POLÍTICAS DE SEGURIDAD INFORMÁTICA

 


Políticas de seguridad

Las políticas de seguridad informática consisten en una serie de normas y directrices que permiten garantizar la confidencialidad, integridad y disponibilidad de la información y minimizar los riesgos que le afectan. Una política de seguridad se define a alto nivel, esto es, qué se debe proteger y cómo, es decir, el conjunto de controles que se deben implementar. Esta se desarrolla en una serie de procedimientos e instrucciones técnicas que recogen las medidas técnicas y organizativas que se establecen para dar cumplimiento a dicha política.

Entrando más en detalle, el cuerpo normativo de seguridad de la información de una organización consta principalmente de las siguientes políticas y procedimientos:

Buenas prácticas

El documento de buenas prácticas de Seguridad de la Información —puede ser un documento específico, cláusulas anexas a los contratos de los empleados, etc.— debería recoger, entre otras cosas, el uso aceptable de los sistemas y la información por parte del personal, las directrices para mantener el puesto de trabajo despejado, el bloqueo de equipo desatendido, la protección de contraseñas…

Procedimiento de control de accesos

Recoge las medidas técnicas y organizativas relacionadas con los permisos de acceso a las instalaciones y sistemas que albergan la información de la organización, así como el acceso a la propia información. Los controles de acceso pueden ser físicos o lógicos y algunos ejemplos de ellos son:

Controles de acceso físico

Mecanismos y sistemas implementados para controlar el acceso de personas a las instalaciones de la organización como, por ejemplo, tornos, barreras, cámaras, alarmas, sistemas de apertura de puertas biométricos o por tarjeta, etc. Otros ejemplos de controles de acceso físico son también: albergar la información en armarios cerrados con llave y, en general, cualquier medio físico que dificulte o no permita el acceso no autorizado a la información.

Controles de acceso lógico

Sistemas implementados para controlar el acceso de los usuarios a los distintos sistemas que albergan la información o el acceso a la propia información. Ejemplos de controles de acceso lógico son la implementación de un NAC (control de acceso de equipos y usuarios a la red), la configuración de permisos de lectura y escritura sobre los propios archivos de información, sistemas de login en los distintos sistemas, autorizaciones de acceso remoto de los usuarios a la red a través de una VPN, etc.

Procedimiento de gestión de usuarios

Recoge las instrucciones precisas a realizar para el alta, cambio de puesto de trabajo y baja (voluntaria o cese) de los usuarios en los distintos sistemas de información, así como para la concesión de los permisos de acceso tanto físicos como lógicos que deberían tener a las instalaciones, sistemas y a la propia información. Este procedimiento se debería basar y recoger una definición clara y concisa de los diferentes roles y responsabilidades de los usuarios, es decir, en función de los roles y responsabilidades del personal se le tendrían que conceder diferentes accesos y permisos, los mínimos y necesarios para el desempeño de su trabajo.

Procedimiento de clasificación y tratamiento de la información

Incluye las instrucciones acerca de cómo clasificar la información de acuerdo a su valor, requisitos legales, sensibilidad y criticidad para la organización y las medidas de protección y manipulación/tratamiento del mismo acorde a su clasificación.

Procedimiento de gestión de incidentes de seguridad de la información

Instrucciones para la notificación de incidentes, de respuesta a los mismos con las acciones a realizar al ser detectados, etc.

Otros procedimientos

Gestión de activos de información, copias de seguridad de la información, seguridad de la red, anti-malware, registro y supervisión de eventos, actualización y parcheo de sistemas y equipos…

 


Comentarios

Publicar un comentario

Entradas populares de este blog

LEGISLACIÓN NACIONAL E INTERNACIONAL Y LOS DELITOS INFORMÁTICOS

Imagen
  Según Luciano Saellas en su artículo titulado Delitos Informáticos – ciberterrorismo, define “Delitos Informáticos” como aquella conducta ilícita susceptible de ser sancionada por el derecho penal, que hacen uso indebido de cualquier medio informático.  En un primer momento, los países trataron de encuadrar estos hechos en figuras típicas de carácter tradicional, como fraude, falsificaciones, estafas, robo, hurto, sabotaje, etc. De esta manera establecer un criterio único o un concepto unificado para poder manejar un solo concepto para cada tipo de delito.  Los países y las organizaciones internacionales se han visto en la necesidad de legislar sobre los delitos informáticos, debido a los daños y perjuicios que le han causado a la humanidad.  Seguridad informática se considera entonces es la preparación de las instancias técnicas de una organización para actuar y resguardar el efecto que dicho incidente puede ocasionar.  En este artículo se pretende da...
Leer más

EVALUACIÓN DE RIESGOS

Imagen
  Evaluación de riesgo  es uno de los pasos que se utiliza en un proceso de  gestión de riesgos . El  riesgo   R  se evalúa mediante la  medición  de los dos parámetros que lo determinan, la magnitud de la pérdida o daño posible  L , y la probabilidad  p  que dicha pérdida o daño llegue a ocurrir   Actualmente se reconoce que la evaluación de riesgos es la base para una gestión activa de la seguridad y la salud en el trabajo. Es obligación del empresario: -Realizar una evaluación inicial de riesgos. -A partir de esta, planificar la acción preventiva.   La evaluación de los riesgos laborales: -Es el proceso dirigido a estimar la magnitud de aquellos riesgos que no hayan podido evitarse. -Obteniendo la información necesaria para que el empresario esté en condiciones de tomar una decisión apropiada sobre la necesidad de adoptar medidas preventivas y, en tal caso, sobre el tipo de medidas que deben adoptarse...
Leer más