SlideShare una empresa de Scribd logo

Políticas de Seguridad

Descargar como PPT, PDF
Conferencias FIST
Conferencias FIST

Este documento describe los aspectos fundamentales de las políticas de seguridad de la información. Explica la estructura piramidal típica de una política de seguridad, con tres niveles de documentos que van de lo más general a lo más específico. También cubre consideraciones clave como el contenido requerido, la participación de departamentos, el ciclo de vida de los documentos y la clasificación de activos.

Tecnología
1 de 33
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Introdución Estructura de la Política Contenido de la Política Consideraciones adicionales Evaluación de cumplimiento SANS Policy Project Ejemplo
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Introducción La complejidad de las organizaciones y la dificultad para gestionar la infraestructura IT ha revelado la necesidad de establecer y uniformar requerimientos mínimos para el gobierno de dicha infraestructura. El cumplimiento de dichos requerimientos asegura la consecución de un nivel de riesgo aceptable en la organización. La Política de Seguridad de la organización especifica los requerimientos que deben satisfacerse para proteger los activos de información. La Política de Seguridad se traslada a una colección de documentos que abordan diferentes temas con diferente nivel de detalle (estructura). Los documentos se actualizan periódicamente, a medida que ocurren cambios significativos en la organización.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Introducción Para entender por qué es necesaria una Política de Seguridad, se pueden plantear las siguientes preguntas: ¿Qué medidas de seguridad existen actualmente en los servidores? ¿Es suficiente la configuración establecida para el antivirus? ¿Quién concede los accesos a los usuarios en los diferentes entornos? ¿Quién revoca dichos accesos cuando dejan de ser necesarios? ¿Cómo se protege la confidencialidad de la información en tránsito? ¿Cómo se gestionan los incidentes de seguridad? ¿Cómo se garantiza la seguridad de las relaciones con teceros? ¿Cómo se previene la fuga de información por parte de usuarios finales?
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Introducción Las siguientes son situaciones clásicas en las organizaciones con una dependencia tecnológica notable: No se revocan los accesos de usuarios que ya no pertenecen a la organización o que han cambiado de departamento. Hay sistemas con contraseñas por defecto, en blanco o que no cumplen los requerimientos mínimos de complejidad. Los incidentes de seguridad se gestionan ad-hoc, involucrando a las personas que se consideran más apropiadas en cada caso. No se monitorizan los logs de los sistemas, por lo que muchos incidentes de seguridad pasan completamente desapercibidos. Las aplicaciones propietarias se desarrollan sin tener en cuenta la seguridad, en ocasiones por parte de terceros.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Estructura de la Política La organización clásica es piramidal en tres niveles, cada uno de los cuales presenta un formato y un nivel de detalle diferentes.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Estructura de la Política El primer nivel se compone de una declaración formal del compromiso de la organización con la protección de los activos de información. En este documento se señala el alcance y los objetivos de seguridad que se pretenden lograr con la implantación de la política. Es elaborado por la Alta Dirección y distribuida a todos los estratos de la compañía, a través de comunicaciones oficiales. No se incluye ningún detalle acerca de la forma de alcanzar los objetivos o el planteamiento concreto de los controles de seguridad.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Estructura de la Política En el segundo nivel se incluyen documentos que describen requerimientos generales en relación con cada una de las áreas o componentes del IT de la organización. Dichos requerimientos particularizan y articulan los objetivos indicados en el nivel anterior. Un caso particular de este nivel son los procedimientos, que especifican secuencias de pasos o circuitos en una determinada función IT. No deben confundirse con los manuales de instalación o administración de los elementos de la infraestructura tecnológica (howtos).
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Estructura de la Política El tercer nivel está formado por una colección de documentos con requerimientos detallados o estándares. Los requerimientos aplican a componentes, estructuras o procesos individuales, que forman parte de los componentes, estructuras y procesos a los que se refieren los documentos del nivel anterior. Pueden especificar la configuración de un producto de seguridad, un checklist de opciones del SO o el criterio de evaluación de proveedores.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Ejemplos de documentos de cada nivel Primer nivel: Política Global de Seguridad. Segundo nivel: Elementos de Seguridad en Sistemas Servidor. Estrategia de Protección frente a Software Malicioso. Contratación de Servicios IT en Régimen de Outsourcing. Administración de Perfiles, Usuarios y Privilegios. Desarrollo Seguro de Software.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Ejemplos de documentos de cada nivel Procedimientos: Alta o Baja de Usuarios en Entornos Críticos. Requisitos de Seguridad en el Desarrollo de Sistemas. Gestión de Peticiones de Seguridad. Gestión de Incidentes de Seguridad. Tercer nivel: Acceso Remoto VPN/SSL. Seguridad de Redes Wi-Fi. Seguridad de Redes VoIP. Seguridad de Terminales en Entorno Mainframe. Configuración Segura de Servidores Windows 2000.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Contenido de la Política Debe cubrir, al menos las siguientes áreas: Estaciones Pruebas Código malicioso Servidores de trabajo de intrusión Uso aceptable de Outsourcing Usuarios y Redes WI-FI e-mail e Internet y terceros privilegios Gestión de Formación y Gestión de Seguridad VoIP incidentes concienciación vulnerabilidades Programación Dispositivos Acceso remoto Entornos legacy segura de interconexión Análisis de Adquisición de Seguridad Líneas analógicas riesgos productos de CPDs Estrategia Uso de Nomenclatura Prevención de antispam portátiles de usuarios intrusiones
