POLÍTICAS DE SEGURIDAD

Slides:



Advertisements
Presentaciones similares
DE SEGURIDAD INFORMÁTICA.
Advertisements

Seguridad Informática
* Es el proceso de organizar, planear, dirigir y controlar; actividades y recursos con el fin de lograr un objetivo.
Principio de Responsabilidad Demostrada y RNBD Carlos Enrique Salazar Muñoz Director de Investigación de Protección de Datos Personales Mayo de 2016.
TIC I: Seguridad Informática. Gestión del riesgo.
Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.
Grupo de Trabajo de Control Interno Marco Integrado de Control Interno para el Sector Público Sistema Nacional de Fiscalización C.P. Fernando Cervantes.
POLITICAS de una EMPRESA
NORMA ISO DIS 9001:2015 Draft International Standard.
Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.
DISEÑO ORGANIZACIONAL Lic. Sujey Herrera Ramos. Es un método planificado que permite adaptar la estructura física, humana y de procesos de una organización.
PRINCIPIOS BASICOS DE LA GESTION DOCUMENTAL EN LA EMPRESA Presentación Elaborada Por: Gestión Administrativa – SURTIMIA Sistema de Gestión de Calidad Bogotá,
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
FACULTAD DE INGENIERÍA ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE SISTEMAS Curso: Gobierno de TI Alumnos: De La Cruz Domínguez Maycol Velasquez Calle.
NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.
Informática Empresarial Docente – Carlos Andrés Bonil Mariño INFORMATICA EMPRESARIAL  CARLOS ANDRES BONIL MARIÑO  INGENIERO DE SISTEMAS.
1. Las empresas modernas son un sistema complejo en el que se toman decisiones, se comunican y se instrumentan. Los componentes de la producción, incluida.
Plan de Continuidad de las TIC
UNIDAD DE GESTIÓN DE POSTGRADOS
Manuales de Procedimientos
Sistemas de Gestión.
Ing. Juan Carlos Barrera Mendieta
Plan de Emergencia.
FOMENTO DE LA CULTURA DE AUTOCONTROL
ISO BIENVENIDOS.
Planificación y seguimiento de proyectos
MANUAL DE IMPLANTACIÓN
Fecha: 07/08/16 Ámbito de RSE: Medio Ambiente Tema de RSE:
Facultad de Ingeniería y tecnología informática Practica Profesional I
Fundamentos de Auditoría
ELEMENTOS DE LA PLANEACIÓN
Fecha: 07/08/16 Ámbito de RSE: Gestión de la RSE Tema de RSE:
Customer Relationship Management
Armonización MECI:2005 – SIG del SENA
Administración Financiera
European Foundation for Quality Management
SECRETARIA DE EDUCACION MUNICIPAL
Políticas de Seguridad Los Sistemas de Información y la Seguridad.
Gestión del Sistema y Servicios de Salud 7 Fundamentos de Planificación: Planificación por objetivos Elaboración de Proyectos: el marco lógico Julio Jaramillo.
Administración o Gestión ¿Sinónimos o excluyentes?
Presentado por: Alba Deyanira bustillo
CONTEXTO DE LA ORGANIZACIÓN
La figura del Delegado de Protección de Datos
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: SGSI
Ciclo de vida De los Sistemas
ORGANIGRAMA METODOLOGIA PARA LA IMPLANTACION DE UN PROYECTO EDI
EL PROCESO ADMINISTRATIVO
1 CONCEPTOS Y CLASES AUDITORÍA. 2 AUDITORIA “En tiempos históricos, auditor era aquella persona a quien le leían los ingresos y gastos producidos por.
Taller Organización de Procedimientos Administrativos.
COMPROMISO EN LAS PERSONAS NORMAS ISO 9001:2015 INTERGRANTES: DORA ARTUNDUAGA JOHANNA P. ESCOBAR JEENER AVILA.
Introducción El plan estratégico es el mapa para un viaje Los grandes viajes comienzan con un sueño (visión) con un propósito (misión) queriendo llegar.
Auditoria de Tecnologías de Información PLANIFICACION Ing. Eder Gutiérrez Quispe.
SISTEMA DE GESTION. QUE ES UN SISTEMA DE GESTION “ CONJUNTO DE ELEMENTOS MUTUAMENTE RELACIONADOS O QUE INTERACTUAN PARA ALCANZAR OBJETIVOS” Sistema de.
ADMINISTRACIÓN INFORMÁTICA POLÍTICAS EMPRESARIALES.
MODELO NACIONAL PARA LA COMPETITIVIDAD Premio Nacional de Calidad y Premio Región Lagunera Hacia la Calidad Preparación para la Visita de Campo Participación.
TALLER MANUAL SISTEMA DE GESTION EN SEGURIDAD Y SALUD OCUPACIONAL
Plática de Sensibilización
Seguridad Informática
Metodología para el Desarrollo de Estudios Organizacionales
Prof. Cra Victoria Finozzi
Grupo de Trabajo de Control Interno Marco Integrado de Control Interno para el Sector Público Sistema Nacional de Fiscalización C.P. Fernando Cervantes.
TALLER MANUAL SISTEMA DE GESTION EN SEGURIDAD Y SALUD OCUPACIONAL
Tema 2 Los requisitos de la Gestión de calidad La Serie ISO 9000.
EFECTIVIDAD DEL CONTROL INTERNO Un sistema efectivo de control interno proporciona seguridad razonable sobre el logro de los objetivos de la organización.
INTEGRACIÓN DE SISTEMAS DE GESTIÓN MTO. LUIS EDUARDO ROCHA MAGAÑA Integración de Sistemas de Gestión.
UNIDAD 1 LA ADMINISTRACIÓN EN EL CONTEXTO INFORMÁTICO.
Estudio de Viabilidad del Sistema (EVS). Estudio de Viabilidad del Sistema Cuestiones ¿Qué es la viabilidad de un sistema? ¿Cuáles son los objetivos del.
ISO Esta norma internacional proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los principios de la auditoría, la.
ING. NANCY BASILIO MARCELO ADMINISTRACIÓN REDES DE COMPUTADORAS.
OTRAS NORMAS ISO TÓPICOS AVANZADOS DE CALIDAD. ISO 10005:2005 Directrices para los planes de la calidad  Reemplaza la versión 1995  Se establecen las.
Transcripción de la presentación:

