La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Políticas de Seguridad Los Sistemas de Información y la Seguridad.

Publicada porluis fer cedeño Modificado hace 6 años

Presentaciones similares

Presentación del tema: "Políticas de Seguridad Los Sistemas de Información y la Seguridad."— Transcripción de la presentación:

1 Políticas de Seguridad Los Sistemas de Información y la Seguridad

2 Política de Seguridad La política de seguridad de la aplicación debe estar englobada dentro de la política general de seguridad de la información de la organización. Concepto: Por política de seguridad se entiende el conjunto de normas, reglas y prácticas, que regulan el modo en que los bienes que contienen información sensible son gestionados, protegidos y distribuidos dentro de una organización. (ITSEC) La política de seguridad afecta en general a los cuatro subestados de autenticidad, confidencialidad, integridad y disponibilidad.

3 Política de Seguridad La política de seguridad es una declaración de intenciones de alto nivel que cubre la seguridad de los SI y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán. La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las distintas medidas a tomar para proteger la seguridad del sistema, las funciones y responsabilidades de los distintos componentes de la organización y los mecanismos para controlar su correcto funcionamiento. Dicha política tiene que ser consistente con las prácticas de seguridad de otros departamentos, puesto que muchas amenazas (incendio, inundación) son comunes a otras actividades de la organización

4 Política de Seguridad Algunas reglas básicas a la hora de establecer una política de seguridad. Toda política de seguridad debe ser holística, es decir, debe cubrir todos los aspectos relacionados con el sistema. Debe proteger el sistema en todos los niveles: físico, humano, lógico y logístico. La política de seguridad debe adecuarse a nuestras necesidades y recursos, el valor que se le da a los recursos y a la información, el uso que se hace del sistema en todos los departamentos. A la hora de establecer una política de seguridad debemos responder a las siguientes tres preguntas: ¿ Qué necesitamos proteger? ¿ De qué necesitamos protegerlo? ¿ Cómo vamos a protegerlo?

5 Política de Seguridad 1. Determinar los recursos a proteger y su valor. 2. Analizar las vulnerabilidades y amenazas de nuestro sistema, su probabilidad y su coste. 3. Definir las medidas a establecer para proteger el sistema. Estas medidas deben ser proporcionales a lo definido en los pasos 1 y 2. Las medidas deben establecerse a todos los niveles: físico, lógico, humano y logístico. Además debe definirse una estrategia a seguir en caso de fallo. 4. Monitorizar el cumplimiento de la política y revisarla y mejorarla cada vez que se detecte un problema. Los pasos 1 y 2 se denominan Análisis de riesgos, mientras los pasos 3 y 4 se denominan Gestión de riesgos. La política de seguridad es el conjunto de medidas establecidas en el paso 3.

6 MARCO LEGAL En relación con las Aplicaciones Adoptar medidas organizativas y técnicas que aseguren la autenticidad, confidencialidad, integridad, disponibilidad y conservación de la información garantizando la restricción de utilización, la prevención de alteraciones y la protección a procesos informáticos. En relación con la protección de los datos. El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. El documento deberá contener como mínimo los siguientes aspectos: –especificación detallada de los recursos protegidos. –Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido. –Funciones y obligaciones del personal. –Estructura de los ficheros y descripción de los sistemas de información que los tratan. –Procedimiento de notificación, gestión y respuesta ante las incidencias. –Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

7 Contenido de la política de Seguridad: Objeto del documento. Ámbito de aplicación de la política de seguridad. Recursos protegidos. Funciones y obligaciones del personal. Normas, procedimientos, reglas, estándares y medidas para garantizar la autenticidad, confidencialidad, integridad, disponibilidad y conservación de la información. Identificación, autenticación y control de accesos. Gestión de incidencias de seguridad. Gestión de soportes y copias de respaldo. Acceso a través de redes. Contingencias y continuidad del servicio. Controles periódicos de verificación del cumplimiento

8 ANEXOS Documentos de notificación y normas de creación de ficheros o de la aplicación para el ejercicio de potestades. Descripción de la aplicación y del sistema informático. Descripción de la estructura de ficheros o bases de datos. Entorno del sistema operativo y de comunicaciones. Descripción de locales y equipamientos. Análisis y gestión de riesgos. Descripción de las funciones y obligaciones del personal. Personal autorizado para acceder al fichero/aplicación. Procedimientos de control de accesos y perfiles de usuarios. Gestión de soportes de información. Gestión de copias de respaldo y recuperación. Procedimientos de notificación y gestión de incidencias. Plan de contingencias. Auditorias y controles periódicos.