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Características de la organización La estructura y el contenido de la política dependen fuértemente de las características de la organización en el que se desarrolla. Un factor clave: el grado de madurez de los procesos de gestión IT. Las organizaciones con mayor madurez elaborarán un cuerpo normativo: Más ambicioso. Con requerimientos más específicos Centrado en la formalización de procesos y controles ya implantados. Las empresas con menor madurez en esta área comenzarán con: Una política de seguridad sencilla Fijando requisitos básicos. Esfuerzo en la definición de quick wins.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Características de la organización Estructura de la organización Líneas de negocio, presencia geográfica, estrategia IT, relevancia del Departamento de Seguridad en la organización, etc. Grado de dependencia de las Tecnologías de la Información. Relación con terceros Externalización de procesos o áreas (producción de software, gestión de dispositivos de red, seguridad), de perfiles funcionales (administradores de sistemas, consultores, auditores) o de servicios (tests de intrusión, monitorización de seguridad, DRP). Grado de conocimiento y concienciación de la Alta Dirección y de los usuarios finales en el área de seguridad IT.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Presentación del contenido El contenido debe ser sintético y centrado en los requisitos mínimos, sin descripciones superfluas que los justifiquen. Es frecuente cometer el error de introducir información relevante: Descripción del elemento, estructura o proceso al que aplica el requerimiento (features del software antivirus). Justificación del requerimiento (ventajas de la segregación de entornos en el proceso de producción de software). Propuesta para satisfacer el requerimiento (indicación de las fuentes de actualizaciones o parches de sistemas operativos).
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Participación de otros departamentos El contenido debe contrastarse con los departamentos afectados por cada uno de los documentos. Permite evaluar la dificultad de implantación de los requerimientos y adaptarlos a las características particulares de la organización. Como resultado de la interacción: Incorporación de nuevos requerimientos no previstos originalmente. Eliminación de requerimientos con un análisis coste-beneficio desfavorable o no aplicables. Simplificación del contenido. Definición conjunta de un roadmap para la imlementación de procesos o soluciones tecnológicas que satisfagan requerimientos críticos.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Ciclo de vida de los documentos Los documentos deben evolucionar para incrementar progresivamente el nivel de seguridad global. Si Política de Seguridad que permanece estática, no ha sido bien diseñada. Los documentos deben tener un carácter dinámico, con un incremento gradual del nivel de seguridad considerado aceptable. La frecuencia de cambio/revisión recomendados varía en función del tipo de documento. De esta manera se transforma progresivamente la organización, partiendo de un baseline o nivel inicial basadon en quick wins, que evoluciona hacia un modelo de seguridad cada vez más maduro.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Frecuencia de cambio y revisión Tercer nivel Deberían revisarse y actualizarse al menos una vez al año, o bien cuando se produzca un cambio significativo en los procesos o en la infraestructura tecnológica. Segundo nivel Deberían revisarse anualmente, con una frecuencia de cambio inferior: cambios en la estrategia de otros departamentos (Sistemas, Backup, Legal) o en la estructura organizativa (adquisiciones, outsourcing, insourcing). La declaración formal de la Alta Dirección sólo debería modificarse excepcionalmente.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Audiencia de los documentos El contenido debe tener en cuenta la audiencia objetivo: Personal técnico Personal de gestión Directores Usuarios Es un error escribir documentos con requisitos difíciles de asimilar, ambiguos, demasiado técnicos o demasiado generales. Para facilitar la comprensión del contenido, es recomendable incluir definiciones de términos sujetos a múltiples interpretaciones.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Política de excepcionamiento El inventariado de situaciones de excepción es una herrramienta útil para inventariar riesgos. En determinados casos no es posible cumplir un requerimiento, por limitaciones técnicas u otras causas justificadas. La política de excepcionamiento permite inventariar, monitorizar y gestionar estas situaciones a lo largo del tiempo. Permite a las áreas afectadas conseguir un permiso por parte del Departamento de Seguridad para incumplir el requerimiento. Primero se debe determinar que el coste o la complejidad asociada al cumplimiento es superior al beneficio obtenido, o bien requiere una inversión que no se puede realizar en la actualidad.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Política de excepcionamiento Es fundamental analizar en detalle cada situación de excepción antes de conceder un permiso para incumplir un requerimiento. El inventario de excepciones debería utilizarse como entrada a otros procesos, principalmente aquellos relacionados con el análisis de riesgos. Las excepciones se deben revisar periódicamente, para asegurarse de que la situación que originó la excepción se mantiene en la actualidad.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Clasificación de activos Los documentos debe tener en cuenta la clasificación de activos. Incluye sistemas, servicios, aplicaciones, bases de datos, documentos e instalaciones de la organización. Permite establecer diferentes requerimientos de seguridad en función de la criticidad del activo. De esta forma se consigue un nivel de seguridad mínimo consistente y uniforme a lo largo de la organización. El establecimiento de un criterio de clasificación coherente depende del conocimiento que la organización tiene acerca de sí misma.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Categorías de clasificación Se pueden emplear los siguientes criterios generales para la definición de las categorías de clasificación: Requerimientos de confidencialidad, integridad y disponibilidad de la información soportada por o contenida en el activo. Requerimientos legales y regulatorios (por ejemplo, SOX o LOPD). Criticidad del proceso de negocio asociado. Grado de exposición (entorno Internet, Intranet, Extranet, etc.).
