La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Carmen R. Cintrón Ferrer, 2008, Derechos Reservados.

Presentaciones similares


Presentación del tema: "Carmen R. Cintrón Ferrer, 2008, Derechos Reservados."— Transcripción de la presentación:

1 Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

2  Introducción de conceptos  Procedimiento para la adopción de políticas  Estructura sugerida  Estándares y/o Prácticas reconocidas  Áreas de contenido propuesto  Taller de redacción  Validación y Divulgación 2Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III

3  ¿Qué es una política?  ¿Para qué sirve?  ¿A quién va dirigida?  ¿Cómo se diferencia de un manual o procedimiento? 3Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III

4  ¿Qué es una política? Documento normativo adoptado por la alta gerencia donde establece la importancia para la organización de un asunto a regular, fija los objetivos a alcanzar y define las responsabilidades asociadas a su cumplimiento. 4Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III

5  ¿Para qué sirve una política? Establecer la posición de la organización Definir expectativas Reducir errores, uso indebido o discrepancias Fijar responsabilidades Contribuir al cumplimiento con regulaciones Facilitar la comunicación y comprensión Referir a otros documentos más específicos 5Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III

6  ¿A quién(es) va(n) dirigida(s)?  Gerencia  Empleados a tarea completa y/o parcial  Consultores  Visitantes  Otros 6Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III

7  ¿Cómo se diferencia de un manual o procedimiento?  General y provee el marco conceptual  Amplia difusión y acceso  Fácil comprensión y cumplimiento  Requiere revisión(es) periódica(s) menor(es)  Sirve de marco para la redacción de:  Procedimientos  Manuales 7Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III

8  Políticas:  General  Abarcador  Define posición organizacional  Procedimientos:  Detallado  Específico (área funcional, tipo de usuario)  Apoya cumplimiento con leyes y reglamentos  Manuales:  Específico (segmento de la comunidad)  Define responsabilidad particular  Establece normas de conducta esperada  Provee ejemplos asociados al cumplimiento  Describe consecuencias por incumplimiento 8Carmen R. Cintrón Ferrer, 2008, Derechos ReservadosMódulo III

9  Crear comité representativo  Redactar políticas – Comité y Asesor legal  Adoptar políticas – Unidad institucional  Diseminar y concienciar sobre contenido: ◦ Comité ◦ Unidades ◦ Asesor legal ◦ Recursos Humanos ◦ Oficial Cumplimiento  Adoptar o actualizar procedimientos y/o manuales  Integrar controles en sistemas y tecnologías de información  Auditar cumplimiento  Tomar medidas: ◦ Reforzar cumplimiento ◦ Aclarar o modificar contenido 9Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados

10 Determinar necesidad y Redactar Borrador Revisar, aprobar y diserminar Ajustar procedimientos y manuales Integrar controles de cumplimiento mediante TI Auditar controles y proponer ajustes Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados10

11  Crear comité representativo:  Administración:  Gerencia  Administración operacional  Representación de usuarios críticos  Asesor legal y/o Oficial de Cumplimiento  Director de TI  Director de Seguridad  Personal  Otros sectores de la organización:  Auditor interno  Auditor externo 11Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados

12  Redactar política: ◦ Construir formato genérico (“template”) ◦ Determinar necesidad ◦ Identificar estándares o prácticas generalmente reconocidas ◦ Afinar objetivo(s) o intención ◦ Identificar el público al cual va dirigido ◦ Seleccionar entre política, procedimiento o manual ◦ Utilizar el formato “template” correspondiente ◦ Generar el borrador ◦ Validar el borrador ◦ Certificar su legalidad (Oficina del Asesor Legal) ◦ Someter a la unidad autorizada para aprobación ◦ Allegar recursos para su implantación operacional ◦ Divulgar contenido, expectativas y sanciones 12Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados

13  Unidad institucional autorizada:  Aprobar política  Establecer fecha de vigencia  Adoptar plan y asignar recursos para:  Diseminar contenido  Concienzar sobre contenido al público que afecta (“Awareness”)  Adiestrar sobre los riesgos que cubre y el impacto que representan  Notificar aprobación a:  Comité  Asesor Legal  Oficina de Recursos Humanos  Unidad de Informática (“IT”)  Oficial de cumplimiento  Adoptar o actualizar procedimientos y/o manuales:  Afectados por la política aprobada o modificada  Implantar operacionalmente la política aprobada o modificada 13Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados

14  Auditar cumplimiento – métricas y controles:  Auditorías internas  Auditorías externas  Auditorías de cumplimiento  Tomar medidas para reforzar cumplimiento:  Programas de fiscalización (“monitoring”)  Sistemas para hacer cumplir políticas  Sistemas para determinar discrepancias o violaciones  Actuar consistentemente en casos de incumplimiento  Imponer sanciones  Revisión y actualización continua:  Atemperar a los cambios en el entorno  Aclarar o modificar para asegurar cumplimiento 14Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados

15 Módulo III15 Determinar necesidad Comparar modelos (“Best Practices”) Desarrollar borrador Revisar, ajustar y aprobar Divulgar y adiestrar usuarios Desarrollar o modificar procesos Resumen del Procedimiento propuesto Implantar Apoyar usuario Afinar correspondencia Integrar tecnologías de control Auditar Fiscalizar cumplimiento Imponer controles y/o sanciones Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

16  Definir la posición organizacional – Cultura de confianza  Respaldar normativas de cumplimiento aplicables  Mejorar la calidad de la ejecución al contribuir a: ◦ Definir qué se espera ◦ Reducir errores ◦ Uniformar o estandarizar procesos ◦ Proveer resultados consistentes ◦ Reemplazar tradición oral  Apoyar procesos de aprendizaje o adiestramiento  Proveer lista(s) de cotejo para verificar cumplimiento  Referencia para mejorar procesos Módulo III16Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

17  Título y fecha de vigencia  Introducción  Definiciones  Contenido  Aplicabilidad  Excepciones  Sanciones  Otras disposiciones  Unidad responsable 17Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados

18  Título:  Título de la política  Fecha de vigencia:  Fecha a partir de la cual entra en vigor  Introducción:  Ubicar en contexto el (los) objetivo(s) que persigue  Explicar cuál es la intención para su aprobación  Enmarcar en la misión, filosofía y visión de la institución  Definiciones:  Términos o conceptos  Objetivos  Conceptos institucionales 18Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados

19  Contenido:  Marco legal o reglamentario que la cobija  Descripción de:  ¿Qué permite?  ¿Cómo está permitido?  ¿Cuándo está permitido?  ¿Qué está prohibido?  ¿Cuándo está prohibido?  ¿Por qué está prohibido?  Explicación del impacto  Ejemplo(s) de escenario(s)  Detalle procesal  Responsables de:  Contención, erradicación o recuperación 19Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados

20  Aplicabilidad:  ¿A quién(es) aplica?  ¿En cuáles circunstancias?  Contexto que enmarca la aplicabilidad  Excepciones:  ¿Cuándo no aplica?  ¿A quién(es) no aplica y por qué?  Sanciones:  Consecuencias del incumplimiento  Tipos de escenarios y tipo de sanción:  Amonestación  Suspensión  Despido 20Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados

21  Otras disposiciones: ◦ Procedimiento para modificar  Unidad responsable de implantar ◦ Identificar la unidad ◦ Identificar persona(s)  Unidad responsable de asegurar cumplimiento ◦ Procedimiento para notificar incumplimiento:  ¿A quién?  ¿Cómo?  ¿Qué proveer? 21Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados

22 El lenguaje y estilo debe ser:  Claro  Conciso y preciso  Sencillo y fácil de entender  Coherente  Asertivo (ir al grano) Debe evitar el uso de:  Acrónimos (descripción completa)  Números romanos  ‘etc.’ y de ‘i.e.’ o ‘e.g.’  Expresiones de género Módulo III 22Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

23

24  National Institute of Standards and Technology:  Tecnologías de seguridad  Seguridad de redes y sistemas  Configuración y métricas recomendadas  IT Compliance Institute:  Manejo de riesgos  Seguridad de la información y protección de los datos  Manejo de identidad (acceso)  Manejo de configuración y cambios  Payment Card Industry (PCI)  Sarbanes Oaxley (SOX)  Health Insurance Portability and Accountability Act (HIPAA) Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados24

