Una política de seguridad en el ámbito de la criptografía de clave pública es un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad.
Políticas de seguridad informática.
Entendiendo un Modelo de Soluciones de Seguridad en Informática
Estrategia
Cumplimiento
Regulaciones
Reducir Riesgos
Reducir Costos
Administrativos
Mejorar Eficiencia
de Procesos
Asegurar Propiedad
Intelectual
Asegurar
Información
Cliente
Defenderse Contra
Dsiputas Legales
Retorno de la
Inversión
Política
Cumplimiento
Regulaciones
Reducir Riesgos
Limitar Exposición
Legal
Cumplimiento
Personas
Observancia y
Recurso
Reglas Claras
Consecuencias
Claras
Línea Base Para
Reglamento
Arquitectura
Mejorar Eficiencia
de Procesos
Reducir Costos
Administrativos
Costo de Propiedad
Uso de las
Tecnologías
Cumplimiento
Estándares
Administración
Integrada
Proceso de
Actualización y
Soporte
Retorno de la
Inversión
Diseño
Rendimiento
Importancia Técnica
Cumplimiento
Estándares
Herramientas
Integradas
Licenciamiento
Uso de las
Tecnologías
Proceso de
Actualización y
Soporte
Facilidad de Uso
Escalabilidad
Flexibilidad
Soporte Multi-
Plataforma
Implementación
Rendimiento
Importancia
Técnica
Cumplimiento
Estándares
Herramientas
Integradas
Uso de las
Tecnologías
Proceso de
Actualización y
Soporte
Facilidad de Uso
Escalabilidad
Flexibilidad
Costo
Licenciamiento
Negocio Técnico
“Muchas compañías de tecnología de información han desarrollado tecnologías para manejar los retos de los negocios. Sin embargo, muchas de esas tecnologías sólo atienden necesidades específicas dentro de todo el ambiente de seguridad de la información. Pocas compañías tienen desarrolladas tecnologías para integrar, fácilmente, con otras tecnologías…para ayudar a proveer un más uniforme, más controlado y, por tanto, más seguro ambiente operativo.”
Voces de la Industria
Estándares
Clasificación de Activos y su Control
Personal de Seguridad
Seguridad Física y Ambiental
Administración y Operación de Comunicaciones
Control de Acceso
Desarrollo y Mantenimiento de Sistemas
Contingencia “Business Continuity”
“Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría
El Modelo es la Aplicación de Estándares
Políticas de Seguridad y
Seguridad
Organizacional
Riesgos: Son aquellos que pueden amenazar el logro del objetivo del proceso. (Amenaza, debilidad, síntoma de rendimiento deficiente, oportunidad de mejoramiento) Controles: Son políticas y procedimientos, implantados o no, que proporcionan la seguridad de que los riesgos de negocio han sido reducidos a un nivel aceptable.
Riesgos y Controles de Procesos
RIESGOS CONTROLES
Para identificar los riesgos se clasifican en: •De negocio •Financieros •Operativos •De cumplimiento •Fraude
Para identificar los controles se clasifican en: •Informática
•Atribuciones
•Procedimientos
•Documentación
•Sistema de información gerencial
ACTIVIDAD
Probabilidad e Impacto del Riesgo (C)
1 2 3
3
2
1
IMPACTO EN LA ORGANIZACION
PROBABILIDAD DE OCURRENCIA (P.O)
1 Es poco probable que ocurra
2 Es medianamente probable que ocurra
3 Es altamente probable que ocurra
1 Sería de bajo impacto
2 Sería de mediano impacto
3 Sería de alto impacto
IMPACTO EN LA
ORGANIZACIÓN (I)
P R O B A B I L I D A D
CALIFICACION DEL RIESGO
Alto 3
Medio 2
Bajo 1
Riesgo Remanente (R)
SITUACION ACTUAL (SA) DEL CONTROL INTERNO
1 Cubre en gran parte el riesgo
2 Cubre medianamente el riesgo
3 No existe ningún tipo de medida
SITUACION ACTUAL- CONTROL INTERNO
1 2 3
9
6
3
C R I T I C I D A D
D E L
R I E S G O
Matriz de Evaluación de Riesgos
El Estándar de Seguridad - ISO 17799
• El estándar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en Diciembre del año 2000.
• El estándar hace referencia a diez aspectos primordiales para la seguridad informática.
• Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Física, Cumplimiento, Seguridad Personal, Seguridad de la Organización, Administración de Operaciones, Control y Clasificación de la Información y Políticas de Seguridad.
ESTANDAR ISO 17799 - Políticas
Políticas de Seguridad y
Seguridad
Organizacional
Políticas de Seguridad: •Documento de la Política de Seguridad •Revisión y Evaluación
Seguridad Organizacional •Infraestructura •Ente colegiado de Seguridad Informática •Coordinación de Seguridad Informática •Nombramiento de Responsables de SI •Proceso de autorización para oficinas de SI •Personal especializado en SI •Cooperación entre Organizaciones •Revisión independiente de SI
•Seguridad de Ingreso a Terceros •Identificación de riesgos por Ingreso de 3ros •Requisitos en Contratos con 3ros
•Outsourcing •Requisitos en Contratos de Outsourcing
ESTANDAR ISO 17799 – Clasificación de Activos
Responsabilidad por Activos •Inventario de Activos
Clasificación de Información •Guías de Clasificación. •Manipulación y marcación de Información
Clasificación de Activos
y su Control
ESTANDAR ISO 17799 - Control de Acceso
Requerimientos de Negocios para Control de Acceso •Políticas de Control de Acceso
•Administración de Acceso de Usuarios •Registro de Usuarios •Administrración de privilegios •Administración de Constraseñas •Revisión de derechos de acceso de usuarios
•Responsabilidad de Usuarios •Utilización de contraseñas •Equipo de usuarios desatendidos
Control de Acceso