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Evaluación de cumplimiento La Política de Seguridad debe estar respaldado por un proceso de auditoría periódico que verifica su cumplimiento. Dicho proceso permite verificar el grado de cumplimiento del mismo en las distintas áreas de la organización. Para cada requerimiento específico se debe indicar un procedimiento para verificar su cumplimiento y generar las correspondientes evidencias. Las evidencias pueden ser capturas de pantalla, informes automáticos, actas, autorizaciones firmadas o selladas, etc. Los resultados obtenidos tras la evaluación de cumplimiento deberían emplearse como entrada de otros procesos relacionados: Gestión del Riesgo CSA (Control Self-Assessment) Planes Directores
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN SANS Policy Project Este proyecto del Instituto SANS constituye un repositorio de políticas que puede faciltar la labor de creación de una Política de Seguridad. Se diferencian los tres niveles de documentos que se han indicado anteriormente en esta presentación. La directora del proyecto acumula años de experiencia en la definición e implantación de Políticas de Seguridad en múltiples organizaciones. 18 de los estándares incluidos en el proyecto deben ser cumplidos por organizaciones en el alcance de HIPPAA.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN SANS Policy Project Los estándares se organización en las siguientes categorías: Medidas administrativas Documented policies and procedures for day-to-day operations; managing the conduct of employees with electronic protected health information; and managing the selection, development, and use of security controls. Medidas físicas Security measures meant to protect an organization's electronic information systems, as well as related buildings and equipment, from natural hazards, environmental hazards, and unauthorized intrusion. Medidas tecnológicas Security measures that specify how to use technology to protect EPHI, particularly controlling access to it.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Ejemplo: Protección de Servidores Es un documento de segundo nivel que especifica lós requerimientos mínimos de seguridad aplicables a servidores. En este nivel no es relevante el tipo de servidor (Microsoft, UNIX, legacy). Dichos requerimientos se agrupan en las siguientes categorías: Instalación Gestión de usuarios Servicios de red Seguridad física Generación de logs Copias de respaldo
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Protección de Servidores: Instalación Se debe prescindir de la conectividad durante la instalación. En caso de llevar a cabo una instalación en red, se debe utilizar una red aislada. Se deben seleccionar exclusivamente aquellos paquetes de software necesarios para la prestación de los servicios que se han previsto. Toda configuración por defecto establecida por aplicaciones software que prestan servicios remotos debe ser adaptada al entorno del servidor. Se debe instalar un paquete reciente y estable de actualizaciones de seguridad recomendado por el fabricante del sistema operativo. Debe establecerse una contraseña de administrador robusta.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Protección de Servidores: Gestión de Usuarios Se deben instalar medidas de seguridad que garanticen la adecuación de las passwords de los usuarios a los criterios de complejidad obligatorios. El mecanismo de autenticación de usuarios debe contemplar medidas para bloquear intentos de acceso no autorizados y facilitar la detección de estos incidentes, limitando su efectividad. El conjunto de privilegios de que dispone un usuario en el sistema debe ser el mínimo necesario para el ejercicio de sus funciones. Cuando un usuario ya no necesite acceder al sistema para el ejercicio de sus funciones, se debe revocar su cuenta inmediatamente. La utilización de cuentas de usuarios reales (asociados a personas) para la ejecución de tareas automáticas está estrictamente prohibida.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Protección de Servidores: Servicios de red Sólo deben habilitarse aquellos servicios de red que permiten al sistema realizar las funciones para las que ha sido diseñado. Los servicios que intercambien datos críticos, credenciales o información confidencial deben comunicarse mediante protocolos seguros. El protocolo empleado debe estar basado en estándares de cifrado reconocidos por la industria.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Protección de Servidores: Seguridad física El sistema servidor debe alojarse en un emplazamiento apropiado. Cuando el sistema se migre o incorpore a un entorno de producción, preproducción o desarrollo, debe ubicarse en un CPD. Como parte del diseño, debe contemplarse la posibilidad de que el sistema sea reiniciado de manera accidental.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Protección de Servidores: Generación de logs El servidor debe disponer de un mecanismo de generación y almacenamiento de logs. Deben figurar los siguientes datos: fecha y hora, subsistema que genera el evento, criticidad, usuario (si aplica). Se deben registrar las siguientes categorías de eventos: Autenticación de usuarios, tanto local como remota Condiciones de error al arrancar servicios de red Condiciones de error en los procesos del sistema Condiciones de error en los sistemas de comunicaciones Órdenes de reinicio del sistema o de servicios de red Notificación de supresión de logs Los registros de log deben ser almacenados de forma segura durante un período de tiempo adecuado.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Protección de Servidores: Copias de respaldo Se deben realizar de forma periódica copias de respaldo de los datos relevantes almacenados en el servidor y del software propietario instalado, así como de sus datos de configuración. Las copias de respaldo deben almacenarse en un emplazamiento seguro y suficientemente alejado de los sistemas a los que corresponden. La frecuencia de realización de las copias está ligada a la frecuencia de actualización de la información que se copia y a la criticidad de los datos.
FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ¡Muchas gracias! Más información: http://www.rafaelsanmiguel.com SANS Policy Project http://www.sans.org

