Estructura de las políticas de seguridad

005-Estructura-Politicas-711x400

Pueden ver el video de este capitulo en mi canal de Youtube

Puedes descargar el archivo “Estructura y Contenido de las Políticas de Seguridad” que contiene más de 187 puntos que deben ser considerados durante la creación de las políticas, pulsando —–> AQUÍ.


Como ya habíamos mencionado, las políticas de seguridad, son los documentos que permiten definir como se deben proteger: la información las personas de una empresa, de las amenazas o brechas de seguridad, para lo cual estos documentos deben convertirse en guías donde se contemplen, con diferentes niveles de detalle, los elementos que deben ser gestionados.

Algunos de los aspectos, que cómo mínimo deberían tenerse en cuenta en estos documentos son: la clasificación de la información y los lineamientos de seguridad relacionados con los objetivos del negocio.

La clasificación de la información debe ser el punto de partida para que la empresa priorice y enfoque sus esfuerzos en la gestión de la seguridad. Aunque la clasificación depende de la naturaleza del negocio, en general, debería incluir por lo menos tres niveles:

información pública que incluye todos los datos de dominio público y cuyas características principales deben ser la precisión y la disponibilidad, ya que es información a la que pueden acceder sus clientes y proveedores.

En el siguiente nivel está la información de uso interno, que comprende toda la información que se intercambia dentro de la empresa entre los empleados y que se convierte en la columna vertebral de las operaciones del negocio y por lo tanto las características que le aplican son la disponibilidad y la integridad.

Finalmente en el último nivel está la información de acceso restringido, la cual está muy relacionada con el tipo de negocio que pueden incluir, por ejemplo los planes de negocio, información de nuevos productos, resultados de investigaciones o nuevas estrategias de mercado. La principal característica de este tipo de información es su confidencialidad.

Todas las políticas que apunten a garantizar la seguridad de la información deben estar alineadas con los objetivos de negocio. Esto se logra a través del establecimiento de objetivos de seguridad, que no son más que la manifestación de las necesidades técnicas que debe satisfacer la información para garantizar el cumplimiento de los objetivos del negocio.

Algunos ejemplos de los objetivos de seguridad que se deben cumplir son los siguientes: proveer el entrenamiento adecuado en seguridad de la información a los empleados, administrar el acceso a la información, mantener sistemas para protegerse de códigos maliciosos, monitorear los eventos de seguridad o establecer procesos seguros para el manejo de sistemas y aplicaciones.

Por lo general la estructura que deben contemplar las políticas de seguridad debe ser la siguiente:

1. INTRODUCCIÓN
1.1. Alcance

2. TÉRMINOS Y DEFINICIONES
2.1. Seguridad de la Información
2.2. Evaluación de Riesgos
2.3. Administración de Riesgos
2.4. Comité de Seguridad de la Información
2.5. Responsable de Seguridad Informática
2.6. Incidente de Seguridad

3. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
3.1. Aspectos Generales
3.2. Sanciones Previstas por Incumplimiento

4. ORGANIZACIÓN DE LA SEGURIDAD
4.1. Infraestructura de la Seguridad de la Información
4.1.1.Comité de Seguridad de la Información
4.1.2. Asignación de Responsabilidades en Materia de Seguridad de la Información
4.1.3. Proceso de Autorización para Instalaciones de Procesamiento de Información
4.1.4. Asesoramiento Especializado en Materia de Seguridad de la Información
4.1.5. Cooperación entre Organismos
4.1.6. Revisión Independiente de la Seguridad de la Información
4.2. Seguridad Frente al Acceso por Parte de Terceros
4.2.1. Identificación de Riesgos del Acceso de Terceras Partes
4.2.2. Requerimientos de Seguridad en Contratos o Acuerdos con Terceros
4.3. Tercerización
4.3.1. Requerimientos de Seguridad en Contratos de Tercerización

5.CLASIFICACIÓN Y CONTROL DE ACTIVOS
5.1. Inventario de activos
5.2. Clasificación de la información
5.3. Rotulado de la Información

6. SEGURIDAD DEL PERSONAL
6.1. Seguridad en la Definición de Puestos de Trabajo y la Asignación de Recursos
6.1.1. Incorporación de la Seguridad en los Puestos de Trabajo
6.1.2. Control y Política del Personal
6.1.3. Compromiso de Confidencialidad
6.1.4. Términos y Condiciones de Empleo
6.2. Capacitación del Usuario
6.2.1. Formación y Capacitación en Materia de Seguridad de la Información
6.3. Respuesta a Incidentes y Anomalías en Materia de Seguridad
6.3.1. Comunicación de Incidentes Relativos a la Seguridad
6.3.2. Comunicación de Debilidades en Materia de Seguridad
6.3.3. Comunicación de Anomalías del Software
6.3.4. Aprendiendo de los Incidentes
6.3.5. Procesos Disciplinarios

