Securities">
Nothing Special   »   [go: up one dir, main page]
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 33 vistas

    Módulo 1 - Lectura 2

    Cargado por

    Mariano Voltolini
    Las políticas de seguridad de la información deben: 1. Especificar el alcance, objetivos, compromiso de la dirección y clasificación de la información. 2. Asignar responsabilidades, definir comportamientos exigidos y prohibidos, e identificar medidas de seguridad. 3. Ser revisadas periódicamente y adaptadas a los cambios organizativos, tecnológicos y legales, contando con la participación de distintos roles de la organización.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Módulo 1 - Lectura 2

    Cargado por

    Mariano Voltolini
    33 vistas6 páginas
    Las políticas de seguridad de la información deben: 1. Especificar el alcance, objetivos, compromiso de la dirección y clasificación de la información. 2. Asignar responsabilidades, definir comportamientos exigidos y prohibidos, e identificar medidas de seguridad. 3. Ser revisadas periódicamente y adaptadas a los cambios organizativos, tecnológicos y legales, contando con la participación de distintos roles de la organización.

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Las políticas de seguridad de la información deben: 1. Especificar el alcance, objetivos, compromiso de la dirección y clasificación de la información. 2. Asignar responsabilidades, definir comportamientos exigidos y prohibidos, e identificar medidas de seguridad. 3. Ser revisadas periódicamente y adaptadas a los cambios organizativos, tecnológicos y legales, contando con la participación de distintos roles de la organización.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    33 vistas6 páginas

    Módulo 1 - Lectura 2

    Cargado por

    Mariano Voltolini
    Las políticas de seguridad de la información deben: 1. Especificar el alcance, objetivos, compromiso de la dirección y clasificación de la información. 2. Asignar responsabilidades, definir comportamientos exigidos y prohibidos, e identificar medidas de seguridad. 3. Ser revisadas periódicamente y adaptadas a los cambios organizativos, tecnológicos y legales, contando con la participación de distintos roles de la organización.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 6

    IntroducciónBloque 1Referencias

    Políticas de seguridad de la información 

    Introducción

    Todos los aspectos relacionados con las políticas de seguridad de la información se


    encuentran bien definidos en la familia de Normas Estándares ISO/IEC 27000 Gestión de
    la Seguridad de la Información[1]

    Específicamente en ISO/IEC 27002[2]su capítulo 5, “Política de Seguridad”, constituye una


    guía completa para el abordaje de este documento.

    La lectura del presente material es meramente complementaria a la bibliografía básica.


    Las definiciones teóricas de los conceptos aquí expuestos deben ser tomadas de dicha
    bibliografía.

    No obstante esto, en la presente Lectura se presenta una breve revisión de este requisito
    que constituye la base sobre la cual se asienta un sistema de gestión de seguridad de la
    información en un entorno organizacional, cuya estructura se ilustra a continuación.

    [1] ISO/IEC 27000. Familia de Normas Estándares de Gestión de Seguridad de la


    Información. De https://www.iso.org/isoiec-27001-information-security.html

    [2] ISO/IEC 27002 Tecnologías de Información. Técnicas de seguridad. Código de


    Prácticas para controles de seguridad de la Información. De
    https://www.iso.org/standard/54533.html

    Figura 1: Estructura de una política de seguridad de la información

    Fuente: Gómez Vieites, 2011, p. 72.


    Política de seguridad

    La política de seguridad es una declaración de la dirección de la organización en la que se


    define el compromiso, los objetivos, los alcances y las responsabilidades ‒entre otros
    aspectos‒ del sistema de gestión de seguridad de la información. En otras palabras, la
    política de seguridad sienta las bases del sistema de gestión de la seguridad de la
    información.

    Plan de Seguridad
    También conocido como plan director de seguridad, se trata de una planificación detallada
    en la que se definen los proyectos que se deberán llevar a cabo para implementar la
    política de seguridad. Comprende proyectos de nivel técnico, legal y organizativo.

    Procedimiento de seguridad
    Es una especificación de los pasos que se deben llevar a cabo para la realización de
    tareas determinadas, relacionadas siempre con los objetivos definidos por la organización
    en la política de seguridad.
    Características de las políticas de seguridad
    La política de seguridad debe reunir las siguientes características.

    Debe ser posible implementarla a través de guías que especifiquen los pasos
    necesarios de una forma detallada.
    Debe contener y divulgar guías de uso responsable por parte del personal
    involucrado.
    Deben delimitar de forma clara las responsabilidades exigidas al personal
    involucrado.
    Debe alinearse con las exigencias del marco jurídico que regula la actividad de la
    organización.
    Debe ser auditada de forma periódica y adaptada a las nuevas exigencias de la
    organización, del entorno tecnológico y del marco jurídico.
    Debe mantenerse en un grado de abstracción elevado, de forma tal que no impida o
    limite la aplicación de medidas necesarias (normativas, procedimientos) ante
    cambios de contextos internos o externos. Es decir, debe ser atemporal.
    Los servicios, aplicaciones y usuarios deben tener asignados los privilegios mínimos
    necesarios para llevar a cabo sus tareas.
    Los sistemas deben ser desarrollados e implementados para que, en caso de fallas,
    se sitúen en un estado seguro.
    No debe limitarse al cumplimiento de requisitos impuestos jurídicos o a exigencias
    de terceros, sino que debe estar alineada con las necesidades de negocio de la
    organización.
    Debe ser independiente del hardware y del software.

    1. Definición de las políticas de seguridad 

    Las políticas de seguridad deben contener:

    especificación del alcance (en la que se indiquen activos, procesos, personal,


    terceros externos a la organización y cualquier otro recurso afectado por la política);
    especificación de los objetivos que se pretenden alcanzar;
    declaración de compromiso de la dirección de la organización con la política de
    seguridad;
    clasificación de la información;
    identificación de los activos a proteger a través de análisis y gestión de riesgos;
    recursos involucrados en la implementación de las medidas de seguridad;
    asignación de responsabilidades en los distintos niveles de organizativos;
    definición clara y precisa de los comportamientos exigidos y de los que están
    prohibidos por parte del personal;
    identificación de las medidas, normas y procedimientos de seguridad a implementar;
    abordar las relaciones con terceros a través de un modelo de gestión;
    planes de contingencia y de continuidad del negocio en respuesta a la
    materialización de incidentes;
    cumplimiento de la legislación vigente;
    definir las consecuencias ante incumplimiento y violaciones de la política.

    En la definición de las políticas de seguridad deben participar los siguientes roles de la


    organización:

     directivos y responsables de los distintos departamentos y áreas funcionales de la


    organización;
     personal del departamento de informática y de comunicaciones;
    miembros del equipo de respuesta a incidentes de seguridad informática (en caso de
    que este exista);
    representantes de los usuarios que pueden verse afectados por las medidas
    adoptadas;
    consultores externos expertos en seguridad informática;
    asesores legales de la organización.

    Por último, y no menos importante, se deben llevar a cabo acciones de concientización


    para todas las partes involucradas y se debe generar conciencia colectiva pues la
    seguridad es responsabilidad de todos.
    Políticas de seguridad de la información en el ámbito público
    En Argentina, la Oficina Nacional de Tecnologías de Información (ONTI) ‒dependiente de
    [3]
    la Jefatura de Gabinete de Ministros de la Nación ‒ se encarga de regular las normativas
    relacionadas con las tecnologías de información y seguridad de la información en el
    ámbito público.

    En este marco, desde el año 2005, publica el documento “Política de Seguridad de la


    [4]
    Información Modelo” basado principalmente en la familia de normas estándares
    ISO/IEC 27000, ya citada anteriormente.

    Los organismos públicos alcanzados por este modelo están definidos en la Decisión
    [5]
    Administrativa N° 669/2004 .

    Si bien su ámbito de aplicación apunta a organismos públicos, el modelo es igualmente


    válido y puede tomarse como plantilla o referencia para el sector privado.

    Este modelo presenta la siguiente estructura.

    [3]
    Ver más en Jefatura de Gabinete de Ministros. Argentina. https://www.argentina.gob.ar/jefatura

    [4]
    ONTI. Política de Seguridad Modelo. De: http://servicios.infoleg.gob.ar/infolegInternet/anexos/215000-
    219999/219163/norma.htm


    [5]
    Decisión administrativa N° 669/2004. De http://servicios.infoleg.gob.ar/infolegInternet/anexos/100000-
    104999/102188/norma.htm

    Figura 2: Estructura de una política de seguridad de la información


    Fuente: Oficina Nacional de Tecnologías de la Información, 2013,
    https://goo.gl/Rc2Vhm 

    En conclusión, la política de seguridad es la base del sistema de gestión de la seguridad


    de la información. Se trata de un documento de alto nivel de abstracción en el que la
    dirección de la organización fija cuáles son los objetivos que se persiguen para garantizar
    la seguridad de la información y cómo esta será protegida.

    En concreto, constituye un marco flexible que da cabida a todas las normas y planes que
    regulan los procesos de seguridad en toda la organización.

    Por otra parte, los planes y procedimientos son los medios a través de los cuales se
    implementan esos objetivos de seguridad. Si la política de seguridad es el “qué se
    pretende” en relación a la seguridad, los planes y procedimientos serán el “cómo lograr”
    esos objetivos.

    La seguridad es una responsabilidad institucional de la dirección de la organización. Por


    ende, debe decidir los lineamientos de la política de seguridad, respaldarla, asignarle los
    recursos necesarios y lograr conciencia colectiva de seguridad, involucrando a todos los
    actores de la organización, pues la seguridad es, a la vez, responsabilidad de todos.

    Por último, la revisión de las normas estándares, guías y referencias expuestas en esta
    lectura es de carácter obligatorio para profundizar los conceptos presentados.

    Referencias
    Gómez Vieites, A. (2011). Enciclopedia de la Seguridad Informática (2da ed.). Madrid,
    España: Ra-Ma.

    Oficina Nacional de Tecnologías de Información (ONTI). (2013). Administración pública


    nacional. Disposición 3/2013. Apruébase la “Política de Seguridad de la Información
    Modelo”. Jefatura de Gabinete de Ministros. Argentina. Recuperado de:
    http://servicios.infoleg.gob.ar/infolegInternet/anexos/215000-219999/219163/norma.htm   

    También podría gustarte