Recomendados

Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
Guiro Lin
 
Marco
MarcoMarco
Marco
marco080030557
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
libra-0123
 
Marco
MarcoMarco
Marco
marco080030557
 
Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticos
ydaleuporsiempre_16
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
Pdictseguridadinformaticapoliticas
Rogger Cárdenas González
 
Sgsi
SgsiSgsi
Sgsi
Alexander Velasque Rimac
 
POLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAPOLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICA
virgo13
 

Recomendados

Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
Guiro Lin
 
Marco
MarcoMarco
Marco
marco080030557
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
libra-0123
 
Marco
MarcoMarco
Marco
marco080030557
 
Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticos
ydaleuporsiempre_16
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
Pdictseguridadinformaticapoliticas
Rogger Cárdenas González
 
Sgsi
SgsiSgsi
Sgsi
Alexander Velasque Rimac
 
POLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICAPOLITICA DE SEGURIDAD INFORMATICA
POLITICA DE SEGURIDAD INFORMATICA
virgo13
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
Jessicakatherine
 
Gestion De Seguridad De La Red
Gestion De Seguridad De La RedGestion De Seguridad De La Red
Gestion De Seguridad De La Red
Randolph Avendaño
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informática
jason031988
 
Seguridad de la informacion 2
Seguridad de la informacion 2Seguridad de la informacion 2
Seguridad de la informacion 2
jose andres mendez
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógica
tecnodelainfo
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
dianalloclla
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Omar Rebollar Coatzin
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
Chenny3
 
Seguridad logica
Seguridad logicaSeguridad logica
Seguridad logica
jel_69
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)
Jesus Vilchez
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
Liliana Pérez
 
Seguridad en redes de computadores
Seguridad en redes de computadoresSeguridad en redes de computadores
Seguridad en redes de computadores
Manuel Carrasco Moñino
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
Bella Romero Aguillón
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
Ing. LucioJAP
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
DC FCP
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg tracking
sgtracking
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)
Gabriel Marcos
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
urquia
 
Sgsi
SgsiSgsi
Sgsi
Alexander Velasque Rimac
 

Más contenido relacionado

La actualidad más candente

SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
Jessicakatherine
 
Gestion De Seguridad De La Red
Gestion De Seguridad De La RedGestion De Seguridad De La Red
Gestion De Seguridad De La Red
Randolph Avendaño
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informática
jason031988
 
Seguridad de la informacion 2
Seguridad de la informacion 2Seguridad de la informacion 2
Seguridad de la informacion 2
jose andres mendez
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógica
tecnodelainfo
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
dianalloclla
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Omar Rebollar Coatzin
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
Chenny3
 
Seguridad logica
Seguridad logicaSeguridad logica
Seguridad logica
jel_69
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)
Jesus Vilchez
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
Liliana Pérez
 
Seguridad en redes de computadores
Seguridad en redes de computadoresSeguridad en redes de computadores
Seguridad en redes de computadores
Manuel Carrasco Moñino
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
Bella Romero Aguillón
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
Ing. LucioJAP
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
DC FCP
 

La actualidad más candente (18)

SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
 
Gestion De Seguridad De La Red
Gestion De Seguridad De La RedGestion De Seguridad De La Red
Gestion De Seguridad De La Red
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informática
 
Seguridad de la informacion 2
Seguridad de la informacion 2Seguridad de la informacion 2
Seguridad de la informacion 2
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Seguridad lógica
Seguridad lógicaSeguridad lógica
Seguridad lógica
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
 
Seguridad logica
Seguridad logicaSeguridad logica
Seguridad logica
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Seguridad en redes de computadores
Seguridad en redes de computadoresSeguridad en redes de computadores
Seguridad en redes de computadores
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
 

Similar a Políticas de Seguridad

Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg tracking
sgtracking
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)
Gabriel Marcos
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
urquia
 
Sgsi
SgsiSgsi
Sgsi
Alexander Velasque Rimac
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision Seguridad
Core One Information Technology SA de CV
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
VanessaCobaxin
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
Juan Francisco Rivas Figueroa
 
SEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICASSEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICAS
javierhrobayo
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Rodrigo Salazar Jimenez
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
AlonsoCid
 
LECCION 8..pptx
LECCION 8..pptxLECCION 8..pptx
LECCION 8..pptx
NanoNano70
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia
Fabián Descalzo
 
Politicas de seguridad informaticos
Politicas de seguridad informaticosPoliticas de seguridad informaticos
Politicas de seguridad informaticos
galactico_87
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
José Ignacio Huertas Fernández
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
Camilo Esteban
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
danny yunga
 
EvolucionInformacion_2022_EG_Spanish_January.pdf
EvolucionInformacion_2022_EG_Spanish_January.pdfEvolucionInformacion_2022_EG_Spanish_January.pdf
EvolucionInformacion_2022_EG_Spanish_January.pdf
JorgeCaal4
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
mia
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
Manuel Mujica
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
mrg30n301976
 

Similar a Políticas de Seguridad (20)

Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg tracking
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Sgsi
SgsiSgsi
Sgsi
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision Seguridad
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
SEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICASSEGURIDAD EN REDES INFORMÁTICAS
SEGURIDAD EN REDES INFORMÁTICAS
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
LECCION 8..pptx
LECCION 8..pptxLECCION 8..pptx
LECCION 8..pptx
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia
 
Politicas de seguridad informaticos
Politicas de seguridad informaticosPoliticas de seguridad informaticos
Politicas de seguridad informaticos
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
EvolucionInformacion_2022_EG_Spanish_January.pdf
EvolucionInformacion_2022_EG_Spanish_January.pdfEvolucionInformacion_2022_EG_Spanish_January.pdf
EvolucionInformacion_2022_EG_Spanish_January.pdf
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 

Más de Conferencias FIST

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
Conferencias FIST
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
Conferencias FIST
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
Conferencias FIST
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
Conferencias FIST
 
SAP Security
SAP SecuritySAP Security
SAP Security
Conferencias FIST
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
Conferencias FIST
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
Conferencias FIST
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
Conferencias FIST
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
Conferencias FIST
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
Conferencias FIST
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
Conferencias FIST
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
Conferencias FIST
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
Conferencias FIST
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
Conferencias FIST
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
Conferencias FIST
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
Conferencias FIST
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
Conferencias FIST
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
Conferencias FIST
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseConferencias FIST
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
Conferencias FIST
 

Más de Conferencias FIST (20)

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
 
SAP Security
SAP SecuritySAP Security
SAP Security
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
 

Último

mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
MiguelAtencio10
 
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
AMADO SALVADOR
 
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaCatalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
AMADO SALVADOR
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Festibity
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
cbtechchihuahua
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
larapalaciosmonzon28
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
larapalaciosmonzon28
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
NicandroMartinez2
 
IA en entornos rurales aplicada a la viticultura
IA en entornos rurales aplicada a la viticulturaIA en entornos rurales aplicada a la viticultura
IA en entornos rurales aplicada a la viticultura
Miguel Rebollo
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
KukiiSanchez
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
doctorsoluciones34
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
YashiraPaye
 
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
AMADO SALVADOR
 
Sitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajasSitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajas
paulroyal74
 
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaCatalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
AMADO SALVADOR
 
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Festibity
 
SISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsxSISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsx
tamarita881
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
larapalaciosmonzon28
 
TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....
TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....
TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....
bendezuperezjimena
 
Gabinete, puertos y dispositivos que se conectan al case
Gabinete, puertos y dispositivos que se conectan al caseGabinete, puertos y dispositivos que se conectan al case
Gabinete, puertos y dispositivos que se conectan al case
JuanaNT7
 

Último (20)

mantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptxmantenimiento de chasis y carroceria1.pptx
mantenimiento de chasis y carroceria1.pptx
 
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...
 
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaCatalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial Valencia
 
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdfProjecte Iniciativa TIC 2024 HPE. inCV.pdf
Projecte Iniciativa TIC 2024 HPE. inCV.pdf
 
Manual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputosManual de Soporte y mantenimiento de equipo de cómputos
Manual de Soporte y mantenimiento de equipo de cómputos
 
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfqedublogs info.docx asdasfasfsawqrdqwfqwfqwfq
edublogs info.docx asdasfasfsawqrdqwfqwfqwfq
 
Nuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsadNuevos tiempos, nuevos espacios.docxdsdsad
Nuevos tiempos, nuevos espacios.docxdsdsad
 
Refrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y ForzadoRefrigeradores Samsung Modo Test y Forzado
Refrigeradores Samsung Modo Test y Forzado
 
IA en entornos rurales aplicada a la viticultura
IA en entornos rurales aplicada a la viticulturaIA en entornos rurales aplicada a la viticultura
IA en entornos rurales aplicada a la viticultura
 
TIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololoTIC en educacion.rtf.docxlolololololololo
TIC en educacion.rtf.docxlolololololololo
 
Manual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputoManual de soporte y mantenimiento de equipo de cómputo
Manual de soporte y mantenimiento de equipo de cómputo
 
Inteligencia Artificial
Inteligencia ArtificialInteligencia Artificial
Inteligencia Artificial
 
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...
 
Sitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajasSitios web 3.0 funciones ventajas y desventajas
Sitios web 3.0 funciones ventajas y desventajas
 
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaCatalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador Valencia
 
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdfProjecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
Projecte Iniciativa TIC 2024 KAWARU CONSULTING. inCV.pdf
 
SISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsxSISTESIS RETO4 Grupo4 co-creadores .ppsx
SISTESIS RETO4 Grupo4 co-creadores .ppsx
 
Presentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre bloggerPresentación de Tic en educación y sobre blogger
Presentación de Tic en educación y sobre blogger
 
TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....
TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....
TODO SOBRE LA INFORMÁTICA, HISTORIA, ¿QUE ES?, IMPORTANCIA Y CARACTERISTICAS....
 
Gabinete, puertos y dispositivos que se conectan al case
Gabinete, puertos y dispositivos que se conectan al caseGabinete, puertos y dispositivos que se conectan al case
Gabinete, puertos y dispositivos que se conectan al case
 

Políticas de Seguridad

  • 1. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Introdución Estructura de la Política Contenido de la Política Consideraciones adicionales Evaluación de cumplimiento SANS Policy Project Ejemplo
  • 2. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Introducción La complejidad de las organizaciones y la dificultad para gestionar la infraestructura IT ha revelado la necesidad de establecer y uniformar requerimientos mínimos para el gobierno de dicha infraestructura. El cumplimiento de dichos requerimientos asegura la consecución de un nivel de riesgo aceptable en la organización. La Política de Seguridad de la organización especifica los requerimientos que deben satisfacerse para proteger los activos de información. La Política de Seguridad se traslada a una colección de documentos que abordan diferentes temas con diferente nivel de detalle (estructura). Los documentos se actualizan periódicamente, a medida que ocurren cambios significativos en la organización.
  • 3. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Introducción Para entender por qué es necesaria una Política de Seguridad, se pueden plantear las siguientes preguntas: ¿Qué medidas de seguridad existen actualmente en los servidores? ¿Es suficiente la configuración establecida para el antivirus? ¿Quién concede los accesos a los usuarios en los diferentes entornos? ¿Quién revoca dichos accesos cuando dejan de ser necesarios? ¿Cómo se protege la confidencialidad de la información en tránsito? ¿Cómo se gestionan los incidentes de seguridad? ¿Cómo se garantiza la seguridad de las relaciones con teceros? ¿Cómo se previene la fuga de información por parte de usuarios finales?
  • 4. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Introducción Las siguientes son situaciones clásicas en las organizaciones con una dependencia tecnológica notable: No se revocan los accesos de usuarios que ya no pertenecen a la organización o que han cambiado de departamento. Hay sistemas con contraseñas por defecto, en blanco o que no cumplen los requerimientos mínimos de complejidad. Los incidentes de seguridad se gestionan ad-hoc, involucrando a las personas que se consideran más apropiadas en cada caso. No se monitorizan los logs de los sistemas, por lo que muchos incidentes de seguridad pasan completamente desapercibidos. Las aplicaciones propietarias se desarrollan sin tener en cuenta la seguridad, en ocasiones por parte de terceros.
  • 5. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Estructura de la Política La organización clásica es piramidal en tres niveles, cada uno de los cuales presenta un formato y un nivel de detalle diferentes.
  • 6. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Estructura de la Política El primer nivel se compone de una declaración formal del compromiso de la organización con la protección de los activos de información. En este documento se señala el alcance y los objetivos de seguridad que se pretenden lograr con la implantación de la política. Es elaborado por la Alta Dirección y distribuida a todos los estratos de la compañía, a través de comunicaciones oficiales. No se incluye ningún detalle acerca de la forma de alcanzar los objetivos o el planteamiento concreto de los controles de seguridad.
  • 7. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Estructura de la Política En el segundo nivel se incluyen documentos que describen requerimientos generales en relación con cada una de las áreas o componentes del IT de la organización. Dichos requerimientos particularizan y articulan los objetivos indicados en el nivel anterior. Un caso particular de este nivel son los procedimientos, que especifican secuencias de pasos o circuitos en una determinada función IT. No deben confundirse con los manuales de instalación o administración de los elementos de la infraestructura tecnológica (howtos).
  • 8. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Estructura de la Política El tercer nivel está formado por una colección de documentos con requerimientos detallados o estándares. Los requerimientos aplican a componentes, estructuras o procesos individuales, que forman parte de los componentes, estructuras y procesos a los que se refieren los documentos del nivel anterior. Pueden especificar la configuración de un producto de seguridad, un checklist de opciones del SO o el criterio de evaluación de proveedores.
  • 9. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Ejemplos de documentos de cada nivel Primer nivel: Política Global de Seguridad. Segundo nivel: Elementos de Seguridad en Sistemas Servidor. Estrategia de Protección frente a Software Malicioso. Contratación de Servicios IT en Régimen de Outsourcing. Administración de Perfiles, Usuarios y Privilegios. Desarrollo Seguro de Software.
  • 10. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Ejemplos de documentos de cada nivel Procedimientos: Alta o Baja de Usuarios en Entornos Críticos. Requisitos de Seguridad en el Desarrollo de Sistemas. Gestión de Peticiones de Seguridad. Gestión de Incidentes de Seguridad. Tercer nivel: Acceso Remoto VPN/SSL. Seguridad de Redes Wi-Fi. Seguridad de Redes VoIP. Seguridad de Terminales en Entorno Mainframe. Configuración Segura de Servidores Windows 2000.
  • 11. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Contenido de la Política Debe cubrir, al menos las siguientes áreas: Estaciones Pruebas Código malicioso Servidores de trabajo de intrusión Uso aceptable de Outsourcing Usuarios y Redes WI-FI e-mail e Internet y terceros privilegios Gestión de Formación y Gestión de Seguridad VoIP incidentes concienciación vulnerabilidades Programación Dispositivos Acceso remoto Entornos legacy segura de interconexión Análisis de Adquisición de Seguridad Líneas analógicas riesgos productos de CPDs Estrategia Uso de Nomenclatura Prevención de antispam portátiles de usuarios intrusiones
  • 12. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Características de la organización La estructura y el contenido de la política dependen fuértemente de las características de la organización en el que se desarrolla. Un factor clave: el grado de madurez de los procesos de gestión IT. Las organizaciones con mayor madurez elaborarán un cuerpo normativo: Más ambicioso. Con requerimientos más específicos Centrado en la formalización de procesos y controles ya implantados. Las empresas con menor madurez en esta área comenzarán con: Una política de seguridad sencilla Fijando requisitos básicos. Esfuerzo en la definición de quick wins.
  • 13. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Características de la organización Estructura de la organización Líneas de negocio, presencia geográfica, estrategia IT, relevancia del Departamento de Seguridad en la organización, etc. Grado de dependencia de las Tecnologías de la Información. Relación con terceros Externalización de procesos o áreas (producción de software, gestión de dispositivos de red, seguridad), de perfiles funcionales (administradores de sistemas, consultores, auditores) o de servicios (tests de intrusión, monitorización de seguridad, DRP). Grado de conocimiento y concienciación de la Alta Dirección y de los usuarios finales en el área de seguridad IT.
  • 14. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Presentación del contenido El contenido debe ser sintético y centrado en los requisitos mínimos, sin descripciones superfluas que los justifiquen. Es frecuente cometer el error de introducir información relevante: Descripción del elemento, estructura o proceso al que aplica el requerimiento (features del software antivirus). Justificación del requerimiento (ventajas de la segregación de entornos en el proceso de producción de software). Propuesta para satisfacer el requerimiento (indicación de las fuentes de actualizaciones o parches de sistemas operativos).
  • 15. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Participación de otros departamentos El contenido debe contrastarse con los departamentos afectados por cada uno de los documentos. Permite evaluar la dificultad de implantación de los requerimientos y adaptarlos a las características particulares de la organización. Como resultado de la interacción: Incorporación de nuevos requerimientos no previstos originalmente. Eliminación de requerimientos con un análisis coste-beneficio desfavorable o no aplicables. Simplificación del contenido. Definición conjunta de un roadmap para la imlementación de procesos o soluciones tecnológicas que satisfagan requerimientos críticos.
  • 16. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Ciclo de vida de los documentos Los documentos deben evolucionar para incrementar progresivamente el nivel de seguridad global. Si Política de Seguridad que permanece estática, no ha sido bien diseñada. Los documentos deben tener un carácter dinámico, con un incremento gradual del nivel de seguridad considerado aceptable. La frecuencia de cambio/revisión recomendados varía en función del tipo de documento. De esta manera se transforma progresivamente la organización, partiendo de un baseline o nivel inicial basadon en quick wins, que evoluciona hacia un modelo de seguridad cada vez más maduro.
  • 17. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Frecuencia de cambio y revisión Tercer nivel Deberían revisarse y actualizarse al menos una vez al año, o bien cuando se produzca un cambio significativo en los procesos o en la infraestructura tecnológica. Segundo nivel Deberían revisarse anualmente, con una frecuencia de cambio inferior: cambios en la estrategia de otros departamentos (Sistemas, Backup, Legal) o en la estructura organizativa (adquisiciones, outsourcing, insourcing). La declaración formal de la Alta Dirección sólo debería modificarse excepcionalmente.
  • 18. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Audiencia de los documentos El contenido debe tener en cuenta la audiencia objetivo: Personal técnico Personal de gestión Directores Usuarios Es un error escribir documentos con requisitos difíciles de asimilar, ambiguos, demasiado técnicos o demasiado generales. Para facilitar la comprensión del contenido, es recomendable incluir definiciones de términos sujetos a múltiples interpretaciones.
  • 19. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Política de excepcionamiento El inventariado de situaciones de excepción es una herrramienta útil para inventariar riesgos. En determinados casos no es posible cumplir un requerimiento, por limitaciones técnicas u otras causas justificadas. La política de excepcionamiento permite inventariar, monitorizar y gestionar estas situaciones a lo largo del tiempo. Permite a las áreas afectadas conseguir un permiso por parte del Departamento de Seguridad para incumplir el requerimiento. Primero se debe determinar que el coste o la complejidad asociada al cumplimiento es superior al beneficio obtenido, o bien requiere una inversión que no se puede realizar en la actualidad.
  • 20. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Política de excepcionamiento Es fundamental analizar en detalle cada situación de excepción antes de conceder un permiso para incumplir un requerimiento. El inventario de excepciones debería utilizarse como entrada a otros procesos, principalmente aquellos relacionados con el análisis de riesgos. Las excepciones se deben revisar periódicamente, para asegurarse de que la situación que originó la excepción se mantiene en la actualidad.
  • 21. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Clasificación de activos Los documentos debe tener en cuenta la clasificación de activos. Incluye sistemas, servicios, aplicaciones, bases de datos, documentos e instalaciones de la organización. Permite establecer diferentes requerimientos de seguridad en función de la criticidad del activo. De esta forma se consigue un nivel de seguridad mínimo consistente y uniforme a lo largo de la organización. El establecimiento de un criterio de clasificación coherente depende del conocimiento que la organización tiene acerca de sí misma.
  • 22. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Categorías de clasificación Se pueden emplear los siguientes criterios generales para la definición de las categorías de clasificación: Requerimientos de confidencialidad, integridad y disponibilidad de la información soportada por o contenida en el activo. Requerimientos legales y regulatorios (por ejemplo, SOX o LOPD). Criticidad del proceso de negocio asociado. Grado de exposición (entorno Internet, Intranet, Extranet, etc.).