7. SEGURIDAD FÍSICA Y AMBIENTAL
7.1. Perímetro de Seguridad Física
7.2. Controles de Acceso Físico
7.3. Protección de Oficinas, Recintos e Instalaciones
7.4. Desarrollo de Tareas en Áreas Protegidas
7.5. Aislamiento de las Áreas de Recepción y Distribución
7.6. Ubicación y Protección del Equipamiento y Copias de Seguridad
7.7. Suministros de Energía
7.8. Seguridad del Cableado
7.9. Mantenimiento de Equipos
7.10. Seguridad de los Equipos Fuera de las Instalaciones
7.11. Desafectación o Reutilización Segura de los Equipos
7.12. Políticas de Escritorios y Pantallas Limpias
7.13. Retiro de los Bienes

8. GESTIÓN DE COMUNICACIONES Y OPERACIONES
8.1. Procedimientos y Responsabilidades Operativas
8.1.1. Documentación de los Procedimientos Operativos
8.1.2. Control de Cambios en las Operaciones
8.1.3. Procedimientos de Manejo de Incidentes
8.1.4. Separación de Funciones
8.1.5. Separación entre Instalaciones de Desarrollo e Instalaciones Operativas
8.1.6. Gestión de Instalaciones Externas
8.2. Planificación y Aprobación de Sistemas
8.2.1. Planificación de la Capacidad
8.2.2. Aprobación del Sistema
8.3. Protección Contra Software Malicioso
8.3.1. Controles Contra Software Malicioso
8.4. Mantenimiento
8.4.1. Resguardo de la Información
8.4.2.Registro de Actividades del Personal Operativo
8.4.3. Registro de Fallas
8.5. Administración de la Red
8.5.1. Controles de Redes
8.6.Administración y Seguridad de los Medios de Almacenamiento
8.6.1. Administración de Medios Informáticos Removibles
8.6.2. Eliminación de Medios de Información
8.6.3. Procedimientos de Manejo de la Información
8.6.4. Seguridad de la Documentación del Sistema
8.7. Intercambios de Información y Software
8.7.1. Acuerdos de Intercambio de Información y Software
8.7.2. Seguridad de los Medios en Tránsito
8.7.3. Seguridad del Gobierno Electrónico
8.7.4. Seguridad del Correo Electrónico
8.7.4.1. Riesgos de Seguridad
8.7.4.2. Política de Correo Electrónico
8.7.5. Seguridad de los Sistemas Electrónicos de Oficina
8.7.6. Sistemas de Acceso Público
8.7.7. Otras Formas de Intercambio de Información

9. CONTROL DE ACCESOS
9.1. Requerimientos para el Control de Acceso
9.1.1. Política de Control de Accesos
9.1.2. Reglas de Control de Acceso
9.2. Administración de Accesos de Usuarios
9.2.1. Registración de Usuarios
9.2.2. Administración de Privilegios
9.2.3. Administración de Contraseñas de Usuario
9.2.4. Administración de Contraseñas Críticas
9.2.5. Revisión de Derechos de Acceso de Usuarios
9.3. Responsabilidades del Usuario
9.3.1. Uso de Contraseñas
9.3.2.Equipos Desatendidos en Áreas de Usuarios
9.4. Control de Acceso a la Red
9.4.1. Política de Utilización de los Servicios de Red
9.4.2. Camino Forzado
9.4.3. Autenticación de Usuarios para Conexiones
9.4.4. Autenticación de Nodos
9.4.5. Protección de los Puertos (Ports) de Diagnóstico Remoto
9.4.6. Subdivisión de Redes
9.4.7. Acceso a Internet
9.4.8. Control de Conexión a la Red
9.4.9. Control de Ruteo de Red
9.4.10. Seguridad de los Servicios de Red
9.5. Control de Acceso al Sistema Operativo
9.5.1. Identificación Automática de Terminales
9.5.2. Procedimientos de Conexión de Terminales
9.5.3. Identificación y Autenticación de los Usuarios
9.5.4. Sistema de Administración de Contraseñas
9.5.5. Uso de Utilitarios de Sistema
9.5.6. Alarmas Silenciosas para la Protección de los Usuarios
9.5.7. Desconexión de Terminales por Tiempo Muerto
9.5.8. Limitación del Horario de Conexión
9.6. Control de Acceso a las Aplicaciones
9.6.1. Restricción del Acceso a la Información
9.6.2. Aislamiento de los Sistemas Sensibles
9.7. Monitoreo del Acceso y Uso de los Sistemas
9.7.1. Registro de Eventos
9.7.2. Monitoreo del Uso de los Sistemas
9.7.2.1. Procedimientos y Áreas de Riesgo
9.7.2.2. Factores de Riesgo
9.7.2.3. Registro y Revisión de Eventos
9.7.3. Sincronización de Relojes
9.8. Computación Móvil y Trabajo Remoto
9.8.1. Computación Móvil
9.8.2. Trabajo Remoto

