Capitulo 2. Políticas, Planes y Procedimientos de seguridad.

Documentos relacionados
Seguridad y Competencias Profesionales Tema 2: Introducción a la Seguridad

6. Políticas, planes y procedimientos de seguridad

Seguridad. Centro Asociado de Melilla

Sistema de Gestión de la Calidad VAF Vicerrectoría Administrativa y Financiera SEGURIDAD INFORMÁTICA

ANEXO E Gestión de roles y responsabilidades

- NS/08 - Protección de la información clasificada OTAN manejada en sistemas de información y comunicaciones (CIS)

El resultado de aprendizaje supone el 78,72 % de la evaluación y el 35,60 % del total del módulo ACTIVIDADES QUE PERMITEN COMPROBAR SU

Contibución del Sector Privado de Tecnologías de la Información al Desarrollo de la Información y el Gobierno Electrónico.

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Actualmente Aserpinto necesita mantener la siguiente infraestructura:

HOJA DE CONTROL DE CAMBIOS EN LA NORMATIVA INTERNA DE EP PETROECUADOR

POLITICAS DE SEGURIDAD DE LA INFORMACION PARA PROVEEDORES Y CONTRATISTAS GESTION TECNOLOGICA Y DISEÑO

Aplica para todas las sedes de la Universidad de Santander.

Tecnología hardware y software

UC0978_2 Gestionar el archivo en soporte convencional e informático

Manual de Funciones: Tecnologías de Información y Comunicación - CZS5. ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores

CompTIA A+: Instalación, Mantenimiento y Reparación de PCs

6Razones para externalizar

PLAN de CONTINGENCIA que GARANTICE la. CONTINUIDAD del SERVICIO

Índice INTRODUCCIÓN...13

1.4.1 Inicio de la computadora por primera vez Hay problemas Causas, síntomas y soluciones a posibles averías...

Programación en lenguajes estructurados de aplicaciones de gestión. Código: J62.13 Nivel: 3

IMPLANTACIÓN DE SISTEMAS OPERATIVOS

MÓDULO VIII. La Auditoría Informática en el entorno del Compliance. 27 de Marzo de 2017 Curso Superior en Corporate Compliance.

Medidas de seguridad nivel Alto

RESOLUCION DE LA OFICINA DE ADMINISTRACION Y FINANZAS Nº SERVIR-OAF

Anexo A Política de Seguridad

Base7Germany GmbH. Anexo 1 Medidas técnicas y organizativas

Contenido. Este documento impreso se considera copia no controlada

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

Qué es la seguridad informática?

Técnico en Copias de Seguridad

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

10. NORMAS DE USO DEL SISTEMA INFORMÁTICO DE LA JUNTA GENERAL

Mesa de Servicio de Soporte en Informática (MESSI) Servicios de Salud del Estado de Puebla. Enero de 2013

REDES II Curso: 6to año, segundo ciclo de ETP Profesor: Gabriel Kurincic Programa Colegio Provincial Dr. Ernesto Guevara UNIDAD 1

MANUAL DE ORGANIZACION

Servicio de Informática Vicerrectorado de Tecnologías de la Información y la Comunicación

Postgrado en Redes Locales: Instalación y Monitorización

PROPÓSITOS. Tecnicatura en Informática Profesional y Personal [ 1 ] UNIDAD 10

SEGURIDAD INFORMATICA. Vulnerabilidades

UD 3: Implantación de técnicas de seguridad remoto. Seguridad perimetral.

