Seguridad Informática Politica de seguridad Seguridad Informática
Política de Seguridad Una política de seguridad es un conjunto de: Directrices Normas Procedimientos Instrucciones que guían las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico.
Política de Seguridad A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandarización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información.
Áreas de Normalización Tecnológica: Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico.
Áreas de Normalización Tecnológica: Lo importante es definir los aspectos técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el plan de seguridad quedaría sin recursos para la adquisición de los mecanismos necesarios.
Áreas de Normalización Tecnológica: Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios.
Áreas de Normalización Humana: Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la Administración, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual.
Áreas de Normalización Humana: El resultado es un programa de seguridad sin el nivel de cultura deseado y la falta de monitoreo más apropiado al orientar empleados, proveedores, clientes y socios. Sin embargo, no se debe dejar de lado los temas tecnológicos y su automatización, una vez que también son determinantes para la implementación de soluciones de seguridad adecuadas y eficientes.
Áreas de Normalización Humana: En la elaboración de una política de seguridad no podemos olvidar el lado humano, los descuidos, falta de capacitación, interés, etc. Se pueden tener problemas de seguridad de la información si no son adecuadamente considerados dentro de la misma política.
Áreas de Normalización La parte tecnológica obviamente tampoco puede dejarse de lado, y dentro de la política de seguridad es necesario considerar elementos que pongan las bases mínimas a seguir en materia de configuración y administración de la tecnología
Elaboración Para elaborar una política de seguridad de la información, es importante tomar en cuenta: Las exigencias básicas Las etapas necesarias para su producción.
Elaboración La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado de seguridad de los profesionales involucrados con su aplicación y comprometimiento.
Elaboración Para la elaboración de una Política de Seguridad Institucional se debe: Integrar el Comité de Seguridad responsable de definir la política Elaborar el documento final Hacer oficial la política una vez que se tenga definida.
Elaboración Integrar el Comité de Seguridad Responsable de definir la Política: Formar un equipo multidisciplinario que represente gran parte de los aspectos culturales y técnicos de la organización y que se reúnan periódicamente dentro de un cronograma establecido por el Comité de Seguridad.
Elaboración Integrar el Comité de Seguridad Responsable de definir la Política: Este comité es formado por un grupo definido de personas responsables por actividades referentes a la creación y aprobación de nuevas normas de seguridad en la organización.
Elaboración Integrar el Comité se Seguridad Responsable de definir la Política: En las reuniones se definen los criterios de seguridad adoptados en cada área y el esfuerzo común necesario para que la seguridad alcance un nivel más elevado. Se debe tener en mente que los equipos involucrados necesitan tiempo libre para analizar y escribir todas las normas discutidas durante las reuniones.
Elaboración Partes que integran el documento final: Deben expresarse las preocupaciones de la administración, donde se establecen normas para la gestión de seguridad de la información, que contengan: La definición de la propia política, Una declaración de la administración que apoye los principios establecidos Una explicación de las exigencias de conformidad con relación a:
Elaboración Legislación y cláusulas contractuales Educación y formación en seguridad de la información Prevención contra amenazas (virus, caballos de Troya, hackers, incendio, intemperies, etc.) Atribución de las responsabilidades de las personas involucradas donde queden claros los roles de cada uno, en la gestión de los procesos y de la seguridad.
Elaboración No olvidar de que toda documentación ya existente sobre cómo realizar las tareas debe ser analizada con relación a los principios de seguridad de la información, para aprovechar al máximo las prácticas actuales, evaluar y agregar seguridad a esas tareas.
Elaboración Hacer oficial la política: La oficialización de una política tiene como base la aprobación por parte de la administración de la organización. Debe ser publicada y comunicada de manera adecuada para todos los empleados, socios, terceros y clientes.
Elaboración Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos.
Elaboración A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad.
Elaboración El trabajo de producción se compone por distintas etapas: Objetivos y ámbito Entrevista Investigación y análisis de documentos Reunión de política Glosario de la política Responsabilidades y penalidades