jueves, 30 de abril de 2015

Políticas de Seguridad

POLÍTICAS DE SEGURIDAD

La Política de Seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer tallas y debilidades, y constancia para renovar y actualizar dicha política en función del diámetro ambiental que rodea las organizaciones modernas. así mismo éstas han tomado un gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles.

Las Políticas de Seguridad, pueden clasificar en seguridad lógicas y seguridad físicas que buscan con la ayuda de políticas y controles mantener la seguridad de los recursos y la información alejada de riesgos.

PRINCIPIOS 
  • Integridad: La información debe ser protegida de modificadores no autorizados.
  • Disponibilidad: La información y servicios deben estar disponibles cuando se necesiten.
  • Confidencialidad: Garantiza que la información sea conocida únicamente por quién le interese.


POLÍTICAS DE SEGURIDAD INFORMÁTICA

La Política de Seguridad Informática es una forma de comunicarse con los usuarios,ya que los mismos establecen canal formal de actuación del personal, en relación con los recursos y servicios informáticos.

ELEMENTOS
  • Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
  • Objetivos de la política y descripción clara de los elementos involucrados en su definición. 
  • Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. 
  • Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política. 
  • Definición de violaciones y sanciones por no cumplir con las políticas. 
  • Responsabilidades de los usuarios con respecto a la información a la que tiene acceso. 

PARÁMETROS
  • Efectuar un análisis de riesgo informático para valorar los activos y así adecuar las políticas a la realidad dela empresa.
  • Reunirse con los departamentos dueños de los recursos ya que poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.
  • Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.

RAZONES QUE IMPIDEN LA APLICACIÓN DE LA POLÍTICA DE SEGURIDAD INFORMÁTICA 
  • A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarles en documentos que orienten las acciones de los mismos, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas política de seguridad informática.
  • Falta de una estrategia.
  • Expuestas a graves problemas de de seguridad.
  • Finalmente, las políticas por sí solas no constituyen una garantía para la seguridad de la organización.

PLAN DE CONTINGENCIA

Es el conjunto de procedimientos alternativos a la operativa normal de cada empresa, cuya finalidad es la de permitir el funcionamiento de ésta aún cuando alguna de sus funciones deje de hacerlo. El hecho de preparar un plan de contingencia no implica un reconocimiento de la in eficiencia en la gestión de la empresa. 
Publicado por en No hay comentarios:

jueves, 23 de abril de 2015

Norma ISO 27000


Norma ISO 27000

Concepto:

La ISO 27000 es la norma que explica cómo implantar un Sistema de Gestión de Seguridad de la Información en una empresa. Esta norma es compatible con ISO 9001, ISO 14001, OHSAS 18001, que tienes que ver con el cuidado del ambiente, la seguridad laboral y la calidad.

Objetivos de la norma ISO 27000:
  • Hacer que la información protegida se encuentre disponible.
  • Preservar la confidencialidad de los datos de la empresa.
  • Conservar la integridad de estos datos.
La norma ISO 27000 es implantada en cualquier tipo de organización pública o privada, especialmente con aquellas que desean garantizar la preservación y protección de sus datos debido a la información con la que trabajan.

¿Por qué normas/estándares de seguridad?

Necesitan demostrar que realizan una gestión competente y efectiva de la seguridad de los recursos y datos que gestionan. Para esto es necesario un conjunto estructurado, sistemático, coherente y completo de normas a seguir. Por otro lado utiliza la herramienta de SGSI(Sistema de Gestión de la Seguridad de la Información).

Familia de la norma ISO/IEC 27000:
  • ISO/IEC 27001: Especifica los requisitos a cumplir para implantar un SGSI. Sigue el modelo PDCA. Sus puntos claves son la gestión de riesgos y la mejora continua.
  • ISO/IEC 27002: Código de buenas prácticas para la gestión de seguridad.
  • ISO 27007: Guía de actuación para auditar la SGSI.
  • ISO 27011: Guía de gestión de seguridad de la información específica para telecomunicaciones. Fue elaborada conjuntamente con la ITU(Unión Internacional de Telecomunicaciones).
  • ISO 27031: Guía de continuidad de negocio en lo relativo a la tecnología y comunicación.
  • ISO 27032: Relativa a la ciberseguridad.





Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)