Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 6 vistas

    Tema IV Políticas de Seguridad Informática de La Organización

    Cargado por

    Crisantos Martinez Diego Jair

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Tema IV Políticas de Seguridad Informática de La Organización

    Cargado por

    Crisantos Martinez Diego Jair
    6 vistas5 páginas

    Título original

    14

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    6 vistas5 páginas

    Tema IV Políticas de Seguridad Informática de La Organización

    Cargado por

    Crisantos Martinez Diego Jair

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 5

    Tema IV

    Políticas de seguridad informática de la organización


    La política de seguridad, en el mundo real, es un conjunto de leyes, reglas y practicas
    que regulan la manera de dirigir, proteger y distribuir recursos en una organización
    para llevar a cabo los objetivos de seguridad dentro de la misma.
    Las políticas de seguridad son las reglas y procedimientos que regulan la forma en que
    una organización previene, protege y maneja los riesgos a los que se puede enfrentar.
    Permite identificar que recursos son valiosos y que medidas deben tomarse.
    Las políticas de seguridad informáticas (PSI) se definen como la declaración general de
    principios, acuerdos, reglas t recomendaciones que permiten resguardar o proteger un
    recurso informático.
    Puntualmente las políticas de seguridad se pueden definir de manera resumida como:
    Conjunto de leyes y normas que definen de manera clara y formal lo que se considera
    valioso y especifican las medidas que se deben tomar para proteger los recursos en
    una organización.
    Las políticas de seguridad y las políticas de seguridad en computo (PSC) deben estar
    contenidas en un documento.
    Los objetivos que persiguen las políticas de seguridad se listan a continuación:
    1. Definir controles en la organización.
    2. Estandarizar la seguridad tanto en el ámbito humano como en el tecnológico.
    3. Establecer las relaciones de responsabilidad para el cumplimiento de tareas asi
    como la aplicación de sanciones resultantes de casos de inconformidad.
    4. Aclarar que se protege y por que.
    5. Indicar que se va a permitir y que se va a negar.
    6. Poner las bases para resolver conflictos posteriores.
    7. Prevenir la perdida de la información y bienes.
    8. Tener un uso adecuado y eficiente de los bienes, sistemas de computo y
    telecomunicaciones.
    Realizar políticas de seguridad permite contar con varias ventajas:
    a) Ayudan a la adquisición de bienes.
    b) Permite que las autoridades actúen en caso de una violación a la seguridad.
    c) Permite contar con procedimientos que se deben llevar a cabo cuando se
    presenten eventualidades.
    d) Permite que el proceso de auditoria se lleve a cabo de manera mas ordenada.
    e) Evita la excusa llamada ignorancia
    Al diseñar las políticas de seguridad es indispensable que cuenten con las siguientes
    características:
    ❖ El documento debe contar con vigencia permanente y se tiene que actualizar
    periódicamente.
    ❖ Debe servir de referencia para otros esquemas de seguridad dentro de la
    organización.
    ❖ Las políticas deben estar enfocadas a la problemática particular de cada institución.
    ❖ Las políticas deben contar con una estructura bien definida.
    ❖ Deben ser aceptadas como un documento oficial por las autoridades y la comunidad
    que labora en la organización.
    ❖ Deben ser claras, exactas, precisas, concisas.
    ❖ Deben establecer condiciones aceptables y no aceptables.
    ❖ Siempre deben estar accesibles para toda la comunidad.
    ❖ Deben ser aprobadas por la alta dirección y aplicas a todas las personas que
    laboran.
    Al realizar las políticas de seguridad estas deben redactas los principios fundamentales,
    se trata de siete principios que se muestran a continuación:
    1. Responsabilidad individual
    2. Autorización
    3. Mínimo privilegio
    4. Separación de obligaciones
    5. Auditoria
    6. Redundancia
    Redundancia positiva
    X Redundancia negativa
    7. Reducción de riesgo