POLÍTICAS DE SEGURIDAD

INTRODUCCIÓN

POLÍTICAS DE SEGURIDAD Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandarización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información.

Áreas de normalización de la política de seguridad

Tecnológica Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los Usuarios.

Humano Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la Administración, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual. El resultado es un programa de seguridad sin el nivel de cultura deseado y la falta de monitoreo más apropiado al orientar empleados, proveedores, clientes y socios. Sin embargo, no se debe dejar de lado los temas tecnológicos y su sofisticación, una vez que también son determinantes para la implementación de soluciones de seguridad adecuadas y eficientes.

Elaboración de la política

Para elaborar una política de seguridad de la información, es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción. a) Exigencias de la política b) Etapas de producción

Exigencias de la política La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento. Es importante considerar que para la elaboración de una política de seguridad institucional se debe: Integrar el Comité de Seguridad responsable de definir la política. Elaborar el documento final. Hacer oficial la política una vez que se tenga definida.

Etapas de producción de la política Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. El trabajo de producción se compone por distintas etapas, entre otras: Objetivos y ámbito Entrevista Investigación y análisis de documentos Reunión de política Glosario de la política Responsabilidades y penalidades

Documentos de la política de seguridad

Directrices (Estrategias) Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la organización y tiene como base su visión y misión para abarcar toda la filosofía de seguridad de la información. Las directrices corresponden a las preocupaciones de la empresa sobre la seguridad de la información, al establecer sus objetivos, medios y responsabilidades.

Normas (Táctico) Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina, etc.

Procedimientos e instrucciones de trabajo (Operacional) Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e ínter departamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información. Instrucción de trabajo Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido

Temas de la política

Para elaborar una política, es necesario delimitar los temas que serán convertidos en normas. La división de los temas de una política depende de las necesidades de la organización y su delimitación se hace a partir de: el conocimiento del ambiente organizacional, humano o tecnológico, la recopilación de las preocupaciones sobre seguridad de parte de los usuarios, administradores y ejecutivos de la empresa

Ejemplos Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos. Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones. Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia. Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia. Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria. Aspectos legales: prácticas personales, contratos

Acompañamiento de la política

Una política de seguridad, para que sea efectiva, necesita contar con los siguientes elementos como base de sustentación: Cultura Herramientas Monitoreo

Usos de la política

Una vez que tenemos una política de seguridad, ésta debe cumplir por lo menos dos propósitos: Ayudar en la selección de productos y en el desarrollo de procesos. Realizar una documentación de las preocupaciones de la dirección sobre seguridad para que el negocio de la organización sea garantizado.

La política al ser utilizada de manera correcta, podemos decir que brinda algunas ventajas como lo son: Permite definir controles en sistemas informáticos. Permite establecer los derechos de acceso con base en las funciones de cada persona. Permite la orientación de los usuarios con relación a la disciplina necesaria para evitar violaciones de seguridad. Establece exigencias que pretenden evitar que la organización sea perjudicada en casos de quiebra de seguridad. Permite la realización de investigaciones de delitos por computadora. Se convierte en el primer paso para transformar la seguridad en un esfuerzo común.

Implantación de la política de seguridad

Una política se encuentra bien implantada cuando: Refleja los objetivos del negocio, es decir, está siempre de acuerdo con la operación necesaria para alcanzar las metas establecidas. Agrega seguridad a los procesos de negocio y garantiza una gestión inteligente de los riesgos. Está de acuerdo con la cultura organizacional y está sustentada por el compromiso y por el apoyo de la administración. Permite un buen entendimiento de las exigencias de seguridad y una evaluación y gestión de los riesgos a los que está sometida la organización.

La implantación de la política de seguridad depende de: Una buena estrategia de divulgación entre los usuarios. Una libre disposición de su contenido a todos los involucrados para aumentar el nivel de seguridad y compromiso de cada uno. Campañas, entrenamientos, charlas de divulgación, sistemas de aprendizaje. Otros mecanismos adoptados para hacer de la seguridad un elemento común a todos.