Plan de seguridad informatica

8.783 visualizaciones

Publicado el

0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
8.783
En SlideShare
0
De insertados
0
Número de insertados
1.248
Acciones
Compartido
0
Descargas
430
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Plan de seguridad informatica

  1. 1. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 1 2010 DR. JUAN PEDRO FEBLES RODRIGUEZ PLAN DE SEGURIDAD INFORMATICO Juan Pablo Escobar 092-02-1170.
  2. 2. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 2 2010 TABLA DE CONTENIDO INTRODUCCION 3 DESCRIPCION DE LA EMPRESA 4 OBJETIVOS PLAN DE SEGURIDAD 4 IDENTIFICACION DE AMENAZAS Y RIESGOS 4 SEGURIDAD FISICA Y LOGICA 5 ORGANIGRAMA 6 RED LOCAL 7 POLITICAS DE SEGURIDAD 8 APLICACIONES PROPIAS 11 CAPACITACION/ENTRENAMIENTO DE USUARIOS 12 CONCLUSIONES Y RECOMENDACIONES 13
  3. 3. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 3 2010 INTRODUCCION Es vital implementar un plan de seguridad. Sin embargo, implementar un plan proactivo que indique cómo sobrevivir a los múltiples escenarios también preparará a las empresas en el manejo de las amenazas inesperadas que podría afrontar en el futuro. La mayoría de las empresas ha invertido tiempo y dinero en la construcción de una infraestructura para la tecnología de la información que soporte su compañía, esa infraestructura de IT podría resultar ser una gran debilidad si se ve comprometida. Para las organizaciones que funcionan en la era de la informática interconectadas y con comunicación electrónica, las políticas de información bien documentadas que se comunican, entienden e implementen en toda la empresa, son herramientas comerciales esenciales en el entorno actual para minimizar los riesgos de seguridad. Este plan de seguridad informática está diseñado para cualquier empresa por grande o pequeña que desee implementar y resguardar su información que sabemos es de vital importancia para todas las empresas, ya que la implementación de seguridad no requiere mayor inversión de recursos ya que todo son herramientas open source lo cual brinda la disponibilidad de adquirirlo sin costo alguno la inversión que con lleva es la física como su estructuración a nivel de red y como los costos de seguridad físicos. Algunas políticas de seguridad que son de carácter obligatorio fueron establecidas en el área de Seguridad Físico y Lógico.
  4. 4. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 4 2010 DESCRIPCION DE LA EMPRESA La empresa de Servicios Informáticos SIT,S.A. presta los servicios de Internet, Asesoría sobre redes, Instalación y reparación de equipos. El cual solicita el diseño de su infraestructura de red como también la solicitud de un plan tanto físico como lógico para resguardar sus equipos como también su información. Desea que todo sistema sea diseñado y configurado siguiendo el plan de seguridad. OBJETIVOS PLAN DE SEGURIDAD Los objetivos del plan de seguridad, pretende por medio de procedimientos, medidas desarrolladas como políticas para la empresa SIT, S.A. que permitan encaminar garantizando los siguientes objetivos: Confidencialidad: permitir a los sistemas poder acceder únicamente a la información que le pertenece, resguardando la información de otros usuarios y tengan acceso únicamente supervisores u otras personas designadas esto permitirá la confidencialidad de los datos. Disponibilidad: que permita tener acceso a información oportuna, en línea información real que pueda acceder a información que haya sido ingresada constantemente esto permite que desde cualquier parte de la empresa o cualquier usuario pueda consultar y acceder a los datos Integridad: que los datos disponibles no puedan ser alterados es decir que se tenga registro de las modificaciones hechas (datos históricos), que siempre se tenga información real. No Repudio: dichos sistemas puedan tener una bitácora transaccional por usuario en la que se pueda tener un control de todo movimiento por parte de un usuario. IDENTIFICACION DE AMENAZAS Y RIESGOS Son amenazas tanto internas como externas a nivel lógico como físico ya sean naturales, accidentales o provocadas. Que pueden afectar a nuestra información: Desastres, naturales o domésticos (incendios, inundaciones, cortocircuitos, sobrecargas, terremotos, etc.) Averías en los equipos informáticos o accesorios (plantas generadoras, instalación eléctrica, etc.) Errores en la introducción de datos, como borrado indebido de archivos o modificaciones no autorizadas. Errores en el diseño de aplicaciones. Sabotajes y robos de equipos o información. Difusión mal intencionada de información. Virus informáticos.
