Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Introducción de conceptos Procedimiento para la adopción de políticas Estructura sugerida Estándares y/o Prácticas reconocidas Áreas de contenido propuesto Taller de redacción Validación y Divulgación 2Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III
¿Qué es una política? ¿Para qué sirve? ¿A quién va dirigida? ¿Cómo se diferencia de un manual o procedimiento? 3Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III
¿Qué es una política? Documento normativo adoptado por la alta gerencia donde establece la importancia para la organización de un asunto a regular, fija los objetivos a alcanzar y define las responsabilidades asociadas a su cumplimiento. 4Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III
¿Para qué sirve una política? Establecer la posición de la organización Definir expectativas Reducir errores, uso indebido o discrepancias Fijar responsabilidades Contribuir al cumplimiento con regulaciones Facilitar la comunicación y comprensión Referir a otros documentos más específicos 5Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III
¿A quién(es) va(n) dirigida(s)? Gerencia Empleados a tarea completa y/o parcial Consultores Visitantes Otros 6Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III
¿Cómo se diferencia de un manual o procedimiento? General y provee el marco conceptual Amplia difusión y acceso Fácil comprensión y cumplimiento Requiere revisión(es) periódica(s) menor(es) Sirve de marco para la redacción de: Procedimientos Manuales 7Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III
Políticas: General Abarcador Define posición organizacional Procedimientos: Detallado Específico (área funcional, tipo de usuario) Apoya cumplimiento con leyes y reglamentos Manuales: Específico (segmento de la comunidad) Define responsabilidad particular Establece normas de conducta esperada Provee ejemplos asociados al cumplimiento Describe consecuencias por incumplimiento 8Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III
Crear comité representativo Redactar políticas – Comité y Asesor legal Adoptar políticas – Unidad institucional Diseminar y concienciar sobre contenido: ◦ Comité ◦ Unidades ◦ Asesor legal ◦ Recursos Humanos ◦ Oficial Cumplimiento Adoptar o actualizar procedimientos y/o manuales Integrar controles en sistemas y tecnologías de información Auditar cumplimiento Tomar medidas: ◦ Reforzar cumplimiento ◦ Aclarar o modificar contenido 9Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados
Determinar necesidad y Redactar Borrador Revisar, aprobar y diserminar Ajustar procedimientos y manuales Integrar controles de cumplimiento mediante TI Auditar controles y proponer ajustes Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados10
Crear comité representativo: Administración: Gerencia Administración operacional Representación de usuarios críticos Asesor legal y/o Oficial de Cumplimiento Director de TI Director de Seguridad Personal Otros sectores de la organización: Auditor interno Auditor externo 11Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados
Redactar política: ◦ Construir formato genérico (“template”) ◦ Determinar necesidad ◦ Identificar estándares o prácticas generalmente reconocidas ◦ Afinar objetivo(s) o intención ◦ Identificar el público al cual va dirigido ◦ Seleccionar entre política, procedimiento o manual ◦ Utilizar el formato “template” correspondiente ◦ Generar el borrador ◦ Validar el borrador ◦ Certificar su legalidad (Oficina del Asesor Legal) ◦ Someter a la unidad autorizada para aprobación ◦ Allegar recursos para su implantación operacional ◦ Divulgar contenido, expectativas y sanciones 12Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados
Unidad institucional autorizada: Aprobar política Establecer fecha de vigencia Adoptar plan y asignar recursos para: Diseminar contenido Concienzar sobre contenido al público que afecta (“Awareness”) Adiestrar sobre los riesgos que cubre y el impacto que representan Notificar aprobación a: Comité Asesor Legal Oficina de Recursos Humanos Unidad de Informática (“IT”) Oficial de cumplimiento Adoptar o actualizar procedimientos y/o manuales: Afectados por la política aprobada o modificada Implantar operacionalmente la política aprobada o modificada 13Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados
Auditar cumplimiento – métricas y controles: Auditorías internas Auditorías externas Auditorías de cumplimiento Tomar medidas para reforzar cumplimiento: Programas de fiscalización (“monitoring”) Sistemas para hacer cumplir políticas Sistemas para determinar discrepancias o violaciones Actuar consistentemente en casos de incumplimiento Imponer sanciones Revisión y actualización continua: Atemperar a los cambios en el entorno Aclarar o modificar para asegurar cumplimiento 14Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III15 Determinar necesidad Comparar modelos (“Best Practices”) Desarrollar borrador Revisar, ajustar y aprobar Divulgar y adiestrar usuarios Desarrollar o modificar procesos Resumen del Procedimiento propuesto Implantar Apoyar usuario Afinar correspondencia Integrar tecnologías de control Auditar Fiscalizar cumplimiento Imponer controles y/o sanciones Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Definir la posición organizacional – Cultura de confianza Respaldar normativas de cumplimiento aplicables Mejorar la calidad de la ejecución al contribuir a: ◦ Definir qué se espera ◦ Reducir errores ◦ Uniformar o estandarizar procesos ◦ Proveer resultados consistentes ◦ Reemplazar tradición oral Apoyar procesos de aprendizaje o adiestramiento Proveer lista(s) de cotejo para verificar cumplimiento Referencia para mejorar procesos Módulo III16Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Título y fecha de vigencia Introducción Definiciones Contenido Aplicabilidad Excepciones Sanciones Otras disposiciones Unidad responsable 17Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados
Título: Título de la política Fecha de vigencia: Fecha a partir de la cual entra en vigor Introducción: Ubicar en contexto el (los) objetivo(s) que persigue Explicar cuál es la intención para su aprobación Enmarcar en la misión, filosofía y visión de la institución Definiciones: Términos o conceptos Objetivos Conceptos institucionales 18Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados
Contenido: Marco legal o reglamentario que la cobija Descripción de: ¿Qué permite? ¿Cómo está permitido? ¿Cuándo está permitido? ¿Qué está prohibido? ¿Cuándo está prohibido? ¿Por qué está prohibido? Explicación del impacto Ejemplo(s) de escenario(s) Detalle procesal Responsables de: Contención, erradicación o recuperación 19Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados
Aplicabilidad: ¿A quién(es) aplica? ¿En cuáles circunstancias? Contexto que enmarca la aplicabilidad Excepciones: ¿Cuándo no aplica? ¿A quién(es) no aplica y por qué? Sanciones: Consecuencias del incumplimiento Tipos de escenarios y tipo de sanción: Amonestación Suspensión Despido 20Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados
Otras disposiciones: ◦ Procedimiento para modificar Unidad responsable de implantar ◦ Identificar la unidad ◦ Identificar persona(s) Unidad responsable de asegurar cumplimiento ◦ Procedimiento para notificar incumplimiento: ¿A quién? ¿Cómo? ¿Qué proveer? 21Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados
El lenguaje y estilo debe ser: Claro Conciso y preciso Sencillo y fácil de entender Coherente Asertivo (ir al grano) Debe evitar el uso de: Acrónimos (descripción completa) Números romanos ‘etc.’ y de ‘i.e.’ o ‘e.g.’ Expresiones de género Módulo III 22Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
National Institute of Standards and Technology: Tecnologías de seguridad Seguridad de redes y sistemas Configuración y métricas recomendadas IT Compliance Institute: Manejo de riesgos Seguridad de la información y protección de los datos Manejo de identidad (acceso) Manejo de configuración y cambios Payment Card Industry (PCI) Sarbanes Oaxley (SOX) Health Insurance Portability and Accountability Act (HIPAA) Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados24
SANS: Seguridad de la información Seguridad de las redes ISO 17799(27002): Seguridad y manejo de la información Center for Internet Security (CISE) Sistemas operativos Configuración equipos Aplicaciones Open Compliance Ethics and Governance: Gobernabilidad Seguridad de la información Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados25
Insituto de Auditores Internos: Configuración equipos y sistemas Aplicaciones CobiT ISACA – Contenido CISM ISC – Contenido CISSP COSO EDUCAUSE Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados26
Proveer tecnología y acceso al personal pone en riesgo: ◦ Activos físicos y electrónicos ◦ Operación diaria y ejecución eficiente ◦ Reputación e imagen organizacional ◦ Cumplimiento con regulaciones aplicables ◦ Responsabilidad civil o criminal - reclamaciones legales ◦ Cultura de confianza Módulo III 28Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Uso de recursos tecnológicos Navegación (“Computer network & Internet”) Correo electrónico y mensajería Privacidad e Integridad de Contenido Documento electrónico: Depósito Transmisión Retención o archivo Disposición Protección de propiedad Lenguaje al comunicar Módulo III 29Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Protección y uso de Equipo: ◦ Desktops ◦ Laptops ◦ Impresoras y otros periferales ◦ Tecnologías móviles Programación: ◦ Instalación, copia y modificación de programas Autenticación (“username & password”) “Malware”: ◦ Actualización antivirus, “antispyware”, “antispam” ◦ Propagación virus, spam ◦ Desarrollo, instalación y/o propagación de “malware” Módulo III 30Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Clasificación de la información Acuerdos de Confidencialidad Acceso a servicios, aplicaciones y tecnologías: Autenticación Cifrado Seguridad de servidores Seguridad de aplicaciones Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados31
Uso apropiado Sitios autorizados/no-autorizados: ◦ Contenido relacionado o no a la operación organizacional ◦ Contenido de naturaleza: Sexualmente explícita Proselitismo religioso/político Ofensiva, discriminatoria Desperdicio de recursos: ◦ Tráfico innecesario ◦ Tráfico voluminoso: “video/audio streaming” Juegos “Chat” ◦ Congestión: “sniffers” “scanners” “IDS/IPS” Protocolo(s) o conexión(es):FTP, P2P Módulo III 32Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Correo electrónico Mensajería (“Instant messaging”) Telefonía IP (“VOIP”) Conversación interactiva (“Chats”) Tecnologías móviles Tecnologías inalámbricas Otras tecnologías Módulo III 33Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Transaccionales o asociados a la operación: Aplicaciones o Bancos de datos Correo electrónico Documentos generales o específicos Cubiertos por legislación de privacidad: HIPAA GLBA ECPA ID Theft Otras Pietaje de cámaras de seguridad Propiedad Intelectual 3ros Presencia WEB Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados34
Antivirus AntiSpam AntiSpyware Copias de resguardo Uso de dispositivos duplicación móviles (USB/Firewire) Limpieza de dispositivos de almacén (Media Sanitation) Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados35
Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados37 Seleccione un área para redactar la política Utilice el Bosquejo propuesto como guía Remítase a los modelos recomendados (“best practices”) Elabore el bosquejo preliminar para la política Sugiera el proceso a seguir para su implantación operacional
Cornell IT Policies SANS, A Short Primer for Developing Security Policies, 2007 UCISA, Information Security Toolkit edition 2.0, 2005 Sedona Conference, THE SEDONA GUIDELINES: Best Practice Guidelines & Commentary for Managing Information & Records in the Electronic Age, 2005 Henson, Developing and Writing Library Policies and Procedures,nd Flyn, The ePolicy Handbook, American Management Association, 2001 EDUCAUSE, Security Policy Best Practices Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados38