Professional Documents
Culture Documents
Estrategia de negocio
ACTIVIDADES DE LA EMPRESA
Planificacin de Objetivos Diseo y ejecucin de acciones para conseguir objetivo
Control (de resultados de acciones contra objetivos)
Sistemas de Informacin
Registro de transacciones
Transacciones
Entorno
ORGANIZACION
INSEGURIDAD tiene un costo mayor. Ninguna medicina es til a menos que el paciente la tome
archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagars, solicitudes de crditos. Software: aplicaciones, sistemas operativos, utilitarios. Fsicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantencin.
Identificacin de Riesgos
Riesgo: La posibilidad de que una
amenaza en particular explote una vulnerabilidad y afecte un activo Que debe analizarse?
El impacto (leve ,moderado,grave) La probabilidad (baja, media, alta)
valoran
definen
Salvaguardas
Pueden tener conciencia de
Que pueden tener Reducen
RECURSOS
Amenazas
explotan
Vulnerabili dades
Permiten o facilitan
Dao
RIESGO
Principales problemas:
No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades. No se puede medir la severidad y la probabilidad de los riesgos. Se inicia el anlisis con una nocin preconcebida de que el costo de los controles ser excesivo o que la seguridad tecnolgica no existe. Se cree que la solucin de seguridad interferir con el rendimiento o apariencia del producto o servicio del negocio.
Estndares de Seguridad
Normas Internacionales de seguridad Proporcionan un conjunto de buenas prcticas en gestin de seguridad de la informacin: Ejemplos ISO/IEC 17799,COBIT,ISO 15408
Qu es una Poltica?
Conjunto de orientaciones o directrices que
con respecto a la necesidad de proteger la informacin corporativa. Rayar la cancha con respecto al uso de los recursos de informacin. Definir la base para la estructura de seguridad de la organizacin. Ser un documento de apoyo a la gestin de seguridad informtica. Tener larga vigencia , mantenindose sin grandes cambios en el tiempo.
especficas. Debe abarcar toda la organizacin Debe ser clara y evitar confuciones No debe generar nuevos problemas Debe permitir clasificar la informacin en confidencial, uso interno o pblica. Debe identificar claramente funciones especficas de los empleados como : responsables, custodio o usuario , que permitan proteger la informacin.
Polticas Especficas
Definen en detalle aspectos especficos que
regulan el uso de los recursos de informacin y estn ms afectas a cambios en el tiempo que la poltica general. Ejemplo:
Poltica de uso de Correo Electrnico:
Definicin del tipo de uso aceptado: El servicio de correo electrnico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deber limitarse al mnimo posible Prohibiciones expresas: Se prohbe el envo de mensajes ofensivos. Deber evitarse el envo de archivos peligrosos Declaracin de intencin de monitorear su uso: La empresa podr monitorear el uso de los correos en caso que se sospeche del mal uso
Procedimiento
Define los pasos para realizar una actividad Evita que se aplique criterio personal. Ejemplo: Procedimiento de Alta de Usuarios:
1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creacin de cuenta, identificando claramente los sistemas a los cuales tendr accesos y tipos de privilegios. 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, seccin o unidad a la que pertenece. 3.- El Administrador de privilegios crear la cuenta del usuario a travs del Sistema de Administracin de privilegios y asignar una clave inicial para que el usuario acceda inicialmente. 4.- El Administrados de privilegios formalizar la creacin de la cuenta al usuario e instruir sobre su uso.
Estndar
En muchos casos depende de la tecnologa Se debe actualizar peridicamente Ejemplo: Estndar de Instalacin de PC:
Tipo de mquina:
Para plataforma de Caja debe utilizarse mquinas Lanix Para otras plataformas debe utilizarse mquinas Compaq o HP. Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB
Registro:
Cada mquina instalada debe ser registrada en catastro computacional identificando los nmeros de serie de componente y llenar formulario de traslado de activo fijo
Condiciones electricas:
Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC
afectadas Definiciones: aclarar terminos utilizados Responsabilidades: Qu debe y no debe hacer cada persona Revisin: cmo ser monitoreado el cumplimiento Aplicabilidad: En qu casos ser aplicable Referencias: documentos complementarios Sanciones e incentivos
cumplir con lo definido en las polticas Si no se tienen polticas claras , no se sabr qu controlar. Orientacin de los controles:
PREVENIR la ocurrencia de una amenaza DETECTAR la ocurrencia de una amenaza RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado.
Gestin IT
Objetivo: contar con procedimientos
formales que permitan realizar adecuadamente la planeacin y desarrollo del plan informtico. Contiene:
Objetivo y estrategia institucional Plan Informtico y comit informtica Metodologa de Desarrollo y Mantencin
Operaciones IT
Objetivo: Contar conprocedimientos formales para
asegurar la operacin normal de los Sistemas de Informacin y uso de recursos tecnolgicos que sustentan la operacin del negocio. Contiene:
Seguridad Fsica sala servidores
Control de acceso a la sala Alarmas y extincin de incendios Aire acondicionado y control de temperaturas UPS Piso y red electrica Contratos de mantencin Contratos proveedores de servicios
Administracin Cintoteca:
Rotulacin Custodia Requerimientos, rotacin y caduciddad de cintas.
Seguridad de Networking:
Caractersticas y topologa de la Red Estandarizacin de componentes de red Seguridad fsica de sites de comunicaciones Seguridad y respaldo de enlaces Seguridad y control de accesos de equipos de comunicaciones Plan de direcciones IP Control de seguridad WEB
Conclusiones
La Informacin es uno de los activos mas valiosos
de la organizacin Las Polticas de seguridad permiten disminuir los riesgos Las polticas de seguridad no abordan slo aspectos tecnolgicos El compromiso e involucramiento de todos es la premisa bsica para que sea real. La seguridad es una inversin y no un gasto. No existe nada 100% seguro Exige evaluacin permanente.