Políticas de Seguridad

Add to Favourites
Post to:

Description
Presentación de las políticas de Seguridad

Comments
Presentation Transcript Presentation Transcript

Políticas y Planes de Seguridad : Políticas y Planes de Seguridad CURSO: SEGURIDAD LOGICA Y SEGURIDAD FISICA MSc. Ing. Juan Carlos Peinado Pereira. Universidad Autónoma Gabriel René Moreno

Políticas de Seguridad : Políticas de Seguridad La forma de comunicarse con el colectivo sobre las pautas de seguridad a seguir Las reglas claras No es una descripción técnica de mecanismos de seguridad, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y el por qué de ello. Cada PSI es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía

Políticas de Seguridad : Políticas de Seguridad Alcance de la políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Objetivos de la política y descripción clara de los elementos involucrados en su definición. Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización. Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política. Definición de violaciones y de las consecuencias del no cumplimiento de la política. Responsabilidades de los usuarios con respecto a la información a la que él o ella tiene acceso.

Objetivos : Objetivos Establecer metodologías para evaluar en forma efectiva los riesgos y debilidades de seguridad en los sistemas de la organización. Comunicar las responsabilidades para la protección de la información. Establecer la metodología de comunicación de la presente política a todos lo usuarios de la información de la organización. Explicitar el Impacto de los Eventos de Seguridad en la Organización

Alcance : Alcance Todos los usuarios de la organización, incluyendo a funcionarios, gerentes, directores, personal contratado, consultores, empleados de terceras partes contratadas por la organización. Incluye toda la información, sin importar la forma o formato en la que se crea o utiliza para soportar las actividades de la organización, incluyendo la comunicación verbal, escrita, base de datos de sistemas informáticos, aplicativos informáticos o transmisiones, cintas, diskettes, cd, reportes generados por computadora, correo electrónico, mensajes de correo de voz, faz, papeles de trabajo. Variantes

Criterios de Privacidad de la Información : Criterios de Privacidad de la Información Categorías de información. Roles Propósitos de Uso Principios de Seguridad Reglas de Seguridad Equilibrio de Integridad – Confidencialidad – Seguridad.

Seguridad de Personal : Seguridad de Personal Uso para actividades de la organización Programa de Divulgación Desecho seguro de contenidos Seguridad en las descripciones de tareas y actividades del negocio Seguridad en la asignación de tareas Seguridad en las Modificaciones de Personal Seguridad en la interacción con entidades externas (Clientes, Proveedores) Seguridad en la Gestión Tercerizada

FUNCIONES Y RESPONSABILIDADES : FUNCIONES Y RESPONSABILIDADES Organización de seguridad de la información Responsabilidades de los usuarios de la información Responsabilidades especiales Gerente de seguridad Analista de seguridad y recuperación de contingencia Gerentes de área Usuarios de la información Separación de tareas y oposición de intereses Desarrollo y mantenimiento de sistemas Desarrollo de aplicaciones y sistemas seguros Control de cambios

OBJETIVOS DE CONTROL : OBJETIVOS DE CONTROL Control de acceso a la información Acceso de los usuarios de la información Responsabilidad individual Acceso remoto Comunicación y gestión de las operaciones Respuesta a incidentes Sistemas de comunicación electrónicos Prevención contra virus y software malicioso Seguridad de la red Cumplimiento Control del cumplimiento Licencias de software y Copyright Retención de registros Revisiones Excepciones a la política de seguridad Cumplimiento y manejo de las violaciones a la política

ESTÁNDARES DE CONTROL DE ACCESO A LA INFORMACIÓN : ESTÁNDARES DE CONTROL DE ACCESO A LA INFORMACIÓN Alcance Cumplimiento Gestión del acceso de los usuarios Identificación Autenticación (Cruzado roles y categorías de Información) Registro de usuarios Gestión de contraseñas de los usuarios Reglas para las contraseñas Gestión de privilegios Revisión de los permisos de acceso de los usuarios Control de acceso a la red de comunicaciones Protección de los datos de las estaciones de trabajo Control de acceso para las aplicaciones Restricciones al acceso de la información

ESTÁNDARES DE CONTROL DE ACCESO A LA INFORMACIÓN : ESTÁNDARES DE CONTROL DE ACCESO A LA INFORMACIÓN Privilegios para acceso por defecto Aislamiento de sistemas aplicativos sensitivos Uso de los utilitarios del sistema Monitoreo del acceso y uso de los sistemas Registro (log) de eventos (sistemas automáticos de advertencias) Monitoreo del uso de los sistemas Sincronización de relojes Acceso remoto y equipos portables Acceso remoto Equipos portables Uso de módems Segregación de responsabilidades Uso de criptografía

