Upload File

modelo de politica de seguridad informatica

17
MODELO DE POLÍTICAS DE SEGURIDAD INFORMÁTICA

Upload: masi-si

Post on 17-Sep-2015

14 views

Category:

Documents


2 download

Report

DESCRIPTION

Ejemplo de definición de políticas de seg. info.

TRANSCRIPT

ANEXO 23

MODELO DE POLTICAS DE SEGURIDAD INFORMTICA

2011

1. Justificacin

2. Generalidades

3. Seguridad fsica

4. Seguridad lgica

5. Seguridad en redes

6. Seguridad en los recursos humanos

7. Seguridad en el Outsourcing

8. Planificacin de seguridad informtica

9. Planificacin de contingencia y recuperacin de desastres.

I. Justificacin

Los activos de informacin y los equipos informticos son recursos importantes y vitales de toda compaa. Sin ellos se quedaran rpidamente fuera del negocio y por tal razn la Gerencia tiene el deber de preservarlos, utilizarlos y mejorarlos. Esto significa que se deben tomar las acciones apropiadas para asegurar que la informacin y los sistemas informticos estn apropiadamente protegidos de muchas clases de amenazas y riesgos tales como fraude, sabotaje, espionaje industrial, extorsin, violacin de la privacidad, intrusos, hackers, interrupcin de servicio, accidentes y desastres naturales.

La informacin perteneciente a la compaa debe protegerse de acuerdo a su valor e importancia. Deben emplearse medidas de seguridad sin importar cmo la informacin se guarda (en papel o en forma electrnica), o como se procesa (PC`s, servidores, etc.), o cmo se transmite (correo electrnico, conversacin telefnica). Tal proteccin incluye restricciones de acceso a los usuarios de acuerdo a su cargo.

Cuando ocurra un incidente grave que refleje alguna debilidad en los sistemas informticos, se debern tomar las acciones correctivas rpidamente para as reducir los riesgos.

II. Generalidades

Est poltica debe ser comunicada a todos los usuarios de la organizacin, de una forma apropiada, accesible y entendible para el lector.

Objetivo

La compaa debe tener vigente una poltica de seguridad informtica que le permita establecer un marco para la implantacin de seguridad y control extensivo a todas las reas.

Alcance

Est poltica se aplica a toda la organizacin, rige para todos los empleados de sistemas y el personal externo.

ResponsabilidadesLos siguientes entes son responsables, en distintos grados, de la seguridad en la compaa:

1. Comit de Informtica.- Ser conformado por el Gerente, el Jefe de Seguridad y el Jefe de Sistemas. Este comit ser responsable de implantar y velar por el cumplimento de las polticas, normas, pautas, y procedimientos de seguridad a lo largo de toda la organizacin, todo esto en coordinacin con la Gerencia. Tambin es responsable de evaluar, adquirir e implantar productos de seguridad informtica, y realizar las dems actividades necesarias para garantizar un ambiente informtico seguro. Adems debe ocuparse de proporcionar apoyo tcnico y administrativo en todos los asuntos relacionados con la seguridad, y en particular en los casos de infeccin de virus, penetracin de hackers, fraudes y otros percances.

2. Jefe de Seguridad.- Es responsable de dirigir las investigaciones sobre incidentes y problemas relacionados con la seguridad, as como recomendar las medidas pertinentes.

3. Jefe de Sistemas.- Es responsable de establecer los controles de acceso apropiados para cada usuario, la creacin de nuevos usuarios, supervisar el uso de los recursos informticos, administrar la red, revisar las bitcoras de acceso y de llevar a cabo las tareas de seguridad relativas a los sistemas que administra. El Jefe de Sistemas tambin es responsable de informar al Jefe de Seguridad y a sus superiores sobre toda actividad sospechosa o evento inslito. Cuando no exista un Jefe de Seguridad, el Jefe de Sistemas realizar sus funciones.

4. Usuarios.- Son responsables de cumplir con todas las polticas de la compaa relativas a la seguridad informtica y en particular:

Conocer y aplicar las polticas y procedimientos apropiados en relacin al manejo de la informacin y de los sistemas informticos.

No divulgar informacin confidencial de la compaa a personas no autorizadas.

No permitir y no facilitar el uso de los sistemas informticos de la compaa a personas no autorizadas.

No utilizar los recursos informticos (hardware, software o datos) y de telecomunicaciones (telfono, fax) para otras actividades que no estn directamente relacionadas con el trabajo en la compaa.

Proteger meticulosamente su contrasea y evitar que sea vista por otros en forma inadvertida.

Seleccionar una contrasea fuerte que no tenga relacin obvia con el usuario, sus familiares, el grupo de trabajo, y otras asociaciones parecidas.