Razones para externalizar

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

NORMAS PARA TRABAJAR FUERA DE LAS INSTALACIONES

PLIEGO DE CLÁUSULAS TÉCNICAS QUE HAN DE REGIR LA CONTRATACIÓN DEL SUMINISTRO DE LOS EQUIPOS NECESARIOS E IMPLANTACIÓN DE UNA SOLUCIÓN

REVISIÓN DE LA OPERACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA

Anexo Acuerdo de Nivel de Servicio: Atención a Usuarios CSU Gestión de Nivel de Servicio

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

Curso Especializado Seguridad Informática GNU/LINUX

Normas de Seguridad. Normativa de generación de copias de seguridad y recuperación de información

POLÍTICA DE SEGURIDAD EN LA CONTINUIDAD DE LAS OPERACIONES P-17 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

AUDITORÍA SUPERIOR DEL ESTADO PLAN ANUAL DE TRABAJO 2014

Sistemas Operativos en Red

BOLETÍN OFICIAL DEL ESTADO

Índice. agradecimientos introducción...15

1- RESULTADOS DE APRENDIZAJE Y CRITERIOS DE EVALUACIÓN

Unidad 5.Contratación de Bienes y Servicios Informáticos 5.1 Introducción

Normas de Seguridad. Normativa de protección de equipos frente a código dañino

POLÍTICAS DE DEFENSA EN PROFUNDIDAD: - DEFENSA PERIMETRAL. - DEFENSA INTERNA. - FACTOR HUMANO. Luis Villalta Márquez

Organización de la infraestructura en centros de datos 1. Introducción a los centros de datos 2. Estructura habitual

ADMINISTRACIÓN HADWARE EN UN SISTEMA INFORMÁTICO

Y LA INFRAESTRUCTURA INFORMÁTICA DELASECRETARÍA GENERAL DE GOBIERNO,ASÍ COMO GARANTIZAR LA CONTINUIDAD DE LOS SERVICIOS QUE SE

COPIAS DE RESPALDO INFORMÁTICO (BACKUP) PSPB-420-X-PR-001 5

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

REGLAMENTO INTERNO PARA EL USO DE EQUIPO DE CÓMPUTO, INTERNET Y CORREO ELECTRONICO

Soluciones Tecnológicas Integrales

SEGURIDAD, NUEVOS RETOS

Paquete de documentos sobre ISO 27001

DOCUMENTO DE SEGURIDAD DEL FICHERO DE DATOS MÉDICOS

UNIDAD DE INFORMÁTICA

Curso de Técnico en Servidores y Redes - Administrador de Redes Nivel Medio Windows Server

Serveis Informàtics i Tecnològics de les Illes Balears

Mantenimiento de Electrónica de Red Pliego de Bases Técnicas

FORMULARIO COMERCIAL DE SOLICITUD DE INFORMACIÓN

SERVICIOS PREVENTIVOS

Nuestra visión. Quiénes Somos. Misión

31/10/2007 INTRODUCCIÓN. LA AUDITORÍA FÍSICA Ing. Laura Bazán Díaz LA SEGURIDAD FÍSICA ANTES

Administrador del Proceso/Responsable(s) del proceso, responsabilidad y autoridad Usuario y proveedor del proceso Entradas y salidas

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE SERVICIOS DE MANTENIMIENTO HARDWARE DE EQUIPOS INFORMATICOS CON DESTINO A LA ADMINISTRACIÓN

CUADRO RESUMEN MEDIDAS DE SEGURIDAD

CONTROL DE DOCUMENTOS Y REGISTROS

MANUAL DEL PROCESO ANÁLISIS, DESARROLLO E IMPLEMENTACIÓN DE SISTEMAS

Por: Andrés Veyrat Marqués de Manaca Consulting, S.L.

SEGURIDAD EN EL TRASLADO DE EXPEDIENTES MANUALES

POLITICA DE SEGURIDAD DE LA INFORMACION

MEMORIA DE GESTIÓN, 2004

Código: J63.01 Nivel: 3. Actividades de servicios de información. Tecnología hardware y software

POLITICAS Y SEGURIDAD DE LA INFORMACION


Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

El servicio a tu medida. Sage Eurowin

Procedimientos de Respaldo y Recuperación

Dirección y Gerencia

Álvaro Gómez Vieites

Objetivo. Política de Seguridad con Proveedores

Políticas de continuidad del servicio: Planes de Contingencia

Transcripción:

Capitulo 2 Políticas, Planes y Procedimientos de seguridad.

