Politicas de seguridad
-
Upload
meztli-valeriano-orozco -
Category
Education
-
view
140 -
download
0
Transcript of Politicas de seguridad
AUDITORIA EN SEGURIDAD INFORMÁTICA
INSTITUTO TECNOLÓGICO DE TUXTEPEC
MATERIA:AUDITORIA EN SEGURIDAD INFORMÁTICA
INTEGRANTES:ANOTA SANDOVAL YARA MARIELA
BRAVO ZAMORA SUSANA
MARCIAL RUIZ YESICA
RODRÍGUEZ MORELOS MARÍA FERNANDA
CARRERA:ING. EN INFORMÁTICA
CATEDRÁTICO:
LIC. VALERIANO OROZCO MEZTLI
TUXTEPEC, OAX, 9 DE SEPTIEMBRE DE 2013
POLÍTICAS DE SEGURIDAD
El término política de seguridad, se suele definir como el
conjunto de requisitos definidos por los responsables
directos o indirectos de un sistema, que indica en términos
generales qué está y qué no está permitido en el área de
seguridad durante la operación general de dicho sistema.
INTRODUCCIÓN
Una “Política de Seguridad” debe ser un documento formal que contenga las reglas a las cuales deberán atenerse las personas que están teniendo acceso a la tecnología e información de una organización.
PROPÓSITO
Informar a los usuarios de la obligatoriedad de cumplir con los
requisitos de proteger los activos de tecnología e información.
Esta debería especificar los mecanismos y procedimientos por
los cuales requerimientos son alcanzados.
UNA POLÍTICA DE SEGURIDAD PUEDE SER:
Prohibida: Si todo lo que no está expresamente permitido está
denegado.
Permisiva: Si todo lo que no está expresamente prohibido está
permitido.
QUIÉN DEBERÍA ESTAR INVOLUCRADO EN LA REALIZACIÓN DE LA POLÍTICA DE SEGURIDAD
• Directivos y/o representantes de los accionistas de la organización.
• Administrador de la seguridad.
• El staff de las áreas de tecnología.
• Representantes de la comunidad usuaria.
• Gerentes de las distintas áreas.
• Auditoría Interna.
• Asesor legal.
SEIS ELEMENTOS CLAVES EN POLÍTICAS DE SEGURIDAD
1. Disponibilidad: Es necesario garantizar que los recursos del sistema se
encontrarán disponibles cuando se necesitan, especialmente la información
crítica.
2. Utilidad: Los recursos del sistema y la información manejada en el mismo ha de
ser útil para alguna función.
3. Integridad: La información del sistema ha de estar disponible tal y como se
almacenó por un agente autorizado.
4. Autenticidad: El sistema ha de ser capaz de verificar la identidad de sus
usuarios, y los usuarios la del sistema.
5. Confidencialidad: La información sólo ha de estar disponible para agentes
autorizados, especialmente su propietario.
6. Posesión : Los propietarios de un sistema han de ser capaces de controlarlo
en todo momento; perder este control en favor de un usuario malicioso
compromete la seguridad del sistema hacia el resto de usuarios.
PRINCIPALES COMPONENTES DE UNA POLÍTICA DE SEGURIDAD
• Pautas para la adquisición de tecnología informática, que indiquen las preferencias o
dispositivos relacionados con la seguridad que deben poseer.
• Criterios de privacidad que definan razonablemente el alcance de las actividades de
monitoreo (revisión) del correo electrónico, control del acceso de los usuarios, etc.
• Normas de acceso, que especifiquen los privilegios y derechos de accesos; para
proteger los activos de información de la pérdida o su divulgación. Debería proveer
pautas básicas sobre las conexiones externas, comunicación de datos, conexión de
dispositivos a redes públicas o a Internet, la adición de nuevos sistemas, etc.
• Niveles de responsabilidad, que definan las misiones y las funciones de los usuarios, el
staff o la gerencia en las revisiones de auditorias, donde se determine las acciones a
seguir y las notificaciones pertinentes en el caso de detección de intromisiones no
deseadas.
• Pautas de autenticación, que definan los mecanismos a utilizar para la identificación y
validación de los usuarios.
• Normas de disponibilidad, que estipulen las expectativas de los usuarios para la
disponibilidad de los recursos. Aquí deberían enunciarse en forma general los
requerimientos de continuidad operativa, como así también los tiempos máximos
tolerados de no operación.
• Pautas sobre el reporte de violaciones, que indiquen las acciones a tomar
para cada una de las violaciones detectadas a cuestiones de privacidad,
confidencialidad, etc., ya sean de fuentes internas o externas.
• Pautas sobre la provisión de información, que especifiquen los canales a
seguir y el tipo de información que se podrá proveer en caso que agentes
externos hagan solicitud de ella.
CONCLUSIÓN
La “Seguridad de la Información” es un tema especialmente importante que
va en aumento, con el incremento de la tecnificación, la diversidad de las
redes de computación, la explotación de los servicios más variados por la
Internet, el advenimiento del comercio electrónico y el mayor número de
negocios que dependen de la información para sus operaciones diarias,
hacen que el contar con una adecuada “Política de Seguridad” sea un
requerimiento infaltable para la salud de la organización.