POLITICAS, PLANES Y PROCEDIMIENTOS DE SEGURIDAD

POLITICA DE SEGURIDAD

DECLARACION DE INTENCION DE ALTO NIVEL( DIRECCION)

(EXPONER FINALIDAD)
CUBRIR LA SEGURIDAD DE LOS SISTEMAS INFORMATICOS
PROPORCIONAR LAS BASES PARA DEFINIR Y DELIMITAR LAS
RESPONSABILIDADES DEL ACTUAR TECNICO Y DE LA ORGANIZACIÓN DE
ACUERDO A LO QUE SE REQUIERA

PLAN DE SEGURIDAD
CONJUNTO DE DECISIONES VAN A DEFINIR CURSO DE ACCION QUE VOY A
REALIZAR Y QUE MEDIOS EMPLEARE PARA CONCERNIENTE A LA SEGURIDAD

PROCEDIMIENTO DE SEGURIDAD

PASOS QUE VOY A EJECUTAR PARA LLEVAR A CABO UNAS TAREAS

PERMITIR APLICAR E IMPLANTAR LAS POLITICAS, APROBADAS POR ALTA
DIRECCION

Fijemos la ideas , estableciendo los objetivos fundamentales

Definir políticas
Lo correspondientes a planes y procedimientos qua e nosotros vamos implantar
en una organización
Procedimiento se desglosan en tares y operaciones, que a su vez genera una serie de
registros y evidencias que me va permite:
Realizar un seguimiento, control y a la vez supervisión del funcionamiento de SGSI
Políticas definen Que se debe proteger
Procedimientos, seria como se debe de conseguir
Políticas de SEG en una organización deben de cumplir con alguna características y
requisitos
1. Debería poder ser implementadas a través procedimientos administrativos y se
realiza la guía de uso aceptable por parte del personal.
2. Definir las responsabilidades que se va a exigir al personal que va a tener
acceso al sistema: técnicos, analistas, programadores, usuarios,directivos y
personal externo a la organización.
3. Cumplir con las exigencias del entorno legal( ley de protección de datos)
4. Revisar nuevas exigencias con al entorno tecnología y de la organización
5. Defensa en profundidad, es un principio,uno implanta varios niveles o capas de
seguridad,extremando las medidas prevención, de detección y de corrección.
6. Asignación privilegios: servicios,aplicaciones y usuarios
7. Configuración robusta ante fallos
Algunas consideraciones y / o dificultades
 Información constituye un recurso que en muchos sectores no se valora por su
intangibilidad
 Proliferación de redes odenadores, concentración de información
 Razón faciltar la comunicación,asegura que el usuario debidamente
autorización
 Aseguro con medidas de encripyar la data, pero esto no me asegurra mayor
producción
 Cuando uno emplea un medio criptografico,que produce:que tenga un mejor
recurso computacional el consumo de ancho de banda para poder estar
interconectado
 Mas 75% fallas en lo relacionados a la seguridad con respecto fallas de los
equipos es por el mal uso del personal
 No solo debe contemplar los ataques de exterior sino los producidos en forma
interna, no se presta la particular atención en el usuario, muchas hay que
sensibilizar usuario sino a los mismos directivos
 No debemos olvidar la importancia de nuestra finalidad como depto informática,
para nosotros ante el grupo(organización) debemos de proporcionarlas
herramientas y la información con que van a necesitar para poder llevar a cabo
nuestro trabajo de forma eficaz y eficiente,por supuesto todo esto es SEGURO.
 DEFINICION E IMPLANTACION DE POLITICAS DE SEGURIDAD

AL MOMENTO DE DEFINIR POLITICAS ES IMPORTANTE LOS SIGUIENTES

ASPECTOS QUE ENUMERARE A CONTINUACION:

 ALCANCE: recursos, instalación y procesos que rigen actualmente en la

organización.
 Objetivos seria la prioridad de los trabajos a realizar en base al fundamento del
que dirige la obra
 Compromiso de la Dirección
 Clasificar la información e identificación de activos debemos activos debemos
proteger
 Análisis y gestión de riesgos
 Asignación de responsabilidades en los distintos niveles organizativos
 Definición clara y precisa de los comportamientos exigidos y por parte del
personal
 Identificar las medidas, normas y procedimientos de seguridad a implantar
 Gestionar ante relación con terceros
 Gestión de incidentes
 Planes contingencia y continuidad de negocio
 Cumplir la legislación vigente

Tener en cuenta quienes son las personas o grupos que deben implicados en
lo correspondiente a la política
a) Directivos y responsables de los departamentos
b) Personal de Informática y comunicación
c) Conformar u equipo de respuesta inmediata ante incidentes de
seguridad
d) Afectación de los usuarios
e) Revisión de la medidas por parte de los asesores legales

Lo que cada documento debe de incluir

 Título y codificación
 Fecha de publicación
 Fecha de entrada en vigor
 Fecha de renovación
 Ámbito de aplicación
 Descripción detallada
 Persona responsable revisión
 Especificar otra información como:
 Acciones que se va a ejecutar
 Responsables que van a ejecutar
 Lugar donde realizarse
 Controles verificar su correcta ejecución
Las políticas de seg constituyen una herramienta para poder hacer frente a futuros
problemas, fallos sistemas, imprevistos o posibles ataques de informática

Inventario de recursos y definición servicios que ofreces

 Requiere de un inventario previo y mantenimiento de un registro actualizado:

hardware, software ,comunicaciones, datos, documentación, manuales,etc así
como conocer distintos tipos de acceso a la red y conexiones usadas.
 Sistemas operativos y aplicaciones
 documentación y manuales de aplicaciones
 Inventario me permite análisis de las vulnerabilidades del sistema informático
 Establecer una lista de servicios disponibles desde la misma red
 Responsables definir las condiciones de uso aceptable para cada uno de los
servicios informáticos

Seguridad correspondiente al personal

Alta de empleados
 Chequeo de referencias
 Cláusulas de confidencialidad, esto es el sentido de que la persona va a tener
acceso a datos sensibles
 Manejo aplicaciones críticas dentro sistema informático
 Procedimiento a emplear cuando realice la creación de nuevas cuentas de
usuario
 Nosotros no debemos descuidar de adecuada formación, dar a conocer sus
obligaciones y responsabilidades con seguridad de los datos y sus
aplicaciones.
Baja de empleados

 Proceder a la cancelacio o bloqueo inmediato de la cuenta de usuario

 Revocación de los permisos y privilegios que se habían concedido
 Contemplar la devolución de todo lo que les asignaron,equipos celulares,tarjeta
de acceso