ESTÁNDARES DE CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN : ESTÁNDARES DE CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN Estándares de clasificación de la información Pública Uso Interno Solamente Confidencial Secreto Valoración de los activos de información Evaluación de los riesgos (probabilístico) Determinación de la relación costo/beneficio Supresión atenuación de la probabilidad de incidente de seguridad) de los sistemas de seguridad

ESTÁNDARES DE SEGURIDAD PARA EL USO DE HERRAMIENTAS OFIMATICAS : ESTÁNDARES DE SEGURIDAD PARA EL USO DE HERRAMIENTAS OFIMATICAS Correo Electrónico Internet Sistemas del negocio Sistemas de Proveedores y Clientes Estándares de Seguridad para el Uso

ESTÁNDARES DE ADMINISTRACIÓN DE VIRUS : ESTÁNDARES DE ADMINISTRACIÓN DE VIRUS Clasificación de Recursos y Control Contabilidad de los Recursos Clasificación de la Información Seguridad del Personal Instrucciones a los Usuarios Respuesta a los Incidentes de Virus Administración de las Comunicaciones y Operaciones Procedimientos Operacionales y Responsabilidades Protección Contra el Software Malicioso Intercambio de Información y de Software Computación móvil Monitoreo del cumplimiento de los Estándares Revisión del cumplimiento técnico de los Estándares de Antivirus

ESTÁNDARES DE USO DE INTERNET / INTRANET : ESTÁNDARES DE USO DE INTERNET / INTRANET Conducta de uso general Internet / Intranet Estándares de seguridad en la utilización de Internet / Intranet Conexiones a la red Internet y otras redes externas a la organización Manejo de transmisiones Servicios Correo Electrónico File transfer Protocol World Wide Web (WWW), HTTP y HTTPS Auditoría a la actividad en Internet Seguridad en equipos de protección Concientización de Seguridad en la red Internet Medidas de protección de los servicios en Internet

SEGURIDAD PARA LA INSTALACIÓN Y CONFIGURACIÓN DE RED DE LA EMPRESA : SEGURIDAD PARA LA INSTALACIÓN Y CONFIGURACIÓN DE RED DE LA EMPRESA Características de la empresa y su red física Activos de información a proteger Tipos de usuarios de la información con que cuenta la empresa Análisis del uso de recursos, idiosincrasia. Soluciones generales de conectividad Sistema operativo Configuración de VPN para los dos usuarios especiales

SEGURIDAD FISICA : SEGURIDAD FISICA Inventario de dispositivos de tecnología de la información Ubicación de los dispositivos de conectividad Ubicación y documentación de llaves Seguridad de insumos Seguridad lógica Seguridad de acceso lógico Logs del sistema Respaldos Seguridad física Medidas de acceso físico Acceso a áreas restringidas Acceso de proveedores de servicios Detecciones de irregularidades Seguridad eléctrica Incendios y humo Cableado Almacenamiento de respaldos

PLAN DE SEGURIDAD : PLAN DE SEGURIDAD Para cada amenaza y cada riesgo se definen uno o más de los siguientes: Mecanismos para contrarrestar, salvaguardas Mecanismos para paliar la debilidad Mecanismos de Control de eventos Mecanismos de deyección Procedimientos de verificación

PLAN DE CONTINGENCIA : PLAN DE CONTINGENCIA Escenarios y su plan Prácticas y cronometrado Incidentes de conectividad Incidentes físicos

RESPONSABILIDADES E IMPACTO : RESPONSABILIDADES E IMPACTO Responsabilidades en caso de falla De incumplimiento De sabotaje Otros Acciones a Tomar

CONCLUSIONES Y RECOMENDACIONES : CONCLUSIONES Y RECOMENDACIONES Filosofía general Criterios para la toma de decisión en casos ambíguos Procedimientos excepcionales Responsabilidades en casos excepcionales. Conclusiones generales

FIN : FIN

Upload Content

|

Embed Content

Want to learn?

Sign up and browse through relevant courses.

Name:
Your Email:
Password:
Country:
Contact no:


Area code Number
Subjects you are interested in:
Word verification: (Enter the text as in image)


Sign Up Already a member? Sign In
I agree to WizIQ's User Agreement & Privacy Policy
Juan Carlos Peinado Pereira
User
1 Follower
Send message

Your Facebook Friends on WizIQ

For sales enquiry, call us at

USA
+1NoSkype-919-647-4727

Europe
+44NoSkype-(0)-20-7193-6503

Asia
+91NoSkype-988-500-3232

or
Let us call you

Give live classes, create & sell online courses

Try it free Plans & Pricing

Connect