DE SEGURIDAD INFORMÁTICA. UNIVERSIDAD LATINA. III. POLÍTICAS Y NORMAS DE SEGURIDAD INFORMÁTICA.
Base jurídica. Se entiende como base jurídica al fundamento legal o apoyo principal en que descansa la seguridad informática. La importancia de la base jurídica en la implantación de un esquema de seguridad, radica en el reconocimiento de la ley de que existen actos que atentan contra la integridad e intimidad, de las personas y las instituciones.
Definiciones generales Nos enfocaremos en las definiciones de políticas, normas, instrucciones, reglas y procedimientos de seguridad informática como marco jurídico que regulan la forma en que una organización previene, protege y maneja los riesgos de diferentes daños, sin importar el origen de estos.
Definiciones generales Principios.- Los principios se orientan a la ética, la moral y las creencias de las personas. Reglas.- Las reglas son estructuras jurídicas que regulan a la organización, su establecimiento en las organizaciones y garantiza la seguridad y el fortalecimiento institucional. Políticas.- Son lineamientos institucionales generales que nos permiten orientar a las acciones para la toma de decisiones sobre problemas que se repiten dentro de una organización Políticas de información.- Estas políticas cubren todos los aspectos de la información que fluye en la organización y son las políticas que definen qué información es confidencial y cual es de dominio público dentro de la organización y cómo debe estar protegida Políticas de seguridad.- Estas políticas definen los requerimientos técnicos para la seguridad en un sistema de cómputo y de redes informáticas. Políticas de uso.- Las políticas de uso se apoyan en la ley en lo que respecta a quién puede utilizar los sistemas de cómputo y cómo pueden ser utilizados. Las políticas de respaldo y normalización.- En caso de desastres, estas políticas tienen que ser muy concretas y bien especificadas para que en un lapso muy corto de tiempo, la empresa u organización regrese a sus actividades y las pérdidas económicas sean mínimas o nulas. Son las encargadas de normalizar las actividades después de un desastre.
Definiciones generales Las Normas.- Son un conjunto de lineamientos, reglas, recomendaciones y controles con el propósito de dar respaldo a las políticas de seguridad y a los objetivos desarrollados por estas, a través de funciones, delegación de responsabilidades y otras técnicas, con un objetivo claro y acorde a las necesidades de seguridad establecidas para el entorno administrativo de la red institucional. La norma jurídica.- Es una regla dirigida a la ordenación del comportamiento humano prescrita por una autoridad cuyo incumplimiento puede llevar aparejado una sanción. Generalmente, impone deberes y confiere derechos. Son los reglamentos o leyes generalmente en concordancia con las creencias y valores que siguen los miembros de un grupo para vivir en armonía.
Definiciones generales Norma de seguridad.- Define qué hay que proteger y en qué condiciones, pero para situaciones más concretas. Sirven para establecer unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Una norma debe ser clara, concisa y no ambigua en su interpretación. Se pueden agrupar en base a las diferentes áreas de la seguridad dentro de la organización: normas de seguridad física, normas de control de acceso a sistemas, normas de gestión de soportes, normas de clasificación de información, etc. Procedimientos.- Los procedimientos son especificaciones de procesos para hacer cumplir una norma. Procedimientos de seguridad.- Un procedimiento de seguridad determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución. Son la especificación de una serie de pasos en relación la ejecución de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecución de actividades se considerarán determinados aspectos de seguridad. Un procedimiento debe ser claro, sencillo de interpretar y no ambiguo en su ejecución Instrucción técnica de seguridad.- Determina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de información (hardware, sistema operativo, aplicación, datos, usuario, etc.). Al igual que un procedimiento, son la especificación pormenorizada de los pasos a ejecutar.
¿Cómo se fundamenta una política en seguridad informática? La seguridad y la información de las instituciones en muchos de los países se ha convertido en un factor fundamental, por ello es importante contar con un documento de políticas de seguridad que establezca mecanismos confiables, que con base en la política institucional, proteja los activos de la Institución. De esta manera, la Política de Seguridad se convierte en la guía a seguir por la empresa para asegurar su valiosa información.
Las normas pueden ser de carácter general o específico. ¿Cómo se fundamenta una norma en seguridad informática? Las normas de seguridad son guías de actuación o reglas a seguir como un patrón de referencia en las diversas operaciones informáticas. Tratan de definir el Que?. Porque?, De qué? y Cómo? se debe proteger la información, englobando una serie de objetivos institucionales que establezcan los mecanismos necesarios para lograr un nivel de seguridad adecuado a las necesidades establecidas dentro de la institución. Este documento trata a su vez e ser el medio de interpretación de la seguridad para toda la organización. Las normas pueden ser de carácter general o específico.
Formalidad de las políticas y normas de seguridad informática Un documento formal sobre políticas y normas de seguridad informática es el propuesto según la norma ISO 17799 la cual recomienda la aplicación de estándares encaminados a la seguridad informática en tres grandes secciones: • Las directrices son un conjunto de reglas generales de nivel estratégico donde se expresan los valores de la seguridad de la organización. Es propuesta por el líder empresarial de la organización y tiene como su base la misión y visión para abarcar toda la filosofía de la seguridad de la información3. • Las normas son un conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en todos los procesos de negocio de la institución, y que deben ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina, etc. Las normas de seguridad para usuarios son dirigidas para el uso de ambientes informatizados, basadas en aspectos genéricos como el cuidado con las claves de acceso, manejo de equipos o estaciones de trabajo, inclusión y exclusión de usuarios, administración de sistemas operativos, etc. • Los procedimientos e instrucciones de trabajo son un conjunto de orientaciones para realizar las actividades operativas, que representa las relaciones interpersonales e ínter departamentales y sus respectivas etapas de trabajo para su implementación y mantenimiento de la seguridad de la información. • Seguridad física: acceso físico, estructura del edificio, centro de datos5. • Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones. • Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia. • Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia. • Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria. • Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.
GRACIAS POR TU ATENCIÓN ..!.