2.1 Introducción y Conceptos Básicos Política de Seguridad: Declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran. Plan de seguridad: Conjunto de decisiones que definen los curos de acción futuros, asi como los medios que se van a utilizar para conseguirlos. Procedimiento de Seguridad: Definición detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas.

2.2 Definición e implementación de las políticas de seguridad Conjunto de normas y procedimientos establecidos por una organización para regular el uso de la información y de los sistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma. Sin embargo, se puede incurrir en una falsa sensación de seguridad si las políticas de seguridad no se han implementado correctamente en toda la organización.

2.3 Inventario de los recursos y definición de los servicios ofrecidos La implementación de los distintos elementos de las políticas de seguridad requiere de un inventario previo y del mantenimiento de un registro actualizado de los recursos del sistema informático de la organización: equipamiento hardware y de comunicaciones, software, datos documentación, mensuales, consumibles, etcétera. Asimismo, será necesario identificar los distintos puntos de acceso a la red y los tipos de conexiones utilizadas.

2.4 Seguridad frente al personal La política de seguridad del sistema informático frente al personal de la organización requiere contemplar los siguientes aspectos: 1. Alta de empleados 2. Baja de empleados 3. Funciones, obligaciones y derechos de los usuarios 4. Formación y sensibilización de los usuarios.

2.5 Adquisición de productos La política de seguridad relacionada con la adquisición de productos tecnológicos necesarios para el desarrollo y el mantenimiento del sistema informático de la organización debe contemplar una serie de actividades ligadas al proceso de compra. Todas estas actividades deberán ser incluida en una guía de compras y evaluación de productos TIC, para garantizar que éstos satisfacen las características de seguridad definida por la organización. Por otra parte, antes de vender p deshacerse de equipos propios, la empresa se encargara de borrar de forma segura todos los datos y aplicaciones que estos contienen.

2.6 Relación con proveedores En la Política de Relación con Proveedores se deberían estipular las clausulas y exigencias habituales de la firma de contratos con los proveedores, a fin de delimitar las responsabilidades y requisitos del servicio contratado.

2.7 Seguridad física de las instalaciones Las medidas relacionadas con la seguridad física deberían contemplar, en primer lugar, las características de construcción de los edificios o instalaciones donde se vayan a ubicar los recursos informáticos y del sistema de información, analizando aspectos como la selección de los elementos constructivos internos más adecuados, para cumplir con el máximo nivel de protección exigido por la normativa de construcción.

2.8 Sistemas de protección electrónica Las directrices de seguridad relacionadas con la protección electrónica de los equipos informáticos deben cumplir con aspectos como: 1. Adecuada conexión de los equipos altos toma tierra 2. Revisión de las instalaciones eléctricas 3. Eliminación de la electricidad estática en las salas donde se ubiquen los equipos mas importantes, como los servidores.

2.9 Control del nivel de emisiones electromagnéticas Todos los equipos informáticos y electrónicos emiten señales radioelectrónicas que podrían revelar informaciones interés a aquellos usuarios con los medios para interceptar y analizar dichas señales. Para ellos, bastaría con una antena direccional, amplificadores y equipos de radiofrecuencia conectados a un ordenador.

2.10 Vigilancia a la red y de los elementos de conectividad Los dispositivos de red como los hubs, switches, routers o puntos de acceso inalámbricos, podrían facilitar el acceso a la red a los usuarios no autorizados si no se encuentran protegidos de forma adecuada.

2.11 Protección en el acceso y configuración de los servidores Los servidores debido a su importancia para el correcto funcionamiento de muchas aplicaciones y servicios de la red de la organización y a que suelen incorporar información sensible, tendrían que estar sometidos a mayores medidas de seguridad en comparación con los equipos de los usuarios.

