GUIA PARA ELABORAR UN PLAN DE SEGURIDAD

Presentación del documento

La página inicial (portada) contendrá el siguiente título: “PLAN DE SEGURIDAD INFORMATICA” seguido del área donde se aplicará el plan (empresa)

En la segunda página se consignarán los datos referidos a la elaboración, revisión y aprobación del Plan de Seguridad Informática, de acuerdo al siguiente formato:

REVISADO ELABORADO REVISADO APROBADO

NOMBRE

CARGO

FIRMA

FECHA

En la columna “ELABORADO” se consignan los datos del jefe del equipo que confeccionó el Plan de Seguridad Informática, en la columna “revisado” los de la persona designada para su revisión antes de presentarlo a aprobación y en la columna “aprobado” se reflejan los datos del jefe de la entidad en la que el Plan será implementado

A partir de la página No. 2, cada una de las páginas que conforman el Plan tendrán el encabezado siguiente:

Clasificación del documento Nombre de la empresa Pag.___ de ____

En la casilla “clasificación del documento” se pondrá la que le fue otorgada de acuerdo a lo establecido para la seguridad y protección de la información oficial.

Contenido del Plan de Seguridad

1.- Alcance

Se determinará lo que se trata de proteger especificando sus principales componentes entre otros :

• Bienes informáticos, su organización e importancia.

• Redes instaladas, estructura, tipo y plataformas que utilizan.

• Aplicaciones en uso.

• Servicios informáticos y de comunicaciones disponibles, especificando si son en calidad de clientes o servidores.

• Características del procesamiento, transmisión y conservación de la información, teniendo en cuenta el flujo interno y externo y los niveles de clasificación de la misma.

• Otros datos de interés.

El Alcance expresará el área de acción que abarca el Plan, de acuerdo al Sistema Informático objeto de protección, para el cual fueron determinados los riesgos y diseñado el Sistema de Seguridad. La importancia de dejar definido claramente el alcance del Plan (y de ahí su inclusión al comienzo del mismo) estriba en que permite tener a priori una idea precisa de la extensión y los límites en que el mismo tiene vigencias.

2.- Resultados del Análisis de Riesgos

No se concibe seguir adelante en la elaboración del Plan sin dejar claramente precisados cuales fueron los resultados obtenidos en el análisis de riesgos realizado, por lo que en este punto deberán relacionarse las principales conclusiones obtenidas en ese proceso, entre las cuales no pueden faltar:

a) Cuales son los activos y recursos más importantes para la gestión de la entidad y por lo tanto requieren de una atención especial desde el punto de vista de la protección, especificando aquellos considerados de importancia crítica por el peso que tienen dentro del sistema.

b) Que amenazas actúan sobre los activos y recursos a proteger y entre ellas cuales tienen una mayor probabilidad de materializarse (riesgo) y su posible impacto sobre la entidad.

c) Cuales son los activos, recursos y áreas con un mayor peso de riesgo y que amenazas lo motivan.

En la medida en que las conclusiones del análisis de riesgos sean más precisas se logrará una visión más acertada de hacia donde pueden ser dirigidos los mayores esfuerzos de seguridad y por supuesto los recursos disponibles para ello, lográndose que la misma sea más rentable.

En esta sección se definen los aspectos que conforman la estrategia a seguir por la Empresa sobre la base de sus características propias y en conformidad con la política vigente en el país en

...