    Para realizar las políticas de seguridad se debe:
    1. Determinar la problemática
    2. Detectar la cobertura
    3. Identificar y hacer notar ¿Qué se debe proteger?
    4. De que se debe proteger
    5. Identificar los tipos de usuarios existentes
    Por ejemplo, en la facultad de ingeniería existen las siguientes figuras:
    ➢ Investigadores
    ➢ Personal administrativo
    ➢ Docentes
    ➢ Alumnos
    ➢ Becarios
    ➢ Servicio Social
    Para realizar las políticas de seguridad se deben hacer ciertas consideraciones y para
    ello es conveniente hacerse preguntas para redactar correctamente las políticas dando
    contestación a ellas, algunos ejemplos de preguntas son los siguientes:
    El diseño de las políticas no es algo trivial, por lo que deben seguirse los siguientes
    consejos para desarrollarlas correctamente SIEMPRE.
    1. Elegir una filosofía básica
    a. Filosofía prohibitiva o restrictiva
    “Todo esta prohibido excepto lo que este específicamente permitido”
    b. Filosofía permisiva
    “Todo esta permitido excepto lo que este específicamente prohibido”
    2. Indicar fecha de vigor
    3. Redactar las políticas en presente
    4. Reflejar los principios fundamentales
    5. Asignar un dueño
    6. Ser positivo
    7. Evitar hostigamientos en los empleados
    8. Concentrarse en la capacitación
    9. Redacción sin ambigüedades
    10. Actualización
    Ejemplo: Reglamento del departamento de Tecnologías de la información
    Políticas – El sig. Reglamento se basa en la filosofía prohibitiva, es decir “Todo lo que
    no se indica esta prohibido excepto lo que se especifica a continuación” Este
    reglamento entra en vigor el 10 de mayo de 2024
    Sobre contraseñas
    -Todo empleado de Toda persona contratada en la organización debe cambiar su
    contraseña en cuanto le sea asignada
    -Las contraseñas son asignadas al personal de la organización por el administrador de
    la red
    -
    -
    -
    Sobre el uso del estacionamiento
    -
    -
    -
    -
    Sobre las personas de servicio social
    -
    -
    -
    -
    -
    El diseño de políticas debe recaer en un grupo de personas. El grupo de personas debe
    estar conformado por:
    1. Personas con autoridad
    2. Representante jurídico
    3. Editor/Redactor
    4. Psicólogos
    5. Administradores de sistemas
    6. Usuario típico
    La metodología para la creación de las políticas de seguridad se basa en 9 pasos:
    I. Planteamiento de objetivos
    II. Preparación
    III. Redacción
    IV. Edición
    V. Aprobación
    VI. Difusión
    VII. Revisión
    VIII. Aplicación
    IX. Actualización
    El contenido de las políticas de seguridad considera lo siguiente:
    1. Ámbito de aplicación
    2. Análisis de riesgo
    3. Enunciados de políticas
    4. Sanciones
    5. Sección de usos éticos de los recursos
    6. Sección de procedimientos para el manejo de incidentes
    7. Glosario de términos
    8. Anexos
    Plan de contingencia o plan de contingencias
    Un plan de contingencias de seguridad contiene los pasos que se deben seguir, luego
    de un desastre para recuperar, aunque sea en parte, la capacidad funcional de la
    organización.
    En términos generales todo plan contingencias incluye cuatro etapas: evaluación,
    planificación, pruebas de viabilidad y ejecución.
    Un plan de contingencias se encuentra constituido por dos tipos de procedimientos:
    a) Preventivos:
    b) Correctivos los tipos de procedimientos correctivos se lista a continuación:
    a) Planificado
    b) No planificado
    Ventajas:
    • Reducir los riesgos al mínimo cuando existan eventualidades
    • Se sabe como actuar ante una o varias eventualidades
    • Reducir perdidas: económicas, humanas, información, temporales, diferentes
    recursos
    • Existir grupos con ciertas identidades o responsabilidades
    • Estimulación de seguridad en la organización
    Desventajas:
    • No hay seguridad al 100%
    • Existe inversión de tiempo, dinero y otros recursos
    DRP (Disaster Recovery Plan) -> Plan de contingencia de desastres
    a) Plan de respaldo
    b) Plan de emergencia
    c) Plan de recuperación

    También podría gustarte