Introducción a las Políticas de Seguridad

004-Politicas-711X400

Puede ver el Video de este capitulo en Youtube

Las políticas de seguridad son un conjunto de documentos que describen a alto nivel cuales son los controles de seguridad que deberan ser implementados en la empresa.

Estos documentos definen la arquitectura de seguridad de la empresa y deben especificar cuales son los objetivos, metas, reglas y regulaciones que se deben cumplir. Deben contener normas y procedimientos para el cumplimiento de las reglas. Deben indicar claramente cuales son los activos de información que deben ser protegidos y quienes son las personas autorizadas de acceder y/o modificar los datos.

El principal objetivo de las políticas de seguridad son salvaguardar los activos de información y proporcionar protección legal a la organización. Estas políticas ayudan a crear concientización y ayudan a divulgar los criterios de seguridad de la empresa entre los empleados para minimizar los riesgos producidos por el factor humano.

Enumerando los objetivos que se persiguen con la definición de las políticas de seguridad se tienen:

  • Protección de los recursos de computación de la empresa.
  • Reducir o eliminar responsabilidad legal de empleados frente a terceras partes.
  • Definir y mantener lineamientos hacia la gerencia y administración de redes.
  • Asegurar la integridad de los datos de los clientes y evitar el derroche de recursos de computación.
  • Evitar la modificación no autorizada de los datos.
  • Reducir los riesgos causados por uso ilegal de los recursos de sistemas y la pérdida de confidencialidad de los datos.
  • Diferenciar los derechos de acceso de los usuarios.
  • Proteger la información confidencial de robos, mal uso, o divulgación no autorizada.

Las políticas son definidas en tres niveles, el primero de ellos es a nivel de programa, otro nivel sería para atender temas especificos y el tercer nivel para sistemas especificos. Dependiendo de la empresa o institución donde sean implementadas las políticas estas pueden ser conocidas con otros nombres, por ejemplo: directivas, planes o procedimientos de seguridad.

Las políticas a nivel de programa se utilizan para crear y definir el programa general de seguridad en la empresa, deben definir claramente el alcance y los recursos que van a ser cubiertos tanto en infraestructura, como en recursos humanos, y elementos tecnológicos de hardware y software.

Este tipo de política debe definir claramente los objetivos a alto nivel así como tambien debe asignar claramente las responsibilidades por lo tanto debe establecer la unidad de la empresa encargada de velar por el cumplimiento e implementación de la política. Adicionalmente debe establecer cuales son los responsables de aplicar las penalizaciones que se deriven del incumplimiento o violaciones a las políticas, por ejemplo el departamento de Recursos Humanos o el departamento Legal. Normalmente este tipo de política sufre de muy pocas modificaciones, sin embargo se recomienda su revisión de forma periódica.

Las políticas de seguridad utilizadas para atender temás específicos pueden ser agrupadas de la siguiente forma:

Políticas Generales Definen la responsabilidad de la empresa a alto nivel:

Planes de continuidad de negocios.

Planes de contingencia y recuperación de desastres.

Manejo de crisis.

Clasificación de la información.

Políticas de Infraestructura Tecnológica Deben estar diseñadas para que el departamento de IT mantenga las redes seguras y estables:

Configuración de servidores.

Administración de parches.

políticas de respaldo.

políticas de firewall

Administración de cambios tecnológicos.

Políticas de usuarios Deben definir los tipos de usuarios, que niveles de acceso o privilegios y las limitaciones por ejemplo:

Administración de usuarios.

Administración de claves.

Políticas especificas Si existen areas de especial atención en la empresa se deben crear las políticas de seguridad que las cubran como por ejemplo:

Seguridad física.

Seguridad de las comunicaciones.

Seguridad personal.

Políticas de sócios de negocios Si la empresa tiene socios de negocio, deben crearse políticas de seguridad que sean aplicadas a estos socios de negocios ya que pueden ser distintas a las que se apliquen para los empleados.

Estas políticas deben ser revisadas con mayor frecuencia que las politicas a nivel de programa y deben ser revisadas si se introducen cambios en los procedimientos y/o tecnologías asociadas con ellas.

Las políticas definidas para los sistemas deben estar enfocadas en la toma de decisiones, las decisiones deben estar basadas en análisis técnicos realizados por los administradores de los sistemas y deben ser expresadas en reglas que definen claramente QUIEN (responsable, cargo, o nombre), el QUE se debe hacer (crear, definir, actualizar o borrar) y cuales son las CONDICIONES que aplican para cada sistema.

 

Otros capitulos:

  1. Introducción al curso, contenido y avance del primer módulo ( Video ).
  2. Concepto de Seguridad de la Información ( Video ) y ( Articulo ).
  3. Amenazas y Controles de Seguridad ( Video  y  Articulo ).
  4. Introducción a las políticas de Seguridad ( Video y Articulo )

 

 

Anuncios

3 Comentarios Agrega el tuyo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s