10. DESARROLLO Y MANTENIMIENTO DE SISTEMAS
10.1. Requerimientos de Seguridad de los Sistemas
10.1.1. Análisis y Especificaciones de los Requerimientos de Seguridad
10.2. Seguridad en los Sistemas de Aplicación
10.2.1. Validación de Datos de Entrada
10.2.2. Controles de Procesamiento Interno
10.2.3. Autenticación de Mensajes
10.2.4. Validación de Datos de Salida
10.3. Controles Criptográficos
10.3.1. Política de Utilización de Controles Criptográficos
10.3.2. Cifrado
10.3.3. Firma Digital
10.3.4. Servicios de No Repudio
10.3.5. Administración de Claves
10.3.5.1. Protección de Claves Criptográficas
10.3.5.2. Normas, Procedimientos y Métodos
10.4. Seguridad de los Archivos del Sistema
10.4.1. Control del Software Operativo
10.4.2. Protección de los Datos de Prueba del Sistema
10.4.3. Control de Cambios a Datos Operativos
10.4.4. Control de Acceso a las Bibliotecas de Programas Fuentes
10.5. Seguridad de los Procesos de Desarrollo y Soporte
10.5.1. Procedimiento de Control de Cambios
10.5.2. Revisión Técnica de los Cambios en el Sistema Operativo
10.5.3. Restricción del Cambio de Paquetes de Software
10.5.4. Canales Ocultos y Código Malicioso
10.5.5. Desarrollo Externo de Software

11.ADMINISTRACIÓN DE LA CONTINUIDAD DEL NEGOCIO
11.1. Proceso de la Administración de la Continuidad del Negocio
11.2. Continuidad de las Actividades y Análisis de los Impactos
11.3. Elaboración e Implementación de los Planes de Continuidad
11.4. Marco para la Planificación de la Continuidad de las Actividades
11.5. Ensayo, Mantenimiento y Reevaluación de los Planes de Continuidad

12. CUMPLIMIENTO
12.1. Cumplimiento de Requisitos Legales
12.1.1. Identificación de la Legislación Aplicable
12.1.2. Derechos de Propiedad Intelectual
12.1.2.1. Derecho de Propiedad Intelectual del Software
12.1.3. Protección de los Registros del Organismo
12.1.4. Protección de Datos y Privacidad de la Información Personal
12.1.5. Prevención del Uso Inadecuado de los Recursos de Procesamiento de Información
12.1.6. Regulación de Controles para el Uso de Criptografía
12.1.7. Recolección de Evidencia
12.2. Revisiones de la Política de Seguridad y la Compatibilidad Técnica
12.2.1. Cumplimiento de la Política de Seguridad
12.2.2. Verificación de la Compatibilidad Técnica
12.3. Consideraciones de Auditorías de Sistemas
12.3.1. Controles de Auditoría de Sistemas
12.3.2. Protección de los Elementos Utilizados por la Auditoría de Sistemas
12.4. Sanciones Previstas por Incumplimiento

Este listado esta lejos de estar completo, considero que es un trabajo en constante evolución.

La próxima semana voy a tener listo un mini libro (e-book), dónde amplio un poco más cada uno de estos aspectos.

Otros capitulos:

  1. Introducción al curso, contenido y avance del primer módulo ( Video ).
  2. Concepto de Seguridad de la Información ( Video ) y ( Articulo ).
  3. Amenazas y controles de seguridad ( Video  y  Articulo ).
  4. Introducción a las políticas de seguridad ( Video y Articulo )
  5. Estructura y contenido de las políticas de seguridad (Video y Articulo)

Puedes descargar el archivo “Estructura y Contenido de las Políticas de Seguridad” que contiene más de 187 puntos que deben ser considerados durante la creación de las políticas, pulsando —–> AQUÍ.

Anuncios

2 Comentarios Agrega el tuyo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s