9 Organización y planificación de la seguridad La función de seguridad de sistemas de información, con dedicación completa o compartida con otras funciones, incluye unos contenidos de carácter general, como la aplicación de la política de seguridad, desarrollo de normas, sistemas y procedimientos de detección de amenazas, protección de activos y acción ante eventos; así como la administración de la seguridad y de las correspondientes salvaguardas frente a las anomalías antes (preventivas) o cuando se presenten (correctivas). Además, entre los contenidos específicos figuran: –los procesos de los sistemas de organización y los de información que les dan soporte; –los distintos tipos de soporte de almacenamiento; –las diversas formas de transmisión y transporte; –las distintas plataformas de proceso (del procesador central al personal); –los diferentes sistemas operativos y los sistemas gestores de bases de datos; –la conectividad entre sistemas y los sistemas gestores de comunicaciones; –los accesos a y desde las redes de comunicaciones externas;

10 Se debe identificar el papel de los diversos actores en relación con los activos a proteger. Propietario del activo, Unidad responsable final de la seguridad del activo a su cargo y, en su caso, de la protección del activo información. El propietario del activo puede delegar su autoridad en materia de seguridad a depositarios, a responsables de usuarios o a proveedores de servicios, pero deberá mantener el control para garantizar la seguridad adecuada al sistema, por ejemplo, que las salvaguardas están ya o se han implantado. Depositario del activo, habitualmente es el departamento de sistemas de información, que debe instalar y mantener los controles necesarios para proteger la información de acuerdo con el nivel de protección asignado por el propietario. El depositario ejercerá o delegará la función de administrador de seguridad del activo. Usuario del activo que debe conocer el nivel de protección de la información que maneja y cumplir con los controles establecidos por el depositario.

Descargar ppt "Políticas de Seguridad Los Sistemas de Información y la Seguridad."

Presentaciones similares

Principio de Responsabilidad Demostrada y RNBD Carlos Enrique Salazar Muñoz Director de Investigación de Protección de Datos Personales Mayo de 2016.

Principio de Responsabilidad Demostrada y RNBD Carlos Enrique Salazar Muñoz Director de Investigación de Protección de Datos Personales Mayo de 2016.
TIC I: Seguridad Informática. Gestión del riesgo.

TIC I: Seguridad Informática. Gestión del riesgo.
SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD OCUPACIONAL Prevención de Seguridad y Salud en el Trabajo.

SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD OCUPACIONAL Prevención de Seguridad y Salud en el Trabajo.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
ADQUISICION E IMPLEMENTACION KARINA CAIZA U. AUDITORIA DE SISTEMAS INFORMATICOS.

ADQUISICION E IMPLEMENTACION KARINA CAIZA U. AUDITORIA DE SISTEMAS INFORMATICOS.
PRINCIPIOS BASICOS DE LA GESTION DOCUMENTAL EN LA EMPRESA Presentación Elaborada Por: Gestión Administrativa – SURTIMIA Sistema de Gestión de Calidad Bogotá,

PRINCIPIOS BASICOS DE LA GESTION DOCUMENTAL EN LA EMPRESA Presentación Elaborada Por: Gestión Administrativa – SURTIMIA Sistema de Gestión de Calidad Bogotá,
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)

NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
CONTROL INTERNO Ing. Yolfer Hernández, CIA Seguridad y Auditoria de Sistemas Ciclo

CONTROL INTERNO Ing. Yolfer Hernández, CIA Seguridad y Auditoria de Sistemas Ciclo
AUDITORÍA PARA EL MEJORAMIENTO DE LA CALIDAD DE LA ATENCIÓN DE SALUD KAREN VANESSA MARTÍNEZ CABALLERO KAREN ANDREA PÉREZ LUIS JAIME VITAR.

AUDITORÍA PARA EL MEJORAMIENTO DE LA CALIDAD DE LA ATENCIÓN DE SALUD KAREN VANESSA MARTÍNEZ CABALLERO KAREN ANDREA PÉREZ LUIS JAIME VITAR.
Los requisitos para una planificación eficaz ya que es la tarea más importante en cuanto condiciona el hacer y el actuar. Los objetivos deben ser alcanzables.

Los requisitos para una planificación eficaz ya que es la tarea más importante en cuanto condiciona el hacer y el actuar. Los objetivos deben ser alcanzables.
Ley 41/2002, de 14 de noviembre, reguladora de la Autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Ley 41/2002, de 14 de noviembre, reguladora de la Autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
Análisis y Descripción de Puestos. CONCEPTO DE CARGO  EL CARGO  EL CARGO es la descripción de todas las actividades desempeñadas por una persona (el.

Análisis y Descripción de Puestos. CONCEPTO DE CARGO  EL CARGO  EL CARGO es la descripción de todas las actividades desempeñadas por una persona (el.
PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS

PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS
APLICACIÓN DE CONTROL INTERNO EN PyMEs

APLICACIÓN DE CONTROL INTERNO EN PyMEs
Sistemas de Gestión.

Sistemas de Gestión.
Tecnologías de Información y Comunicación MAG Jefe: Lic

Tecnologías de Información y Comunicación MAG Jefe: Lic
Plan de Emergencia.

Plan de Emergencia.
Sensibilización en Materia de Protección de Datos Personales

Sensibilización en Materia de Protección de Datos Personales
Medidas de seguridad y Documento de Seguridad

Medidas de seguridad y Documento de Seguridad
LAS VERIFICACIONES, LAS listas de CONTROL y LOS mapas de Riesgos

LAS VERIFICACIONES, LAS listas de CONTROL y LOS mapas de Riesgos

Presentaciones similares

Anuncios Google