seguridad de la informacion políticas de seguridad

SEGURIDAD DE LA INFORMACION

Políticas de seguridad

Modelo de Seguridad de la Información

Un modelo de la seguridad de la información, es un diseño formal que promueve consistentes y efectivos mecanismos para la definición e implementación de controles

Los componentes deben estar dirigidos a identificar los niveles de riesgo presentes y las acciones que se deben implementar para reducirlos.


Objetivo

Definir un marco conceptual apoyado en Políticas, Estándares y Procedimientos de Seguridad de la Información que se adapten a la tecnología utilizada para apoyar la actividad productiva, permitiendo otorgar flexibilidad y fluidez al negocio.


Políticas

Estándares

Procedimientos

PERSONAS

TECNOLOGIA

CULTURA


Gestión de Riesgo

Política general de Seguridad de la Información

Políticas detalladas de seguridad de la información

1.- Gestión de seguridad

de la información

2.- Aplicaciones clave del negocio

3.- Seguridad Física y ambiental

4.- Plataforma tecnológicay arquitectura de Comunicaciones

5.- Seguridad para terceros

•Código de ética

•Procedimientos de seguridad de la información

•Estándares de seguridad de lainformación

•Tecnología•Procesos•Personas


• La seguridad de la información está compuesta por mas que tecnología utilizada para solucionar problemas específicos o puntuales.

• Adecuado modelo de seguridad debe incluir políticas, procedimientos y estándares definidos de acuerdo con las características del negocio.

• Se debe contar con un plan de concientización adecuadamente estructurado para la creación de la cultura de seguridad en la organización. La seguridad de la información es tan buena como el nivel de entendimiento y capacitación que el personal tengan de los riesgos reales y las formas de protección.

• Utilizar los recursos tecnológicos necesarios como soporte para un adecuado respaldo de las políticas.

• Las mejores herramientas de seguridad son vulnerables si no existen políticas adecuadas que definan claramente su utilización.


Un adecuado modelo de “Seguridad Informática” esta basado en:

Políticas Sólidas de Seguridad de la Información:

• Mejores prácticas internacionales (BS ISO/ IEC 17799:2005 - BS 7799-1:2005)

• Estándares de Calidad

• Soporte Gerencial

• Divulgación

• Capacitación



Herramientas de Protección :

• Ultima Tecnología

• Permanentemente Actualizadas

• Funcionando 7 X 24 X 365

• Alta Capacidad de Respuesta



Equipo de Trabajo :

• Altamente Calificado

• Disponible 7 X 24 X 365

• Actualizado Permanentemente (Capacitación)

• Enfoque Único y total en Seguridad y Administración del riesgo


• No se trata de tener un libro

• Se trata de contar con una metodologia


Que es la seguridad de la información :

La seguridad de la información se define como la preservación de :

• Confidencialidad : se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella.

• Integridad : se salvaguarda la exactitud y totalidad de la información (confiabilidad) y los métodos de procesamiento.

• Disponibilidad : se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados cada vez que se requiera.


Ciclo de administración de las políticas :

2 Desarrollo 3 Publicación

4 Educación

1 Creación

5 Cumplimiento


Políticas :

1. Seguridad del personal :

Capacitación del usuario.

• Todos los empleados de la empresa y , cuando sea pertinente, los usuarios externos y los terceros que desempeñen funciones en la empresa, recibirán un adecuada capacitación y actualización periódica en materia de la política, normas y procedimientos de la empresa.


Políticas :

2. Seguridad Física y Ambiental : Pretende evitar al máximo el riesgo de accesos físicos no autorizados mediante el establecimiento de perímetros de seguridad

Perímetro de seguridad física.

• Las áreas protegidas se resguardarán mediante el empleo de controles de acceso físico. A fin de permitir el acceso solo a personal autorizado, estos controles deberán tener a lo menos las siguientes características:- Registrar fecha y hora de ingreso y egreso, solo permitiendo el ingreso mediante propósitos específicos y autorizados.- Controlar y limitar el acceso a la información clasificada y a las instalaciones solo a personas autorizadas mediante tarjeta magnética o inteligente o huella digital o numero de identificación (pin), etc.- Personal externo , deberá ser acompañado por personal autorizado, para poder entrar al área de seguridad de la información. Ninguna persona externa deberá estar sola dentro de esta área.


Políticas :

2. Seguridad Física y Ambiental :

Suministros de Energía.

El equipamiento estará protegido con respecto a las posibles fallas en suministro de energía u otras anomalías eléctricas:- Disponer de múltiples enchufes o líneas de suministro para evitar un único punto de falla en el suministro de energía.- Contar con un suministro de energía ininterrumpible (UPS) para asegurar el apagado regulado y sistemático o la ejecución continua del equipamiento que sustenta las operaciones críticas de la empresa.


Políticas :


Seguridad del Cableado.

- El cableado de energía eléctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de información estará protegido contra intercepción o daño, por medio de las siguientes acciones:

- Cumplir con las normas vigentes- Proteger el cableado de red contra intercepción no autorizada o daño.- Separación de los cables de energía de los cables de comunicaciones

para evitar interferencias.- Proteger el tendido del cableado mediante utilización de ductos blindados - Para los sistemas críticos o sensibles como bases de datos, servidores,

firewall, etc. Se implementaran los siguientes controles adicionales- Seguridad física y ambiental


Políticas :


Mantenimiento de Equipos.

Se realizara el mantenimiento del equipamiento para asegurar su disponibilidad e integridad permanentes. Para ello se debe considerar:

- Someter el equipamiento a tareas de mantenimiento preventivo, el aérea de informática llevara un control de cada una de estas mantenciones

- Solo el personal de mantenimiento puede hacer esta labor.- Registro de todas las fallas supuestas o reales y todo el mantenimiento

preventivo.- Registro del retiró de equipamiento de la empresa para su mantenimiento.- Eliminar toda información confidencial que contenga cualquier

equipamiento que sea necesario retirar , realizándose previamente los respectivos respaldo de esta


Políticas :

3. Protección contra Software Malicioso :

Controles contra software malicioso.

El responsable de la seguridad informática definirá controles de detección y prevención contra software malicioso.

- Prohibir el uso de software no autorizado por la empresa- Instalar y actualizar periódicamente software de detección y limpieza de

virus realizando revisiones a PCS y otros medios como medida precautoria.

- Mantener los sistemas al día con las actualizaciones de seguridad disponibles, previa prueba de dichas actualizaciones.

- Revisar periódicamente el contenido de software y datos de los equipos - Verificar antes de su uso la presencia de virus en archivos de medios

electrónicos de origen incierto- Concientizar el personal acerca del problema de los falsos virus

y como proceder frente a los mismos.


Políticas :

4. Seguridad del Correo Electrónico :

Política de Correo Electrónico.

- Protección contra ataques al correo electrónico , virus, intercepción, etc.- Protección de archivos adjuntos de correo electrónico.- Uso de técnicas criptográficas para proteger la confidencialidad e

integridad de los mensajes electrónicos.- Controles adicionales para examinar mensajes electrónicos que no

pueden ser autentificados.- Aspectos operativos para garantizar el correcto funcionamiento del

servicio, tamaño máximo de información transmitida y recibida, cantidad de destinatarios, tamaño máximo del buzón del usuario, otras.

- Definición de los alcances del uso del correo electrónico por parte del personal de la empresa.

- Potestad de la empresa para auditar los mensajes recibidos o emitidos por los servidores de la empresa.


Políticas :

5. Control de Accesos :

Política de Control de Accesos.

- Identificar los requerimientos de seguridad de cada una de las aplicaciones

- Identificar toda la información relacionada con las aplicaciones - Definir los perfiles de acceso de usuarios estándar, comunes a cada

categoría de puestos de trabajo.- Administrar los derechos de acceso en un ambiente distribuido y de red,

que reconozcan todos los tipos de conexiones disponibles.- Utilizar identificadores de usuario únicos, de manera que se pueda

identificar a los usuarios por sus acciones evitando la existencia de múltiples perfiles de acceso para un mismo empleado.

- Verificar que el nivel de acceso otorgado es adecuado para el propósito de la función del usuario.

- Entregar al usuario un detalle escrito de sus derechos de acceso.


Políticas :


Política de Control de Accesos.

- Cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus tareas, o de aquellos que se le revoco la autorización.

- Efectuar revisiones periódicas para cancelar identificadores y cuentas de usuario redundantes.

- Inhabilitar cuentas inactivas por mas de 30 días.- Eliminar cuentas inactivas por mas de 60 días.


Políticas :


Administración de Contraseñas de usuario.

La asignación de contraseñas se controlara a través de un proceso formal donde se deberán respetarse los siguientes pasos:- las contraseñas deberán ser solicitadas por un nivel de jefatura.- Las contraseñas son personales y secretas- Garantizar que los usuarios cambien su contraseñas iniciales que les han sido asignada la primera vez.- Las contraseñas provisorias, que se asignan cuando los usuarios olvidan sus contraseñas solo se debe suministrar una vez identificado el usuario.

- Las contraseñas deben tener un mínimo de 8 caracteres y un máximo de 16 caracteres

- Contraseña debe quedar bloqueada después del tercer intento erróneo- Solicitar cambio de contraseña cada 30 días.- Impedir que las ultimas 10 contraseñas sean reutilizadas.


Políticas :


Responsabilidades del usuario en el uso de Contraseñas.

Las contraseñas constituyen un medio de validación y autentificación de la identidad de un usuario y consecuentemente un medio para establecer derechos de acceso a las instalaciones, por lo tanto deberán cumplir con las siguientes directivas :

- Mantener las contraseñas en secreto- Seleccionar contraseñas de calidad (que pueda recordar, no estar

basadas en algún dato personal (Ej.. Numero telefónico, nombre, fechas etc.))

- Cambiar las contraseñas cuando el sistema se lo requiera- No reutilizar contraseñas antiguas- Cambiar las contraseñas en el primer inicio de sesión. (“Log on”).- Para los equipos desatendidos , estos deberán bloquearse después de un

periodo de tiempo muerto (nomás de 3 minutos) con un protector de pantalla y contraseña.


Políticas :


Autentificación de Usuarios para Conexiones Externas.

Las conexiones externas son de gran potencial para accesos no autorizados a la información de la empresa, por lo tanto el acceso de usuarios remotos estará sujeto a la autentificación.

La autentificación de usuarios remotos deberá ser .- Por medio de VPN (Virtual Prívate Network), con la encriptación

correspondiente (Des o 3 Des por Ej.)- O algún método de autentificación física (Ej. Tokens de hardware)


Políticas :


Subdivisión de redes.

Para controlar la seguridad de la (s) red (es), se podrán dividir en dominios lógicos separados. Para esto se crearan perímetros mediante la instalación de firewall, los que tendrán como función el filtrar el trafico entre cada dominio, y permitiendo el bloqueo de acceso no autorizado de un lado a otro.

Las políticas que deberá contemplar el “firewall” deberán ser aplicadas según los criterios de los dueños de la información correspondiente y el encargado de la seguridad.

Además de aplicación de zonas DMZ , dentro de la red lo que permitirá tener resguardada la información critica de la empresa.


Políticas :


Acceso a Internet.

El acceso a Internet será utilizado con propósitos autorizados o con el destino por el cual fue provisto. El responsable de Seguridad Informática definirá procedimientos para solicitar y aprobar accesos a Internet.

Estos accesos serán autorizados formalmente por la jefatura responsable de la unidad a que el empleado pertenezca.

Para la seguridad al acceso a Internet se debe implementar :- Filtro de contenidos (sitios no autorizados)- Reglas de firewall autorizando solo los puertos que se requieran tener

acceso.- Reglas de Firewall autorizando solo las direcciones IPs de la red que

tienen autorización para salir a Internet.- Implementación de un Proxy para la autentificación del usuario.


Políticas :


Seguridad de los servicios de red.

El responsable de la seguridad informática junto con el aérea informática definirán las pautas para garantizar la seguridad de los servicios de red de la empresa. Para esto se deberá tener en cuenta lo siguiente.

- Mantener habilitados solo aquellos servicios que sean utilizados- Configuración de las distintas reglas de “firewall” que permitan lo anterior.- Configuración de los servicios en forma segura, otorgándole solo las

autorizaciones que requiera, evitando las vulnerabilidades que pudieran existir.

- Estas configuración deben revisarse periódicamente por el responsable de seguridad informática.

La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.

seguridad de la informacion políticas de seguridad

Documents