  5. 5. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 5 2010 Para manejar el riesgo de cada amenaza habrá que delimitar: Probabilidad de ocurrencia Gravedad de la situación generada Costo de la medida de prevención Para actuar en consecuencia y asumir el riesgo, en el caso que las medidas sean más costosas que las consecuencias de la amenaza o evitarlo. Entonces los componentes de riesgo cuyas consecuencias deban ser evitadas entrarán a formar parte del Plan de Seguridad. SEGURIDAD FISICA Y LOGICA Para resguardar físicamente los equipos se deberán implementar en las dos vías de acceso cada una con garita con dos guardias, adicional deberá contar con alarmas, rejas o balcones en todo el perímetro como en ventanas. En cada garita el personal deberá tener en todo momento carnet de identificación tipo iCLASS HID con un chip interno de 16kbits y 2kbits ambas tarjetas servirán como identificación como también para brindar acceso a los distintos lugares/locales las puertas de los locales y vías de acceso deberán contar con lectoras iCLASS R10 (proximidad) para darles acceso a los locales resguardando las puertas con electroimanes. El local 5x5 será el área de los servidores el cual deberá contar con puerta metálica, aire acondicionado, cámara de seguridad tanto internamente como también en el exterior con sensor de movimiento a excepción de la que este dedicada a la puerta, dicha puerta deberá contar con un lector RWKLB575 las cuales cuentan con tecnología iCLASS, teclado físico y biométrico las personas que tendrán acceso a los servidores deberán contar únicamente ellos con las tarjetas 16kbits con el fin de tener mayor seguridad en el acceso ya que en dicha tarjeta se guarda el template biométrico de la huella y el usuario deberá presentar la tarjeta, ingresar código de usuario (ID) colocar la huella registrada para validar la entrada todo el resto del personal utilizara tarjetas 2kbits que únicamente harán uso el ID del chip que hace única la tarjeta. El área de servidores adicionalmente deberá contar con rondas constantes de vigilancia por parte de guardias de seguridad con mayor presencia en esta área que en las demás. Todos los locales deberán contar con detectores de humo sincronizados para hacer llamado a bomberos, como también contara con extinguidores para dispositivos eléctricos. Para resguardo lógico de la información se cuenta con 3 servidores uno de ellos resguardara el dominio (samba) para los usuario como también tendrá el proxy para restringir por grupos de usuarios los permisos de internet como también contendrá un TCP Wrapper (en conjunto con un firewall físico), el otro servidor contendrá las aplicaciones web de la intranet, la base de datos. Ambos estarán sincronizándose constantemente con el tercer servidor el cual tendrá el respaldo de ambos servidores estos tres servidores estarán con alta disponibilidad previniendo que uno o ambos servidores principales llegasen a caer servicios o dañar entra como principal el servidor de Respaldo que adicionalmente esta sincronizándose por medio de una vpn a otro servidor que se encuentra fuera de la empresa el cual resguarda toda la información considerado ante cualquier desastre en los servidores. Todos los servidores contendrán una plataforma Linux una distribución Debian 5, las base de datos será MySQL el cual
  6. 6. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 6 2010 posee una sincronización a nivel BD. Los servicios de Telnet y FTP deberán ser sustituidos por SSH para resguardar la integridad de la información que viaja ya que estos encriptan la información, tanto para servidor web como para el proxy se necesita instalar Apache como también squid para administrarlo. El servicio de internet será suministrado por un enlace dedicado de ADSL y teniendo como respaldo otro enlace ADSL pero no dedicado con el fin de prevenir una caída del enlace dedicado. El servidor que manejara el TCP wrapper adicional tendrá vmware para virtualizar Windows para poder tener ahí como servidor de Antivirus para que en las maquinas puedan ejecutar el agente del antivirus y las políticas sean administradas desde el servidor el Antivirus a utilizar es NOD32 Enterprise. Para evitar malos procedimientos por medio de los usuarios se solicita que se les capacite y enseñe de las correctas medidas y procedimientos para uso de equipo y sistemas y penalidades que pueden conllevar el no seguir los procedimientos. En un Inicio se restringirá todo a excepción de uso de correos como la pagina para acceder a ellos, el cual será administrado por una entidad adscrita a Google “wsimarketing” y serán los encargados de administrar nuestros correos como si fuese Gmail para las personas que ingresan vía internet o configuren su correo. Dichas restricciones serán tomadas como políticas de seguridad dichas políticas deberán quedar estructuradas y cualquier solicitud para restringir o eliminar una política o agregar una nueva deberá ser presentada con un estudio de respaldo indicando beneficios y contras para poder aprobarlo por la Gerencia dicho informe deberá ser elaborado por el Ingeniero a cargo de las amenazas y riesgos ya que sobre el recaerá la responsabilidad de estudio como tal. ORGANIGRAMA El especialista en administración de empresa estará a cargo de la empresa y tendrá vos y voto en decisiones de las políticas de seguridad y será el intermediario en diálogos con los usuarios (empleados), para hacer efectivo el voto del administrador deberá basarse en el estudio efectuado por los ingenieros. Se elige a la persona administrativa como cabeza de la empresa esto para que el tome la decisión de las 4 areas y no se tenga discusión entre ellas y las decisiones sobre las políticas sean basadas en estudio que presente cada área correspondiente.
  7. 7. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 7 2010 Un ingeniero se dedique por completo a estudiar los riesgos y amenazas descritas como también en búsqueda de amenazas nuevas o que se pasaron por alto esto con el fin de estar implementando constantemente nuevas técnicas de seguridad y testeando posibles debilidades. Otro ingeniero será encargado de dar soporte y dar capacitación y entrenamiento a usuarios. Otro ingeniero estará encargado del servidor de aplicaciones y base de datos. Otro ingeniero estará encargado de la replicación y alta disponibilidad entre los servidores como también de tener controlado el servidor externo de backups el cual se contratara a una empresa especializada en dicho asunto el cual deberá contar con espacio y restricciones de seguridad lógicos para su almacenamiento de datos esto permitirá que esta empresa bajo contrato de confidencialidad y aseguramiento de datos permita el almacén y acceso a él en caso de desastre. Los dos ingenieros expertos en redes deberán administrar el servidor de dominio, proxy y tcp wrapper con el fin de tener el control de acceso y flujo de información a través de la red. Los dos técnicos especialistas en diseño web deberán ser encargados de la elaboración y mantenimiento a la página web como a las demás aplicaciones de la intranet siendo ellos quienes las elaboren para no permitir el acceso a terceros. Los 3 técnicos especializados en servicios técnicos (reparación y evaluación técnica de equipos) serán los encargados de brindar el soporte inmediato y solventar dudas que tengan los usuarios. Igual manera ellos estarán a cargo de restringir el acceso tanto a nivel físico como lógico de cualquier medio de almacenamiento externo solo podrán habilitarlo por medio de solicitud debidamente autorizada ya que esto es una medida y política de seguridad. RED LOCAL Se necesitara los siguientes elementos para la elaboración de la red local: Cable Ethernet categoría 6 (por ser cable que solo puede ser testeado desde fabrica y no es elaborado manualmente, permite conexiones de 1Gps), con terminaciones RJ45 de un metro de largo para las maquinas y no excedente de 90mts para interconexión de los locales con el Switch principal. Nodos y cajillas para la elaboración de puntos de red 2 por estación de trabajo. 4 Racks aéreos con llave para colocar cableado backbone y switch en los locales. 1 Rack vertical para colocación de router, switch y cableado que salga del area de servidores.
  8. 8. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 8 2010 1 Rack para servidores con un switch para colocar un único teclado, mouse y monitor que permita operar los 3 servidores. En todos los lugares se manejara una topología tipo Estrella sobre TCP/IP 5 Switchs base 1Gbps uno por local. 4 router Wifi para conexión Wifi para laptops tengan conexión en cualquier local. POLITICAS DE SEGURIDAD Las políticas de seguridad tienen el propósito de proteger la información de la empresa, estas servirán de guía para la implementación de medidas de seguridad que contribuirán a mantener la integridad, confidencialidad y disponibilidad de los datos dentro de los sistemas de aplicación, redes, instalaciones de cómputo y procedimientos manuales. Se desea adoptar las normas ISO 17799 que es un estándar internacional de seguridad de la información no se pretende certificarse pero si adoptar en un 90% las medidas de seguridad que ahí describen. El cumplimiento de las políticas y estándares de seguridad de la información es obligatorio y debe ser considerado como una condición en los contratos del personal. La empresa puede obviar algunas de las políticas de seguridad definidas en este documento, únicamente cuando se ha demostrado claramente que el cumplimiento de dichas políticas tendría un impacto significativo e inaceptable para el negocio. Toda excepción a las políticas debe ser documentada y aprobada por el área de seguridad informática y el área de auditoría interna que es evaluada por los ingenieros encargados
  9. 9. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 9 2010 de sus respectivas aéreas, detallando el motivo que justifica el no-cumplimiento de la política. La estructura organizacional de seguridad está representada como lo refleja el organigrama. No se permite el outsourcing para desarrollo de aplicaciones como administración de servidores y servicios. El único trabajo por terceros es el manejo de correo electrónico el cual es administrado a las afueras de la empresa sin tener acceso a nuestros servidores a excepción por medio de una dirección web. No se permite el acceso remoto a ningún equipo externamente dentro y fuera de la institución Se deben utilizar con password restrinctivos los usuarios default como lo es el root tanto en MySQL como en Linux. Utilizar otros puertos de conexión para las BD y no los default de MySQL es decir alguno distinto del 3306 Se prohíbe el consumo de alimentos cerca de los equipos. La energía del lugar deberá estar protegido por un ups en especial los equipos los demás equipos de oficina pueden utilizar corriente regulada que fue certificada por expertos externos. Se cuenta con un ingeniero dedicado a descubrir nuevas amenazas y riesgos para los equipos y sistemas. Los inventarios de activos ayudan a garantizar la vigencia de una protección eficaz de los recursos, y también pueden ser necesarios para otros propósitos de la empresa, como los relacionados con sanidad y seguridad, seguros o finanzas (administración de recursos). El proceso de compilación de un inventario de activos es un aspecto importante de la administración de riesgos. Una organización debe contar con la capacidad de identificar sus activos y el valor relativo e importancia de los mismos. Sobre la base de esta información, la organización puede entonces, asignar niveles de protección proporcionales al valor e importancia de los activos. Se debe elaborar y mantener un inventario de los activos importantes asociados a cada sistema de información. Cada activo debe ser claramente identificado y su propietario y clasificación en cuanto a seguridad deben ser acordados y documentados, junto con la ubicación vigente del mismo (importante cuando se emprende una recuperación posterior a una pérdida o daño). Ejemplos de activos asociados a sistemas de información son los siguientes: Recursos de información: bases de datos y archivos, documentación de sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, disposiciones relativas a sistemas de emergencia para la reposición de información perdida (fallback), información archivada;
  10. 10. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 10 2010 Recursos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo y utilitarios; Activos físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, módems), equipos de comunicaciones (routers, PBXs, máquinas de fax, contestadores automáticos), medios magnéticos (cintas y discos), otros equipos técnicos (suministro de electricidad, unidades de aire acondicionado), mobiliario, lugares de emplazamiento; Servicios: servicios informáticos y de comunicaciones, utilitarios generales, como por ejemplo calefacción, iluminación, energía eléctrica, aire acondicionado. Estructurar el acceso y clasificación de la información por usuarios y grupos de usuarios restringiendo el acceso por departamentos y demás dichos usuarios deberán renovar sus contraseñas cada 3 meses con contraseñas alfanuméricas de al menos 8 caracteres con un digito y un símbolo como mínimo. La información será clasificada de la siguiente manera: Restringida: Información con mayor grado de sensibilidad; el acceso a esta información debe de ser autorizado caso por caso. Confidencial: Información sensible que solo debe ser divulgada a aquellas personas que la necesiten para el cumplimiento de sus funciones. Uso Interno: Datos generados para facilitar las operaciones diarias; deben de ser manejados de una manera discreta, pero no requiere de medidas elaboradas de seguridad. General: Información que es generada específicamente para su divulgación a la población general de usuarios. Se restringe por usuario y computadora el accedo a medios físicos y/o almacenamiento también se le quitan privilegios de administrador y a la vez privilegios en configuraciones. Los Propietarios de la información y custodios son conjuntamente responsables del desarrollo de análisis de riesgos anual de los sistemas a su cargo. Como parte del análisis se debe identificar las aplicaciones de alta criticidad como críticas para la recuperación ante desastres. Es importante identificar: - Áreas vulnerables - Pérdida potencial - Selección de controles y objetivos de control para mitigar los riesgos, indicando las razones para su inclusión o exclusión (Seguridad de datos, Plan de respaldo/recuperación, Procedimientos estándar de operación). Adicionalmente, un análisis de riesgo debe de ser conducido luego de cualquier cambio significativo en los sistemas, en concordancia con el clima cambiante de las operaciones en el negocio de la organización. El análisis de riesgo debe tener un propósito claramente definido y
  11. 11. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 11 2010 delimitado, existiendo dos posibilidades: cumplimiento con los controles y/o medidas de protección o la aceptación del riesgo. El cumplimiento satisfactorio del proceso de evaluación del riesgo se caracteriza por: - Identificación y clasificación correcta de los activos a ser protegidos. - Aplicación consistente y continua de los controles y/o medidas para mitigar el riesgo (seguridad efectiva de datos, recuperación ante desastres) - Detección temprana de los riesgos, reporte adecuado de pérdidas, así como una respuesta oportuna y efectiva ante las perdidas ya materializadas. La gerencia responsable puede obviar algún control o requerimiento de protección y aceptar el riesgo identificado solo cuando ha sido claramente demostrado que las opciones disponibles para lograr el cumplimiento han sido identificadas y evaluadas, y que éstas tendrían un impacto significativo y no aceptable para el negocio. La aceptación de riesgo por falta de cumplimiento de los controles y/o medidas de protección debe ser documentada, revisada por las partes involucradas, comunicada por escrito y aceptada por las áreas responsables de la administración de la seguridad. Los estándares relacionados al personal deben ser aplicados para asegurarse que los empleados sean seleccionados adecuadamente antes de ser contratados, puedan ser fácilmente identificados mientras formen parte de la organización y que el acceso sea revocado oportunamente cuando un empleado es despedido o transferido. Deben desarrollarse estándares adicionales para asegurar que el personal sea consciente de todas sus responsabilidades y acciones apropiadas en el reporte de incidentes. Esta política se aplica a todos los empleados, personal contratado y proveedores. Los empleados son los activos más valiosos de la organización. Sin embargo, un gran número de problemas de seguridad de cómputo pueden ser causados por descuido o desinformación. Se deben de implementar procedimientos para manejar estos riesgos y ayudar al personal de la organización a crear un ambiente de trabajo seguro. Medidas de precaución deben de ser tomadas cuando se contrata, transfiere y despide a los empleados. Deben de establecerse controles para comunicar los cambios del personal y los requerimientos de recursos de cómputo a los responsables de la administración de la seguridad de la información. Es crucial que estos cambios sean atendidos a tiempo. APLICACIONES PROPIAS Toda aplicación para el uso de la empresa deberá ser de tipo Web y deberá proveer el acceso mediante usuario y password y el mismo tener roles de acceso al sistema para prevenir que un usuario no deba acceder a cualquier modulo que no le corresponde. La determinación de que las aplicaciones sean web que la intranet pueda ser accesada desde afuera únicamente a los sistemas por medio de usuario y password ya que el servidor de aplicaciones contara con IP pública. Dichas aplicaciones deberán ser desarrolladas en Open-Source ya que este permite ser implementado en cualquier plataforma en especial Linux y puedan colocarse las paginas en un Apache de misma forma por licencia utilizaremos como motor de Base de Datos MySQL 5.1