2.12 Seguridad en los dispositivos de almacenamiento Como los discos duros pueden tener fallos provocados por los sistemas mecánicos que los componen, se utilizan los sistemas RAID para mejorar la tolerancia a fallos y la disponibilidad de los medios de almacenamiento.

2.13 Protección de los equipos y estaciones de trabajo En estos equipos solo se deberían utilizar las herramientas corporativas quedando totalmente prohibida la instalación de otras aplicaciones software en los ordenadores PC de la empresa por parte de sus usuarios.

2.14 Control de los equipos que pueden salir de la organización Las políticas de seguridad deberían prestar atención al control de los equipos que pueden salir de la organización. Los usuarios de estos equipos deben ser consientes de sus obligaciones y responsabilidades en relación con la seguridad de los datos y las aplicaciones instaladas.

2.15 Copias de seguridad Por copia de respaldo o de seguridad (backup) se entiende una copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

2.16 Control de la seguridad de impresoras y otros dispositivos periféricos. Las impresoras y otros dispositivos periféricos también pueden manejar información sensible de la organización, por lo que su seguridad debería ser contemplada a la hora de definir e implementar las políticas de seguridad.

2.17 Gestión de soporte informático La organización debería de disponer de un inventario actualizado de los soportes donde se guarden datos y documentos sensibles: discos duros externos, CDs, DVDs, pendrives, etcétera.

2.18 Gestión de cuentas de usuario La gestión de cuentas de usuario constituye un elemento fundamental dentro de las políticas se seguridad de la organización, ya que de ella dependerá el correcto funcionamiento de otras medidas y directrices de seguridad como el control de acceso lógico a los recursos o el registro de la actividad de los usuarios.

2.19 Identificación y Autentificación de usuarios La organización debe disponer de una relación autorizada de usuarios que tienen acceso autorizado a los recursos de su Sistema de Información, estableciendo determinados procedimientos de identificación y autentificación para dicho proceso.

2.20 Autorización y control de acceso lógico La organización debe establecer determinados mecanismos para evitar que un usuario, equipo, servicio o aplicación informática pueda acceder a datos o recursos con derechos distintos de los autorizados.

2.21 Monitorización de los servidores y dispositivos de la red La monitorización del estado y del rendimiento de los servidores y dispositivos de red constituyen una medida fundamental que deberían estar prevista por las Políticas de Seguridad, con el objetivo de facilitar la detección de usos no autorizados, situaciones anómalas o intentos de ataques contra recursos.

2.22 Protección de datos y de documentos sensibles La política de seguridad relacionada con la protección de datos debe contemplar en primer lugar la calificación de los documentos y los datos de la organización atendiendo a su nivel de confidencialidad.

2.23 Seguridad en las conexiones remotas En las Políticas de Seguridad relativa a las conexiones remotas deberían estar incluidas en las medidas necesarios para garantizar la seguridad en las conexiones con las delegaciones y otras dependencias de la organización, asi como la seguridad en los equipos clientes remotos que deseen acceder a los servicios informáticos centrales de la organización.

2.24 Detección y respuestas ante incidentes de seguridad La organización debería de definir un procedimiento de notificación y gestión de incidencias, de tal modo que se puedan realizar una serie de actividades previamente especificadas para controlar y limitar el impacto del incidente.

2.25 Otros aspectos a considerar Seguridad en el desarrollo, implementación y mantenimiento de aplicaciones informáticas. Seguridad de las operaciones de administración y mantenimiento de la red y los equipos Creación, manejo y almacenamiento de documentos relacionados con la seguirdad del sistema informático Cumplimiento de la legislación vigente Actualización y revisión de las medidas de seguridad.

2.26 Realización de pruebas y auditorias periódicas La realización de pruebas y auditorias periódicas de seguridad constituyen un elemento de gran importancia para poder comprobar la adecuada implementación de las directrices medidas definidas en las Políticas de Seguridad.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback