SlideShare una empresa de Scribd logo

Unidad ii sesion 01 (politicas de seguridad)

Jesus Vilchez
Jesus Vilchez
1 de 35
Descargar para leer sin conexión
Datos del Profesor: Ing. Jesús Vílchez Sandoval CIP 129615 email:jvilchez@utp.edu.pe http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094 Coordinador de la Oficina de Calidad y Acreditación - FIEM
Ing. Jesús Vílchez Sandoval Sistemas de SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
La política de seguridad es un documento de alto nivel que denota El compromiso de la gerencia con la seguridad de la información. Contenido Que es una Política de Seguridad Elaboración de una Política de Seguridad Política del SGSI y Políticas Especificas Reglamento de Seguridad de Información Laboratorio © Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
Que es una política de seguridad? «Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más...»
Que es una política de seguridad? Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandarización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información
Elaboración de una política de seguridad «No hay que temer a los ordenadores y al ciberespacio, Hay que tener precaución con los malos usuarios» -- Anonimo
Ciclo de vida una política de seguridad Hay 11 etapas que deben realizarse a lo largo de la vida de una política de seguridad. Estas etapas pueden agruparse en 4 Fases: Desarrollo Creación Revisión Aprobación Implementación Comunicación Cumplimiento Excepciones Mantenimiento Concientización Monitoreo Cumplimiento Mantenimiento Eliminación Retiro
Elaboración de una política de seguridad Para elaborar una política de seguridad de la información es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción. a. Exigencias de la Política b. Etapas de producción de la política.
Elaboración de una política de seguridad a. Exigencias de la Política de seguridad La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado en seguridad de los profesionales involucrados con su aplicación y compromiso. Es importante considerar que para la elaboración de una política de seguridad institucional se debe realizar lo siguiente: a. Integrar el comité de seguridad responsable de definir la política b. Elaborar el documento final c. Hacer oficial la política una vez que se tenga definida
Elaboración de una política de seguridad b. Etapas de producción de una política Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. El trabajo de producción se compone por distintas etapas, entre otras: o Objetivos y ámbito o Entrevista o Investigación y análisis de documentos o Reunión de política o Glosario de la política o Responsabilidades y penalidades
Documentos de una política de seguridad • En este modelo visualizamos que una política de seguridad este formada por 3 grandes secciones: – Las Directrices – Las Normas – Los procedimientos e instrucciones de trabajo • Su estructura de sustentación está formada por tres grandes aspectos: – Herramientas, – Cultura organizacional – Monitoreo.
Las Directrices (Estrategias) • Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la organización y tiene como base su visión y misión para abarcar toda la filosofía de seguridad de la información. • Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido.
Las Normas (Tacticas) • Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina. Pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios. Normas de Seguridad para técnicos Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros. Normas de Seguridad para Usuarios Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros.
Procedimientos e Instrucciones (operacional) Procedimiento Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e ínter departamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información. Instrucción de trabajo Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en el modelo de paso a paso para los usuarios del activo en cuestión.
Elaboración de una política de seguridad Items de una política de seguridad Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos. Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones. Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia. Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia. Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria. Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.
Políticas del SGSI y Políticas Especificas Confidencialidad, Disponibilidad e Integridad
Políticas especificas de la seguridad ISO 27001:2005 – Anexo “A” • Política del SGSI • Seguridad de • Código Móvil • Backup Información 4.2.1.b A.5.1.1 A.10.4.2 A.10.5.1 • Intercambio de • Sistemas de • Control de • Bloqueo de información información de accesos pantalla y puesto negocio de trabajo despejado A.10.8.1 A.10.8.5 A.11.1.1 A.11.3.3 • Uso de los • Computación • Teletrabajo • Controles servicios de red móvil y criptográficos comunicaciones A.11.4.1 A.11.7.1 A.11.7.2 A.12.3.1
Política del SGSI Se define en términos de las características de la Institución, la organización, sus ubicaciones, activos y tecnología. Incluye un marco de trabajo para establecer objetivos y brinda un sentido general de dirección y principios para la acción respecto a la seguridad de información.  Toma en consideración requerimientos legales o regulatorios y de negocios, y obligaciones de seguridad contractuales.  Se alinea con el contexto de gestión de riesgos estratégico de la organización en el cual se establece y mantiene el SGSI  Establece el criterio contra el cual el riesgo será evaluado  Es aprobada por la gerencia
Política del SGSI La política del SGSI es considerada como un nivel superior de la política de seguridad de información. Estas políticas pueden ser descritas en un mismo documento
Reglamento de seguridad la información «Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más...»
Definición Conjunto de principios, directivas y requerimientos de Seguridad de la Información que garanticen la confidencialidad, integridad y disponibilidad de la información que se procesa, intercambia, reproduce y conserva en los activos de información que soportan los procesos y actividades de una Institución. » Es de aplicación general a todo el personal de la empresa o institución. » Debe ser aprobado por el Comité de Gestión de Seguridad » Está compuesto por un conjunto de políticas específicas de Seguridad de la Información. » Debe ser de conocimiento y uso cotidiano del personal interno y externo a la Institución.
Política de Código Móvil • Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho código móvil opera de acuerdo a una política ISO 27001:2005 de seguridad definida y que se debe prevenir Control 10.4.2 que éste sea ejecutado. El código móvil es un código de software que se transfiere desde una computadora a otra y luego ejecuta automáticamente y realiza una función específica con poco o ninguna interacción del usuario.
Política de Backup • Se deben hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, ISO 27001:2005 en concordancia con la política Control 10.5.1 acordada de recuperación.
Política para Intercambio de Información y software • Se deben establecer políticas, procedimientos y controles formales de intercambio con el fin de proteger la ISO 27001:2005 información a través de todos los tipos Control 10.8.1 de instalaciones de comunicación Información Software Correo Descarga de Voz Internet Fax Proveedores Video
Política de Sistemas de Información de Negocios • Se deben desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada ISO 27001:2005 con la interconexión de sistemas de Control 10.8.5 información de negocios. Los sistemas de información permiten distribuir rápidamente y compartir información de negocio.  Controles de acceso  Clasificación de información  Identificación de usuarios  Backup  Contingencias
Política de Control de Accesos • Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los ISO 27001:2005 requerimientos de seguridad y del Control 11.1.1 negocio. Considerar acceso físico y lógico. “Todo lo que no está explícitamente permitido debe estar prohibido”
Política de Pantalla y Escritorio Limpio • Se debe adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento, así como, una política de ISO 27001:2005 pantalla limpia para instalaciones de Control 11.3.3 procesamiento de información.
Política de uso de los Servicios de la Red • Los usuarios sólo deben tener acceso directo a los servicios ISO 27001:2005 para los que estén autorizados Control 11.4.1 de una forma específica. Redes y Servicios de red permitidos • Web • Correo electrónico • Mensajería instantánea • VPN / Acceso remoto.
Política de Informática Móvil y Comunicaciones • Se debe adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los ISO 27001:2005 riesgos cuando se usan dispositivos de Control 11.7.1 informática. • Laptops • Teléfonos celulares • Agendas PDA • Dispositivos inalámbricos Consideraciones:  Uso en áreas públicas  Software malicioso  Backup  Robo
Política de Teletrabajo • Se debe desarrollar e implementar una política, planes operacionales ISO 27001:2005 y procedimientos para las Control 11.7.2 actividades de teletrabajo. Consideraciones:  Robo de equipos  Fuga de información  Propiedad intelectual  Auditoria a equipos  Licencia de software  Protección antivirus
Política de uso de Controles Criptográficos • La organización debe desarrollar e implementar una política de ISO 27001:2005 uso de las medidas criptográficas Control 12.3.1 para proteger la información. Consideraciones:  Situaciones en las que debe utilizarse  Nivel de protección requerido (tipo, algoritmo)  Responsabilidad  Regulaciones
? Preguntas
Laboratorio «No hay que temer a los ordenadores y al ciberespacio, Hay que tener precaución con los malos usuarios» -- Anonimo
Ejercicio Elaborar una Política de Seguridad
SEGURIDAD EN REDES FIN SESION 01

Recomendados

Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016Matías Jackson
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacioncautio
 

Recomendados

Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016Matías Jackson
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacioncautio
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralRicardo Cañizares Sales
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001carlosure07
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasRogger Cárdenas González
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
Seguridad
SeguridadSeguridad
SeguridadFipy_exe
 
información Segura
información Segurainformación Segura
información SeguraCesar Delgado
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridadCarolina Cols
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 

Más contenido relacionado

La actualidad más candente

La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralRicardo Cañizares Sales
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001carlosure07
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 

La actualidad más candente (19)

La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integral
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
Pdictseguridadinformaticapoliticas
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Norma nist
Norma nistNorma nist
Norma nist
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas
 
Seguridad
SeguridadSeguridad
Seguridad
 
información Segura
información Segurainformación Segura
información Segura
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Seguridad
SeguridadSeguridad
Seguridad
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 

Similar a Unidad ii sesion 01 (politicas de seguridad)

Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridadCarolina Cols
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta GerenciaFabián Descalzo
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridaddiana_16852
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridadrogger0123
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridaddiana_16852
 
Exigencias de politicas
Exigencias de politicasExigencias de politicas
Exigencias de politicaspaola_yanina
 

Similar a Unidad ii sesion 01 (politicas de seguridad) (20)

Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Exigencias de politicas
Exigencias de politicasExigencias de politicas
Exigencias de politicas
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Para imprimer a hora
Para imprimer a horaPara imprimer a hora
Para imprimer a hora
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Exigencias de politicas
Exigencias de politicasExigencias de politicas
Exigencias de politicas
 

Más de Jesus Vilchez

Programación en OTcl
Programación en OTclProgramación en OTcl
Programación en OTclJesus Vilchez
 
Herramientas de control y seguimiento
Herramientas de control y seguimientoHerramientas de control y seguimiento
Herramientas de control y seguimientoJesus Vilchez
 
Ataques en redes lan
Ataques en redes lanAtaques en redes lan
Ataques en redes lanJesus Vilchez
 
Ataques y vulnerabilidades
Ataques y vulnerabilidadesAtaques y vulnerabilidades
Ataques y vulnerabilidadesJesus Vilchez
 
Analisis de riego segunda parte
Analisis de riego segunda parteAnalisis de riego segunda parte
Analisis de riego segunda parteJesus Vilchez
 
Analisis de riego primera parte
Analisis de riego primera parteAnalisis de riego primera parte
Analisis de riego primera parteJesus Vilchez
 
I.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadI.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadJesus Vilchez
 

Más de Jesus Vilchez (7)

Programación en OTcl
Programación en OTclProgramación en OTcl
Programación en OTcl
 
Herramientas de control y seguimiento
Herramientas de control y seguimientoHerramientas de control y seguimiento
Herramientas de control y seguimiento
 
Ataques en redes lan
Ataques en redes lanAtaques en redes lan
Ataques en redes lan
 
Ataques y vulnerabilidades
Ataques y vulnerabilidadesAtaques y vulnerabilidades
Ataques y vulnerabilidades
 
Analisis de riego segunda parte
Analisis de riego segunda parteAnalisis de riego segunda parte
Analisis de riego segunda parte
 
Analisis de riego primera parte
Analisis de riego primera parteAnalisis de riego primera parte
Analisis de riego primera parte
 
I.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadI.1 conceptos_de_seguridad
I.1 conceptos_de_seguridad
 

Unidad ii sesion 01 (politicas de seguridad)

  • 1. Datos del Profesor: Ing. Jesús Vílchez Sandoval CIP 129615 email:jvilchez@utp.edu.pe http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094 Coordinador de la Oficina de Calidad y Acreditación - FIEM
  • 2. Ing. Jesús Vílchez Sandoval Sistemas de SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
  • 3. La política de seguridad es un documento de alto nivel que denota El compromiso de la gerencia con la seguridad de la información. Contenido Que es una Política de Seguridad Elaboración de una Política de Seguridad Política del SGSI y Políticas Especificas Reglamento de Seguridad de Información Laboratorio © Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
  • 4. Que es una política de seguridad? «Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más...»
  • 5. Que es una política de seguridad? Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico. A partir de sus principios, es posible hacer de la seguridad de la información un esfuerzo común, en tanto que todos puedan contar con un arsenal informativo documentado y normalizado, dedicado a la estandarización del método de operación de cada uno de los individuos involucrados en la gestión de la seguridad de la información
  • 6. Elaboración de una política de seguridad «No hay que temer a los ordenadores y al ciberespacio, Hay que tener precaución con los malos usuarios» -- Anonimo
  • 7. Ciclo de vida una política de seguridad Hay 11 etapas que deben realizarse a lo largo de la vida de una política de seguridad. Estas etapas pueden agruparse en 4 Fases: Desarrollo Creación Revisión Aprobación Implementación Comunicación Cumplimiento Excepciones Mantenimiento Concientización Monitoreo Cumplimiento Mantenimiento Eliminación Retiro
  • 8. Elaboración de una política de seguridad Para elaborar una política de seguridad de la información es importante tomar en cuenta las exigencias básicas y las etapas necesarias para su producción. a. Exigencias de la Política b. Etapas de producción de la política.
  • 9. Elaboración de una política de seguridad a. Exigencias de la Política de seguridad La política es elaborada tomando como base la cultura de la organización y el conocimiento especializado en seguridad de los profesionales involucrados con su aplicación y compromiso. Es importante considerar que para la elaboración de una política de seguridad institucional se debe realizar lo siguiente: a. Integrar el comité de seguridad responsable de definir la política b. Elaborar el documento final c. Hacer oficial la política una vez que se tenga definida
  • 10. Elaboración de una política de seguridad b. Etapas de producción de una política Elaborar una política es un proceso que exige tiempo e información. Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. El trabajo de producción se compone por distintas etapas, entre otras: o Objetivos y ámbito o Entrevista o Investigación y análisis de documentos o Reunión de política o Glosario de la política o Responsabilidades y penalidades
  • 11. Documentos de una política de seguridad • En este modelo visualizamos que una política de seguridad este formada por 3 grandes secciones: – Las Directrices – Las Normas – Los procedimientos e instrucciones de trabajo • Su estructura de sustentación está formada por tres grandes aspectos: – Herramientas, – Cultura organizacional – Monitoreo.
  • 12. Las Directrices (Estrategias) • Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la organización y tiene como base su visión y misión para abarcar toda la filosofía de seguridad de la información. • Las directrices estratégicas, en el contexto de la seguridad, corresponden a todos los valores que deben ser seguidos, para que el principal patrimonio de la empresa, que es la información, tenga el nivel de seguridad exigido.
  • 13. Las Normas (Tacticas) • Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina. Pueden ser específicas para el público a que se destina, por ejemplo para técnicos y para usuarios. Normas de Seguridad para técnicos Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), basadas en los aspectos más genéricos como periodicidad para cambio de claves, copias de seguridad, acceso físico y otros. Normas de Seguridad para Usuarios Reglas generales de seguridad de la información dirigidas para hacer uso de ambientes informatizados, basadas en aspectos más genéricos como cuidados con claves, cuidados con equipos, inclusión o exclusión de usuarios, y otros.
  • 14. Procedimientos e Instrucciones (operacional) Procedimiento Conjunto de orientaciones para realizar las actividades operativas de seguridad, que representa las relaciones interpersonales e ínter departamentales y sus respectivas etapas de trabajo para la implantación o manutención de la seguridad de la información. Instrucción de trabajo Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad establecido por una norma, establecido en el modelo de paso a paso para los usuarios del activo en cuestión.
  • 15. Elaboración de una política de seguridad Items de una política de seguridad Seguridad física: acceso físico, infraestructura del edificio, Centro de Datos. Seguridad de la red corporativa: configuración de los sistemas operativos, acceso lógico y remoto, autenticación, Internet, disciplina operativa, gestión de cambios, desarrollo de aplicaciones. Seguridad de usuarios: composición de claves, seguridad en estaciones de trabajo, formación y creación de conciencia. Seguridad de datos: criptografía, clasificación, privilegios, copias de seguridad y recuperación, antivirus, plan de contingencia. Auditoria de seguridad: análisis de riesgo, revisiones periódicas, visitas técnicas, monitoreo y auditoria. Aspectos legales: prácticas personales, contratos y acuerdos comerciales, leyes y reglamentación gubernamental.
  • 16. Políticas del SGSI y Políticas Especificas Confidencialidad, Disponibilidad e Integridad
  • 17. Políticas especificas de la seguridad ISO 27001:2005 – Anexo “A” • Política del SGSI • Seguridad de • Código Móvil • Backup Información 4.2.1.b A.5.1.1 A.10.4.2 A.10.5.1 • Intercambio de • Sistemas de • Control de • Bloqueo de información información de accesos pantalla y puesto negocio de trabajo despejado A.10.8.1 A.10.8.5 A.11.1.1 A.11.3.3 • Uso de los • Computación • Teletrabajo • Controles servicios de red móvil y criptográficos comunicaciones A.11.4.1 A.11.7.1 A.11.7.2 A.12.3.1
  • 18. Política del SGSI Se define en términos de las características de la Institución, la organización, sus ubicaciones, activos y tecnología. Incluye un marco de trabajo para establecer objetivos y brinda un sentido general de dirección y principios para la acción respecto a la seguridad de información.  Toma en consideración requerimientos legales o regulatorios y de negocios, y obligaciones de seguridad contractuales.  Se alinea con el contexto de gestión de riesgos estratégico de la organización en el cual se establece y mantiene el SGSI  Establece el criterio contra el cual el riesgo será evaluado  Es aprobada por la gerencia
  • 19. Política del SGSI La política del SGSI es considerada como un nivel superior de la política de seguridad de información. Estas políticas pueden ser descritas en un mismo documento
  • 20. Reglamento de seguridad la información «Cuando no ocurre nada, nos quejamos de lo mucho que gastamos en seguridad. Cuando algo sucede, nos lamentamos de no haber invertido más...»
  • 21. Definición Conjunto de principios, directivas y requerimientos de Seguridad de la Información que garanticen la confidencialidad, integridad y disponibilidad de la información que se procesa, intercambia, reproduce y conserva en los activos de información que soportan los procesos y actividades de una Institución. » Es de aplicación general a todo el personal de la empresa o institución. » Debe ser aprobado por el Comité de Gestión de Seguridad » Está compuesto por un conjunto de políticas específicas de Seguridad de la Información. » Debe ser de conocimiento y uso cotidiano del personal interno y externo a la Institución.
  • 22. Política de Código Móvil • Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho código móvil opera de acuerdo a una política ISO 27001:2005 de seguridad definida y que se debe prevenir Control 10.4.2 que éste sea ejecutado. El código móvil es un código de software que se transfiere desde una computadora a otra y luego ejecuta automáticamente y realiza una función específica con poco o ninguna interacción del usuario.
  • 23. Política de Backup • Se deben hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, ISO 27001:2005 en concordancia con la política Control 10.5.1 acordada de recuperación.
  • 24. Política para Intercambio de Información y software • Se deben establecer políticas, procedimientos y controles formales de intercambio con el fin de proteger la ISO 27001:2005 información a través de todos los tipos Control 10.8.1 de instalaciones de comunicación Información Software Correo Descarga de Voz Internet Fax Proveedores Video
  • 25. Política de Sistemas de Información de Negocios • Se deben desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada ISO 27001:2005 con la interconexión de sistemas de Control 10.8.5 información de negocios. Los sistemas de información permiten distribuir rápidamente y compartir información de negocio.  Controles de acceso  Clasificación de información  Identificación de usuarios  Backup  Contingencias
  • 26. Política de Control de Accesos • Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los ISO 27001:2005 requerimientos de seguridad y del Control 11.1.1 negocio. Considerar acceso físico y lógico. “Todo lo que no está explícitamente permitido debe estar prohibido”
  • 27. Política de Pantalla y Escritorio Limpio • Se debe adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento, así como, una política de ISO 27001:2005 pantalla limpia para instalaciones de Control 11.3.3 procesamiento de información.
  • 28. Política de uso de los Servicios de la Red • Los usuarios sólo deben tener acceso directo a los servicios ISO 27001:2005 para los que estén autorizados Control 11.4.1 de una forma específica. Redes y Servicios de red permitidos • Web • Correo electrónico • Mensajería instantánea • VPN / Acceso remoto.
  • 29. Política de Informática Móvil y Comunicaciones • Se debe adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los ISO 27001:2005 riesgos cuando se usan dispositivos de Control 11.7.1 informática. • Laptops • Teléfonos celulares • Agendas PDA • Dispositivos inalámbricos Consideraciones:  Uso en áreas públicas  Software malicioso  Backup  Robo
  • 30. Política de Teletrabajo • Se debe desarrollar e implementar una política, planes operacionales ISO 27001:2005 y procedimientos para las Control 11.7.2 actividades de teletrabajo. Consideraciones:  Robo de equipos  Fuga de información  Propiedad intelectual  Auditoria a equipos  Licencia de software  Protección antivirus
  • 31. Política de uso de Controles Criptográficos • La organización debe desarrollar e implementar una política de ISO 27001:2005 uso de las medidas criptográficas Control 12.3.1 para proteger la información. Consideraciones:  Situaciones en las que debe utilizarse  Nivel de protección requerido (tipo, algoritmo)  Responsabilidad  Regulaciones
  • 32. ? Preguntas
  • 33. Laboratorio «No hay que temer a los ordenadores y al ciberespacio, Hay que tener precaución con los malos usuarios» -- Anonimo