  12. 12. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 12 2010 CAPACITACION/ENTRENAMIENTO DE USUARIOS Una vez implementado el plan de seguridad los ingenieros encargados de cada área deberán elaborar un manual de usuario con los procesos correctos que deberán seguir los usuarios como también la descripción de las políticas describiendo el porqué no se tiene acceso para que los usuarios no ignoren conocimiento y se eviten reclamos. Es responsabilidad del área de IT promover constantemente la capacitación e importancia de seguridad usuarios de los sistemas de información. El programa de concientización en seguridad debe de contener continuas capacitaciones y charlas, adicionalmente se puede emplear diversos métodos como afiches, llaveros, mensajes de log-in, etc., los cuales recuerden permanentemente al usuario el papel importante que cumplen en el mantenimiento de la seguridad de la información. Asimismo se debe entregar un resumen escrito de las medidas básicas de seguridad de la información. El personal debe de ser comunicado de las implicancias de seguridad en relación a las responsabilidades de su trabajo. La capacitación en seguridad debe de incluir, pero no estar limitado, a los siguientes aspectos: - Requerimientos de identificador de usuario y contraseña - Seguridad de PC, incluyendo protección de virus - Responsabilidades de la organización de seguridad de información - Concientización de las técnicas utilizadas por "hackers" - Programas de cumplimiento - Guías de acceso a Internet - Guías de uso del correo electrónico - Procesos de monitoreo de seguridad de la información utilizados - Persona de contacto para información adicional
  13. 13. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 13 2010 CONCLUSIONES Y RECOMENDACIONES Para nadie es un secreto la importancia de implementar un programa completo de seguridad de la información. Sin embargo, crear un programa de seguridad con componentes "bloqueadores de cookies" rara vez produce resultados efectivos. Lo más efectivo es utilizar una metodología comprobada que diseñe el programa de seguridad con base en las necesidades de su empresa, recuerde cada empresa es diferente pero ciertos planes de seguridad son adaptables en su mayoría. La clave para desarrollar con éxito un programa efectivo de seguridad de la información consiste en recordar que las políticas, estándares y procedimientos de seguridad de la información son un grupo de documentos interrelacionados. La relación de los documentos es lo que dificulta su desarrollo, aunque es muy poderosa cuando se pone en práctica. Muchas organizaciones ignoran esta interrelación en un esfuerzo por simplificar el proceso de desarrollo. Sin embargo, estas mismas relaciones son las que permiten que las organizaciones exijan y cumplan los requerimientos de seguridad. Las organizaciones necesitan por lo general planes de seguridad que requieren una Política de Seguridad de la Información para cumplir con sus "requerimientos de seguridad de la información". Ciertamente, muchas organizaciones no tienen requerimientos de seguridad de la información como tal, sino que tienen necesidades empresariales que deben desarrollar e implementar. Las empresas, especialmente las compañías cotizadas en bolsa y las organizaciones gubernamentales, están sujetas a las reglamentaciones operacionales de los gobiernos estatales y locales, así como de los organismos que reglamentan la industria. Entonces surge la necesidad de proteger la información la necesidad no es académica, ni es creada por los de IT que buscan justificar su existencia en la organización. Las empresas podrían o no necesitar más recursos, esto depende del enfoque adoptado por la organización para el desarrollo de las políticas. Una Política de Seguridad de la Información generalmente exige que todos en la organización protejan la información para que la empresa pueda cumplir con sus responsabilidades reglamentarias, jurídicas y fiduciarias. La inversión adicional para proteger la información no siempre garantiza el éxito. Pero si es recomendable tener un presupuesto asignado para cumplir con estos fines. Para evaluar las necesidades de inversión, debe consultar estas reglas en orden secuencial: Saber qué información tiene y donde se encuentra. Saber el valor de la información que se tiene y la dificultad de volverla a crear si se daña o pierde. Saber quiénes están autorizados para acceder a la información y que pueden hacer con ella. Saber la velocidad con que puede acceder a la información si no está disponible por alguna razón (por pérdida, modificación no autorizada, etc.)
  14. 14. Universidad Mariano Galvez. Maestría en Informática. Pla de Seguridad (SEGURIDAD REDES) 02/08/2010 14 2010 Características principales de una Política de Seguridad de la Información: Debe estar escrita en lenguaje simple, pero jurídicamente viable y entendible para casi cualquier persona. Debe basarse en las razones que tiene la empresa para proteger la información. Debe ser consistente con las demás políticas organizacionales. Debe hacerse cumplir se exige y mide el cumplimiento, incluso se puede incurrir en sanciones. Debe tener en cuenta los aportes hechos por las personas afectadas por la política. Debe definir el papel y responsabilidades de las personas, departamentos y organizaciones para los que aplica la política. No debe violar las políticas locales ni de la región como tal. Debe definir las consecuencias en caso de incumplimiento de la política Debe estar respaldada por documentos físicos, como los estándares y procedimientos para la seguridad de la información, que se adapten a los cambios en las operaciones de las empresas, las necesidades, los requerimientos jurídicos y los cambios tecnológicos. Debe ser aprobada y firmada por el gerente general de la organización. No obtener este compromiso significa que el cumplimiento de la política es opcional, situación que hará que fracase las políticas de protección de la información.

×