -Identificar toda la información relacionada con las aplicaciones -Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de puestos de trabajo. -Administrar los derechos de acceso en un ambiente distribuido y de red, que reconozcan todos los tipos de conexiones disponibles. -Utilizar identificadores de usuario únicos, de manera que se pueda identificar a los usuarios por sus acciones evitando la existencia de múltiples perfiles de acceso para un mismo empleado. -Verificar que el nivel de acceso otorgado es adecuado para el propósito de la función del usuario. -Entregar al usuario un detalle escrito de sus derechos de acceso.

23 Modelo de Seguridad de la Información Políticas : 5. Control de Accesos : Política de Control de Accesos. -Cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas, o de aquellos que se le revoco la autorización. -Efectuar revisiones periódicas para cancelar identificadores y cuentas de usuario redundantes. -Inhabilitar cuentas inactivas por mas de 30 días. -Eliminar cuentas inactivas por mas de 60 días.

24 Modelo de Seguridad de la Información Políticas : 5. Control de Accesos : Administración de Contraseñas de usuario. La asignación de contraseñas se controlara a través de un proceso formal donde se deberán respetarse los siguientes pasos: -las contraseñas deberán ser solicitadas por un nivel de jefatura. -Las contraseñas son personales y secretas -Garantizar que los usuarios cambien su contraseñas iniciales que les han sido asignada la primera vez. -Las contraseñas provisorias, que se asignan cuando los usuarios olvidan sus contraseñas solo se debe suministrar una vez identificado el usuario. -Las contraseñas deben tener un mínimo de 8 caracteres y un máximo de 16 caracteres -Contraseña debe quedar bloqueada después del tercer intento erróneo -Solicitar cambio de contraseña cada 30 días. - Impedir que las ultimas 10 contraseñas sean reutilizadas.

25 Modelo de Seguridad de la Información Políticas : 5. Control de Accesos : Responsabilidades del usuario en el uso de Contraseñas. Las contraseñas constituyen un medio de validación y autentificación de la identidad de un usuario y consecuentemente un medio para establecer derechos de acceso a las instalaciones, por lo tanto deberán cumplir con las siguientes directivas : -Mantener las contraseñas en secreto -Seleccionar contraseñas de calidad (que pueda recordar, no estar basadas en algún dato personal (Ej.. Numero telefónico, nombre, fechas etc.)) -Cambiar las contraseñas cuando el sistema se lo requiera -No reutilizar contraseñas antiguas -Cambiar las contraseñas en el primer inicio de sesión. (“Log on”). -Para los equipos desatendidos, estos deberán bloquearse después de un periodo de tiempo muerto (nomás de 3 minutos) con un protector de pantalla y contraseña.

26 Modelo de Seguridad de la Información Políticas : 5. Control de Accesos : Autentificación de Usuarios para Conexiones Externas. Las conexiones externas son de gran potencial para accesos no autorizados a la información de la empresa, por lo tanto el acceso de usuarios remotos estará sujeto a la autentificación. La autentificación de usuarios remotos deberá ser. -Por medio de VPN (Virtual Prívate Network), con la encriptación correspondiente (Des o 3 Des por Ej.) -O algún método de autentificación física (Ej. Tokens de hardware)

27 Modelo de Seguridad de la Información Políticas : 5. Control de Accesos : Subdivisión de redes. Para controlar la seguridad de la (s) red (es), se podrán dividir en dominios lógicos separados. Para esto se crearan perímetros mediante la instalación de firewall, los que tendrán como función el filtrar el trafico entre cada dominio, y permitiendo el bloqueo de acceso no autorizado de un lado a otro. Las políticas que deberá contemplar el “firewall” deberán ser aplicadas según los criterios de los dueños de la información correspondiente y el encargado de la seguridad. Además de aplicación de zonas DMZ, dentro de la red lo que permitirá tener resguardada la información critica de la empresa.

28 Modelo de Seguridad de la Información Políticas : 5. Control de Accesos : Acceso a Internet. El acceso a Internet será utilizado con propósitos autorizados o con el destino por el cual fue provisto. El responsable de Seguridad Informática definirá procedimientos para solicitar y aprobar accesos a Internet. Estos accesos serán autorizados formalmente por la jefatura responsable de la unidad a que el empleado pertenezca. Para la seguridad al acceso a Internet se debe implementar : -Filtro de contenidos (sitios no autorizados) -Reglas de firewall autorizando solo los puertos que se requieran tener acceso. -Reglas de Firewall autorizando solo las direcciones IPs de la red que tienen autorización para salir a Internet. -Implementación de un Proxy para la autentificación del usuario.

29 Modelo de Seguridad de la Información Políticas : 5. Control de Accesos : Seguridad de los servicios de red. El responsable de la seguridad informática junto con el aérea informática definirán las pautas para garantizar la seguridad de los servicios de red de la empresa. Para esto se deberá tener en cuenta lo siguiente. -Mantener habilitados solo aquellos servicios que sean utilizados -Configuración de las distintas reglas de “firewall” que permitan lo anterior. -Configuración de los servicios en forma segura, otorgándole solo las autorizaciones que requiera, evitando las vulnerabilidades que pudieran existir. -Estas configuración deben revisarse periódicamente por el responsable de seguridad informática.

30  La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.

Descargar ppt "SEGURIDAD DE LA INFORMACION Políticas de seguridad."

Presentaciones similares

CONTENIDOS 2. Objetivos de la seguridad informática

CONTENIDOS 2. Objetivos de la seguridad informática
REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
También conocido como Diseño Lógico Rodrigo Salvatierra Alberú.

También conocido como Diseño Lógico Rodrigo Salvatierra Alberú.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
Auditoria de Sistemas de Gestión

Auditoria de Sistemas de Gestión
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
ÁREAS SEGURAS Perímetro de Seguridad Control de Accesos

ÁREAS SEGURAS Perímetro de Seguridad Control de Accesos
Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.

Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.
CONTROL DE DOCUMENTOS Y REGISTROS EN LOS CENTROS DE CONCILIACIÓN Y/O ARBITRAJE NTC-5906.

CONTROL DE DOCUMENTOS Y REGISTROS EN LOS CENTROS DE CONCILIACIÓN Y/O ARBITRAJE NTC-5906.
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Taller de Seguridad e Higiene

Taller de Seguridad e Higiene
Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS

Grupo # 7 SISTEMAS DE CONTROL DE ACCESOS
Seguridad y Auditoria de Sistemas Ciclo

Seguridad y Auditoria de Sistemas Ciclo
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Enrique Cardenas Parga

Enrique Cardenas Parga

Presentaciones similares

Anuncios Google