RE: Seguridad Y Políticas
Enviado por zoros • 12 de Julio de 2015 • 4.905 Palabras (20 Páginas) • 133 Visitas
Objetivo
En esta semana estudiaremos con más profundidad las
políticas de seguridad informática, el significado de un
manual de procedimientos para nuestra organización, y
diversos métodos para evaluar el valor de la información de
la misma.
POLÍTICAS GENERALES DE SEGURIDAD
¿Qué son entonces las políticas de seguridad informática (PSI)?
Como hemos dicho anteriormente en repetidas ocasiones, el principio y final de
toda red es el usuario. Esto hace que las políticas de seguridad deban,
principalmente, enfocarse a los usuarios: “una política de seguridad informática
es una forma de comunicarse con los usuarios y los gerentes”. Indican a las
personas cómo actuar frente a los recursos informáticos de la empresa, y sobre
POLÍTICAS GENERALES DE SEGURIDAD
Objetivos del tema
• Conocer mecanismos de definición de políticas de
seguridad informática
• Conocer modelos para dar valor a los datos de las
organizaciones
• Aprender el concepto de "procedimiento".
• Usar los conceptos de procedimiento y checklist
para aprender a crear un manual de procedimientos.
2
Curso de redes y seguridad
Fase 2
todo, no son un conjunto de sanciones, sino más bien una descripción de
aquello valioso que deseamos proteger y por qué.
¿Cuáles son los elementos de una política de seguridad informática?
Si las decisiones tomadas en relación a la seguridad, dependen de las PSI,
cada persona debe estar en disposición de aportar lo necesario para poder
llegar a una conclusión correcta de las cosas que son importantes en la
empresa y que deben ser protegidas. Es por esto que una PSI debe tener los
siguientes elementos:
• Rango de acción de las políticas. Esto se refiere a las personas sobre
las cuales se posa la ley, así como los sistemas a los que afecta.
• Reconocimiento de la información como uno de los principales activos
de la empresa.
• Objetivo principal de la política y objetivos secundarios de la misma. Si
se hace referencia a un elemento particular, hacer una descripción de
dicho elemento.
• Responsabilidades generales de los miembros y sistemas de la
empresa.
• Como la política cubre ciertos dispositivos y sistemas, estos deben tener
un mínimo nivel de seguridad. Se debe definir este umbral mínimo.
• Explicación de lo que se considera una violación y sus repercusiones
ante el no cumplimiento de las leyes.
• Responsabilidad que tienen los usuarios frente a la información a la que
tienen acceso.
3
Curso de redes y seguridad
Fase 2
Ahora, aunque las PSI deben poseer estos elementos expuestos, también debe
llevar, implícitos en cada ítem, algunas características:
• Siempre se debe tener en cuenta cuales son las expectativas de la
organización frente a las PSI, qué es lo que espera de ellas en cuanto a
seguridad y eficacia.
• Siempre que se redacten, las PSI deben permanecer libre de
tecnicismos que dificulten su comprensión por parte de cualquier
persona de la organización.
• Cada política redactada, debe explicar el porqué se toma dicha decisión
y por qué se protegen esos servicios o conocimientos particulares.
• Toda PSI debe ser vigilada por un ente, una autoridad, que la haga
cumplir y apique los correctivos necesarios. Sin embargo, no debe
confundirse una PSI con una ley, y no debe verse como tal.
• Así como las características y elementos de una empresa cambian,
también deben hacerlo las PSI, por lo que debe tenerse en cuenta, al
redactarlas, que deben establecer un esquema de actualización
constante, que dependa de las características de la organización.
• No hay nada obvio. Se debe ser explícito y concreto en cuanto a los
alcances y propuestas de seguridad. Esto evita gran cantidad de malos
entendidos, y abre el camino para el establecimiento de la política de
seguridad específica.
¿Cómo se establecen las políticas de seguridad? Recomendaciones.
Hemos revisado las características generales de las PSI y los elementos
implícitos en cada observación, pero ¿tenemos un esquema de cómo
4
Curso de redes y seguridad
Fase 2
formularlas
...