Reportar inmediatamente a su jefe inmediato a un funcionario del Departamento de Sistemas cualquier evento que pueda comprometer la seguridad de la compaa y sus recursos informticos, como por ejemplo contagio de virus, intrusos, modificacin o prdida de datos y otras actividades poco usuales.

No dejar informacin confidencial en los escritorios al alcance de todos.

Incumplimiento o violacin de las polticas

Si se llegase a incumplir o violar una de estas polticas por parte del personal, el rea de sistemas o seguridad informtica si existiere, realizar un informe detallado al gerente. Este informe describir la circunstancia y la gravedad del hecho y el gerente deber tomar las medidas necesarias sobre la persona implicada.

Estructura de la poltica

Est poltica se divide en las siguientes secciones:

Seguridad fsica

Seguridad lgica

Seguridad en redes

Seguridad en los recursos humanos

Seguridad en el Outsourcing

Planificacin de seguridad informtica

Planificacin de contingencia y recuperacin de desastres.

Cada seccin se divide en tres partes:

Propsito: Define la intensin de cada seccin

Alcance: Define el mbito de aplicacin

Controles generales: define los objetivos para cada seccin.

Poltica de seguridad fsica

Propsito

El propsito de esta poltica preservar la seguridad de los recursos informticos y garantizar la integridad y disponibilidad de los mismos.

Alcance

Ests polticas son aplicables a todos los recursos informticos de la compaa entendiendo por ellos datos, hardware, software, personal e instalaciones.

Controles generales

1. Los computadores de la compaa slo deben usarse en un ambiente seguro. Se considera que las oficinas de la empresa son un ambiente seguro porque en ellas se han implantado las medidas de control apropiadas para proteger datos, hardware, software, personal e instalaciones.

2. Toda persona debe portar credenciales de identificacin.

3. Todas las personas ajenas a la organizacin debern llevar un formulario de datos personales antes de ingresar a la empresa.

4. El personal de vigilancia debe controlar el ingreso y egreso de vehculos llevando una planilla con los datos personales de los ocupantes, la marca, nmero de placa y la hora de entrada y salida del mismo.

5. Se deben mantener registros de entrada al centro de cmputo.

6. Se debe instalar videocmaras en el centro de cmputo a fin de identificar personas ajenas a la organizacin.

7. El rea de desarrollo deber estar separada del rea de produccin.

8. La temperatura de los equipos de aire acondicionado que abastecen a toda la organizacin deber estar entre los 18-19C.

9. En caso de que el equipo de aire acondicionado falle se deben contar con alternativas para solucionar este problema como equipos de respaldo o ventiladores de pedestales a fin de refrescar los equipos. 10. Debe respetarse y no modificar la configuracin de hardware y software establecida por el Departamento de Sistemas, pues este cambio puede poner en riesgo la integridad y disponibilidad del equipo.

Poltica de seguridad LOGICA

Propsito

Tiene como propsito controlar el acceso a la informacin y los procesos del negocio.

Alcance

Ests polticas son aplicables para todos los sistemas de informacin, datos de la compaa. As mismo es aplicable a todos los miembros de la entidad que hacen uso de los sistemas de informacin.

Controles generales

Cuentas

1. Se debe crear un documento en donde el empleado declare conocer las polticas y procedimientos de seguridad y se haga responsable del uso de su cuenta de usuario

2. El usuario al recibir una nueva cuenta, debe firmar un documento de responsabilidad con el uso que le de a su cuenta.

3. La solicitud de una nueva cuenta o el cambio de privilegios debe ser hecha por escrito y debe ser debidamente aprobada por el respectivo Jefe de rea, Jefe de Recursos Humanos y la Gerencia.

4. Las cuentas deben ser otorgadas exclusivamente a usuarios legtimos.

5. Una cuenta deber estar conformada por un nombre de usuario y su respectiva contrasea.

Contraseas

1. La longitud de una contrasea deber siempre ser verificada de manera automtica al ser construida por el usuario. Todas las contraseas debern contar con al menos siete caracteres.

2. La longitud de la contrasea sern de mnimo 8 caracteres y mximo 10.

3. Todas las contraseas elegidas por los usuarios deben ser difciles de adivinar.

4. No deben ser utilizadas como claves palabras que aparezcan en el diccionario, secuencias conocidas de caracteres, datos personales ni acrnimos.

5. Est prohibido que los usuarios construyan contraseas compuestas de algunos caracteres constantes y otros que cambien de manera predecible y sean fciles de adivinar.

Control de acceso

1. Todos los usuarios debern acceder al sistema contable utilizando algn programa que permita una comunicacin segura y encriptada.

2. Al momento de ingresar al sistema contable y al sistema operativo, cada usuario deber ser notificado de la fecha, hora y direccin desde la que se conect al sistema por ltima vez. 3. Para prevenir ataques, cuando el software del sistema contable lo permita, debe limitarse a 3 el nmero de consecutivos de intentos infructuosos de introducir la contrasea, luego de lo cual la cuenta involucrada queda suspendida y se alerta al Administrador del sistema.Aplicaciones

1. Est estrictamente prohibido hacer uso de programas que explotan alguna vulnerabilidad de un sistema para proporcionar privilegios no otorgados explcitamente por el administrador.

2. Est estrictamente prohibido hacer uso de herramientas propias de delincuentes informticos, tales como programas que rastrean vulnerabilidades en sistemas de cmputos propios o ajenos.

3. Se deben generar registros del uso de las aplicaciones que contengan:

El identificador del usuario

Fecha y hora de conexin y desconexin

Identificacin del terminal

Registro de intentos aceptados y rechazados de acceso al sistema.

Registro de los intentos aceptados y rechazados de acceso a datos y otros recursos.

Problemas de seguridad lgica

1. Se debe implementar un sistema de manejo de problema de seguridad lgica en el que se registren y den seguimiento a todos los incidentes de seguridad lgica, inclusive las causas que lo provocaron.

2. El software de desarrollo y de produccin debern funcionar en servidores distintos.

Poltica de seguridad en redes

Propsito

El propsito de esta poltica es establecer las directrices, los procedimientos y los requisitos para asegurar la proteccin apropiada de la compaa al estar conectada a redes de computadoras.

Alcance

Esta poltica se aplica a todos los empleados, y personal temporal de la compaa.

Controles generales

Correo electrnico, Internet e Intranet.

1. Debe instalarse y activarse una herramienta antivirus, la cual debe mantenerse actualizada. Si se detecta la presencia de un virus u otro agente potencialmente peligroso, se debe notificar inmediatamente al Jefe de Sistemas y poner la computadora en cuarentena hasta que el problema sea resuelto.

2. Slo pueden bajarse archivos de redes externas de acuerdo a los procedimientos establecidos. Debe utilizarse un programa antivirus para examinar todo software que venga de afuera o inclusive de otros departamentos de la compaa.

3. No debe utilizarse software bajado de Internet y en general software que provenga de una fuente no confiable, a menos que este haya sido comprobado en forma rigurosa y que est aprobado su uso por el Departamento de Sistemas.

No deben usarse diskettes u otros medios de almacenamiento en cualquier computadora de la compaa a menos que se haya previamente verificado que estn libres de virus u otros.

4. Poltica de seguridad

en los recursos humanos

Propsito

El propsito de esta poltica es establecer las directrices, los procedimientos y los requisitos para reducir los riesgos de error humano, robo, fraude o uso inadecuado de las instalaciones.

Alcance

Esta poltica se aplica a todos los empleados, y personal temporal de la compaa.

Controles generales

1. Se deben verificar las recomendaciones y antecedentes de los postulantes a ingresar a la empresa.

2. Se deben firmar con los empleados acuerdos de confidencialidad o no divulgacin de la informacin.

3. En los trminos y condiciones del contrato se debe indicar la responsabilidad que el empleado tiene en cuanto a la seguridad de la informacin.

4. Todos los empleados deben tener conocimientos de las polticas de seguridad de informacin de la empresa.

Poltica de seguridad EN EL OUTSOURCING

Propsito

Tiene como propsito proteger los recursos informticos de la organizacin.Alcance

Ests polticas son aplicables para todo tipo de servicio externo que la empresa solicite.

Controles generales

1. Deber realizarse un concurso de mritos para seleccionar al proveedor del servicio tercerizado.

2. Se deber definir claramente la duracin del contrato.

3. Se definirn las condiciones previstas para la resolucin del contrato con anterioridad a la fecha de su finalizacin.

4. Se detallaran minuciosamente todos y cada uno de los compromisos concretos que van a ser contrados por la organizacin y la empresa de outsourcing.

Poltica de planificacin de seguridad INFORMTICAPropsito

El propsito de esta poltica es definir los lineamientos para disear e implantar un modelo de seguridad en la compaa que proteja la informacin y los activos de la organizacin.

Alcance

Esta poltica se aplica a toda la organizacin.

Controles generales

1. El Comit de Seguridad en conjunto con la Gerencia debern elaborar e implantar un plan estratgico de seguridad informtica, el cual deber estar alineado con el plan y el presupuesto de la organizacin. Para la elaboracin de dicho plan se deben considerar, evaluar y priorizar los requerimientos de seguridad de los recursos informticos.