  • 23. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Evaluación de cumplimiento La Política de Seguridad debe estar respaldado por un proceso de auditoría periódico que verifica su cumplimiento. Dicho proceso permite verificar el grado de cumplimiento del mismo en las distintas áreas de la organización. Para cada requerimiento específico se debe indicar un procedimiento para verificar su cumplimiento y generar las correspondientes evidencias. Las evidencias pueden ser capturas de pantalla, informes automáticos, actas, autorizaciones firmadas o selladas, etc. Los resultados obtenidos tras la evaluación de cumplimiento deberían emplearse como entrada de otros procesos relacionados: Gestión del Riesgo CSA (Control Self-Assessment) Planes Directores
  • 24. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN SANS Policy Project Este proyecto del Instituto SANS constituye un repositorio de políticas que puede faciltar la labor de creación de una Política de Seguridad. Se diferencian los tres niveles de documentos que se han indicado anteriormente en esta presentación. La directora del proyecto acumula años de experiencia en la definición e implantación de Políticas de Seguridad en múltiples organizaciones. 18 de los estándares incluidos en el proyecto deben ser cumplidos por organizaciones en el alcance de HIPPAA.
  • 25. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN SANS Policy Project Los estándares se organización en las siguientes categorías: Medidas administrativas Documented policies and procedures for day-to-day operations; managing the conduct of employees with electronic protected health information; and managing the selection, development, and use of security controls. Medidas físicas Security measures meant to protect an organization's electronic information systems, as well as related buildings and equipment, from natural hazards, environmental hazards, and unauthorized intrusion. Medidas tecnológicas Security measures that specify how to use technology to protect EPHI, particularly controlling access to it.
  • 26. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Ejemplo: Protección de Servidores Es un documento de segundo nivel que especifica lós requerimientos mínimos de seguridad aplicables a servidores. En este nivel no es relevante el tipo de servidor (Microsoft, UNIX, legacy). Dichos requerimientos se agrupan en las siguientes categorías: Instalación Gestión de usuarios Servicios de red Seguridad física Generación de logs Copias de respaldo
  • 27. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Protección de Servidores: Instalación Se debe prescindir de la conectividad durante la instalación. En caso de llevar a cabo una instalación en red, se debe utilizar una red aislada. Se deben seleccionar exclusivamente aquellos paquetes de software necesarios para la prestación de los servicios que se han previsto. Toda configuración por defecto establecida por aplicaciones software que prestan servicios remotos debe ser adaptada al entorno del servidor. Se debe instalar un paquete reciente y estable de actualizaciones de seguridad recomendado por el fabricante del sistema operativo. Debe establecerse una contraseña de administrador robusta.
  • 28. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Protección de Servidores: Gestión de Usuarios Se deben instalar medidas de seguridad que garanticen la adecuación de las passwords de los usuarios a los criterios de complejidad obligatorios. El mecanismo de autenticación de usuarios debe contemplar medidas para bloquear intentos de acceso no autorizados y facilitar la detección de estos incidentes, limitando su efectividad. El conjunto de privilegios de que dispone un usuario en el sistema debe ser el mínimo necesario para el ejercicio de sus funciones. Cuando un usuario ya no necesite acceder al sistema para el ejercicio de sus funciones, se debe revocar su cuenta inmediatamente. La utilización de cuentas de usuarios reales (asociados a personas) para la ejecución de tareas automáticas está estrictamente prohibida.
  • 29. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Protección de Servidores: Servicios de red Sólo deben habilitarse aquellos servicios de red que permiten al sistema realizar las funciones para las que ha sido diseñado. Los servicios que intercambien datos críticos, credenciales o información confidencial deben comunicarse mediante protocolos seguros. El protocolo empleado debe estar basado en estándares de cifrado reconocidos por la industria.
  • 30. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Protección de Servidores: Seguridad física El sistema servidor debe alojarse en un emplazamiento apropiado. Cuando el sistema se migre o incorpore a un entorno de producción, preproducción o desarrollo, debe ubicarse en un CPD. Como parte del diseño, debe contemplarse la posibilidad de que el sistema sea reiniciado de manera accidental.
  • 31. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Protección de Servidores: Generación de logs El servidor debe disponer de un mecanismo de generación y almacenamiento de logs. Deben figurar los siguientes datos: fecha y hora, subsistema que genera el evento, criticidad, usuario (si aplica). Se deben registrar las siguientes categorías de eventos: Autenticación de usuarios, tanto local como remota Condiciones de error al arrancar servicios de red Condiciones de error en los procesos del sistema Condiciones de error en los sistemas de comunicaciones Órdenes de reinicio del sistema o de servicios de red Notificación de supresión de logs Los registros de log deben ser almacenados de forma segura durante un período de tiempo adecuado.
  • 32. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Protección de Servidores: Copias de respaldo Se deben realizar de forma periódica copias de respaldo de los datos relevantes almacenados en el servidor y del software propietario instalado, así como de sus datos de configuración. Las copias de respaldo deben almacenarse en un emplazamiento seguro y suficientemente alejado de los sistemas a los que corresponden. La frecuencia de realización de las copias está ligada a la frecuencia de actualización de la información que se copia y a la criticidad de los datos.
  • 33. FIST Conferences Consejo Superior de Investigaciones Científicas Febrero de 2007 POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ¡Muchas gracias! Más información: http://www.rafaelsanmiguel.com SANS Policy Project http://www.sans.org