25  SANS:  Seguridad de la información  Seguridad de las redes  ISO 17799(27002):  Seguridad y manejo de la información  Center for Internet Security (CISE)  Sistemas operativos  Configuración equipos  Aplicaciones  Open Compliance Ethics and Governance:  Gobernabilidad  Seguridad de la información Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados25

26  Insituto de Auditores Internos:  Configuración equipos y sistemas  Aplicaciones  CobiT  ISACA – Contenido CISM  ISC – Contenido CISSP  COSO  EDUCAUSE Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados26

27

28 Proveer tecnología y acceso al personal pone en riesgo: ◦ Activos físicos y electrónicos ◦ Operación diaria y ejecución eficiente ◦ Reputación e imagen organizacional ◦ Cumplimiento con regulaciones aplicables ◦ Responsabilidad civil o criminal - reclamaciones legales ◦ Cultura de confianza Módulo III 28Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

29  Uso de recursos tecnológicos  Navegación (“Computer network & Internet”)  Correo electrónico y mensajería  Privacidad e Integridad de Contenido  Documento electrónico:  Depósito  Transmisión  Retención o archivo  Disposición  Protección de propiedad  Lenguaje al comunicar Módulo III 29Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

30  Protección y uso de Equipo: ◦ Desktops ◦ Laptops ◦ Impresoras y otros periferales ◦ Tecnologías móviles  Programación: ◦ Instalación, copia y modificación de programas  Autenticación (“username & password”)  “Malware”: ◦ Actualización antivirus, “antispyware”, “antispam” ◦ Propagación virus, spam ◦ Desarrollo, instalación y/o propagación de “malware” Módulo III 30Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

31  Clasificación de la información  Acuerdos de Confidencialidad  Acceso a servicios, aplicaciones y tecnologías:  Autenticación  Cifrado  Seguridad de servidores  Seguridad de aplicaciones Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados31

32  Uso apropiado  Sitios autorizados/no-autorizados: ◦ Contenido relacionado o no a la operación organizacional ◦ Contenido de naturaleza:  Sexualmente explícita  Proselitismo religioso/político  Ofensiva, discriminatoria  Desperdicio de recursos: ◦ Tráfico innecesario ◦ Tráfico voluminoso:  “video/audio streaming”  Juegos  “Chat” ◦ Congestión:  “sniffers”  “scanners”  “IDS/IPS”  Protocolo(s) o conexión(es):FTP, P2P Módulo III 32Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

33  Correo electrónico  Mensajería (“Instant messaging”)  Telefonía IP (“VOIP”)  Conversación interactiva (“Chats”)  Tecnologías móviles  Tecnologías inalámbricas  Otras tecnologías Módulo III 33Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

34  Transaccionales o asociados a la operación:  Aplicaciones o Bancos de datos  Correo electrónico  Documentos generales o específicos  Cubiertos por legislación de privacidad:  HIPAA  GLBA  ECPA  ID Theft  Otras  Pietaje de cámaras de seguridad  Propiedad Intelectual 3ros  Presencia WEB Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados34

35  Antivirus  AntiSpam  AntiSpyware  Copias de resguardo  Uso de dispositivos duplicación móviles (USB/Firewire)  Limpieza de dispositivos de almacén (Media Sanitation) Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados35

36

37 Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados37  Seleccione un área para redactar la política  Utilice el Bosquejo propuesto como guía  Remítase a los modelos recomendados (“best practices”)  Elabore el bosquejo preliminar para la política  Sugiera el proceso a seguir para su implantación operacional

38  Cornell IT Policies  SANS, A Short Primer for Developing Security Policies, 2007  UCISA, Information Security Toolkit edition 2.0, 2005  Sedona Conference, THE SEDONA GUIDELINES: Best Practice Guidelines & Commentary for Managing Information & Records in the Electronic Age, 2005  Henson, Developing and Writing Library Policies and Procedures,nd  Flyn, The ePolicy Handbook, American Management Association, 2001  EDUCAUSE, Security Policy Best Practices Módulo IIICarmen R. Cintrón Ferrer, 2008, Derechos Reservados38


Descargar ppt "Carmen R. Cintrón Ferrer, 2008, Derechos Reservados."

Presentaciones similares


Anuncios Google