2. El plan de seguridad informtica debe ser aprobado por la Gerencia de la organizacin considerando, para cada uno de los objetivos involucrados, la razonabilidad de los plazos, beneficios a obtener y costos asociados.

3. El plan de seguridad informtica debe mantenerse actualizado.

POLTICA DE PLANIFICACIN DE CONTINGENCIA Y RECUPERACIN DE DESASTRESPropsito

Garantizar la continuidad de las operaciones de negocio de la compaa y limitar el impacto econmico/financiero e intangible en el negocio en caso que se detecte un evento inesperado que ocasione la interrupcin de las operaciones de la compaa.

Alcance

Esta poltica se aplica a todos los sistemas de informacin y datos de la compaa.

Controles generales

1. El plan de contingencia debe ser realizado y sometido a prueba por el Jefe de seguridad, Jefe de sistemas y junto a la ayuda del personal seleccionado para el plan. Este plan deber ser aprobada toda su ejecucin por la Gerencia.

2. Deben proveerse procedimientos de contingencia para los sistemas del negocio que incluyan niveles definidos y documentados de recuperacin en el caso de desastres o fallas de sistemas.

3. Se debe proteger primero al personal como recurso fundamental en cualquier contingencia.

4. Deben ponerse a prueba tales planes en un intervalo de seis meses. Las actividades de planificacin de contingencia deben ser coordinadas y administradas en forma centralizada.


Politica de Precios y Politica Comercial_trabajo Final

Audiritoria Informatica Modelo de Informe

Politica Informatica

Modelo de politica económica

Informatica colombia politica

Politica y-c-politica-cipo3011-2011

ECOLOGÍA POLÍTICA DEL MODELO CONSERVACIONISTA …agter.org/bdf/_docs/prado-lopez_2017_ecologia-politica-modelo... · celebran un pacto de administración territorial con el Estado

Politica de salud una politica social

Organigrama - Ministerio de Justicia y Derechos Humanos MJ-1992-2013.pdf · direccion nacional de politica criminal, direccion nacional de gestion informatica y direccion general

politica de seguridad informatica

20131128 Modelo de Politica de Gestion de Documentos Electronicos NIPO 630-13-166-8

EvaluacioneEvaluaciones Informatica Excels Informatica Excel

Informatica - Antecedentes de la Informatica

POLITICA DE SEGURIDAD INFORMATICA · 2018-10-17 · DECLARACION DE LA POLITICA a) proposito ... para la certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma

TESIS COMPLETA LENE - javeriana.edu.cojaveriana.edu.co/biblos/tesis/politica/tesis65.pdf · CONSUELO AHUMADA BELTRÁN ... DEL MODELO NEOLIBERAL: 1980 y 1990 45 2.2.1. ... modelo neoliberal

LA POLITICA DE SALUD: NUEVO MODELO DE ATENCION

UNIDAD 4 INFORMATICA Taller de Informatica

ESTANDARES DE SEGURIDAD INFORMATICA – ACIS Junio - 2002 EL MODELO ES LA BASE Por: Fernando Jaramillo A

Modelo de politica economica

Auditoría Informatica y Seguridad Informatica

EQUIPAMIENTO MILITAR, POLITICA DE DEFENSA Y POLITICA

MODELO OSI INFORMATICA

Presentación politica y politica final 2

CONCEPTUALIZACIÓN Y POLITICA DEL MODELO DE ATENCIÓN EDUCATIVA INTEGRAL PARA LOS EDUCANDOS CON

Informatica y etica informatica

MODELO DE POLITICA ECONOMICA DE CHIMBORAZO Y SUS CANTONES

EL MODELO VENEZOLANO DE DESARROLLO Y LA POLITICA

Ciencias sociales, ciencia politica y filosofia politica

PLAN DE ESTUDIOS ESPECIALIDAD INFORMATICA INFORMATICA ...tecnicoindustrialpasto.edu.co/images/especialidades/PLAN_ESPECIA… · informatica “informatica & convergencia ... 1.6 recursos

MODELO DE POLITICA ECONOMICA PARA CHIMBORAZO 2012-2015

TECNICATURA UNIVERSITARIA EN INFORMATICA SISTEMAS II UNIDAD Nº 4 MODELO CONCEPTUAL O DE DOMINIO

Politica Fiscal y Politica Monetaria - Guatemala

PROPUESTA TECNICA MODELO DE GESTION DE LA POLITICA …

Violencia Politica Explicacion y Modelo de Intervencion

Politica Criminal y Politica Social