Medidas de seguridad: - Política de seguridad. - Seguridad activa y Seguridad pasiva. Luis Villalta Márquez

Documentos relacionados
SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

NORMA DE AUDITORÍA 260 COMUNICACIONES DE ASUNTOS DE AUDITORÍA CON LOS ENCARGADOS DEL MANDO (GOBIERNO CORPORATIVO) CONTENIDO

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

RESPONSABILIDADES DE LA DIRECCIÓN

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

Sistema de Gestión de la Calidad SGC

PBS 8 Gestión de Riesgos y Controles Internos

FOMENTO CULTURA DEL AUTOCONTROL OFICINA DE CONTROL INTERNO

Resumen Ejecutivo. Generar ahorros a través de mejores prácticas ambientales

Ing. José Luis Alfonso Barreto & Jorge Luis Blanco Ramos

PROCESO DE CALIDAD PARA LOS RECURSOS HUMANOS PC DF 04

POLÍTICA DE SEGURIDAD Y SALUD OCUPACIONAL, PROTECCIÓN Y MEDIO AMBIENTE (HSSE)

Auditoría de Tecnologías de la Información

MANUAL DEL SISTEMA INTEGRADO DE GESTION ISO 9001:2008 Y OHSAS 18001:2007 CAPITULO V

Requerimientos de Software

PROCEDIMIENTO DE ACCIONES CORRECTIVAS, PREVENTIVAS Y DE MEJORA

Norma ISO 9001:2000. Espacio empresarial Ltda.

FUNCIONES BÁSICAS DE LA GERENCIA DE PROYECTOS

La Empresa. PSST Control Operacional de la SST Norma OHSAS 18001:2007

Subgerente de Finanzas y Administración. Nombre del puesto: Subgerente de Finanzas y Administración. Objetivo del puesto

Metodología para implantación de AZDigital

L/O/G/O Tema: Integrantes:

Lineamientos para el uso de equipo de cómputo

Sistema de Gestión Ambiental ISO Luis Antonio González Mendoza Luis E. Rodríguez Gómez

MODELO Y SISTEMA DE GESTIÓN DE LA I+D+i

Comisión de Auditoría. Propuesta de Política Control y Gestión de Riesgos Madrid, 23/02/2016

M.A. Marco Antonio Rosales Admon. Moderna. Reyes A. Fundamentos de Administración, Koonts H.

Elementos vulnerables en el sistema informático: hardware, software y datos. Luis Villalta Márquez

Seguridad Informática Mitos y Realidades

CONTROL INTERNO - EL INFORME COSO

Maxefi Consultores SC

Emergencias Brigadas de Emergencia ARL

Política de Seguridad de la Información de ACEPTA. Pública

Gestión de riesgos: Abarca todas las actividades encaminadas a proporcionar un nivel de seguridad adecuado en las tecnologías de la información.

Normas ISO 9000 y Calidad y Control de Calidad

Administración del riesgo en las AFP

ISO 9004:2009: Gestión del éxito sostenido de una organización. Un enfoque de gestión de la calidad

PROCEDIMIENTO DE ACCIONES CORRECTIVAS Y PREVENTIVAS

GESTIÓN POR COMPETENCIAS

HIGIENE Y SEGURIDAD DEL TRABAJO OCUPACIONAL ERGONOMÍA DEL TRABAJO MEDIDAS HIGIÉNICAS PARA LA MANIPULACIÓN Y CONSERVACIÓN DE ALIMENTOS

MANUAL DE ORGANIZACIÓN DE LA OFICINA DE ACCESO A LA INFORMACION

Sistema Integrado de Gestión INSTRUCTIVO PARA LA REALIZACIÓN DE COPIAS DE SEGURIDAD

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO CONTROL DE REGISTROS

Seguridad Informática

La cultura del Control. Jorge Iván Hincapié Gómez Control Interno Indeportes Antioquia Mayo 22 de 2014

Seguridad Informática en Bibliotecas

Cómo desarrollar una Arquitectura de Red segura?

UNIVERSIDAD DE CÓRDOBA

PLANEACIÓN ESTRATEGICA APLICADA PEA-

Soluciónes de última tecnología para todo tipo de empresas y en todo lugar. Portafolio de servicios IKC-V.0.1

REGLAMENTO INTERNO PARA EL USO DE EQUIPO DE CÓMPUTO, INTERNET Y CORREO ELECTRONICO

ORGANIZACIÓN, IMPLEMENTACIÓN Y CONTROL DE MARKETING. Omar Maguiña Rivero

3.- RESPONSABILIDADES

PROCESO COMUNICACIÓN INSTITUCIONAL PROCEDIMIENTO COMUNICACIÓN INTERNA

ESTÁNDAR DE COMPETENCIA. Mantenimiento a equipo de cómputo y software

RAFAEL ANGEL H Y CIA LTDA MANUAL DE POLITICAS Y PROCEDIMIENTOS DE PRIVACIDAD

NORMA INTERNACIONAL DE AUDITORIA 260

PROCEDIMIENTO PARA LA GESTIÓN DE LOS RIESGOS

Ampliación de las funciones docentes:

MANUAL DE POLÍTICA CONTROL DE LICENCIAS DE SOFTWARE

Ética en la gestión del negocio

2. LA IMPORTANCIA QUE TIENE EL BSC EN UNA ORGANIZACIÓN

Oficina Control Interno

PROJECT MANAGEMENT OFFICE

ESTATUTO DE AUDITORÍA INTERNA DE BANCA MARCH

Autoevaluación del liderazgo en materia de SST

ESTRUCTURA ORGANIZACIONAL EP PETROECUADOR

Sistema de Gestión en Seguridad y Salud en Construcciones El Condor S.A. Agosto 28 de 2014

COSO Marco de referencia para un adecuado Sistema de Control Interno

PO-1TI-001. Código: Versión: Elaborado por: - Gerencia de IT. Página: Revisado por: - Gerencia de IT. Page 1 of 5

PROCEDIMIENTO OPERATIVO ELABORACION DE LAS FICHAS DE SEGURIDAD DE LOS PUESTOS DE TRABAJO DPMPO06

Establecimiento de los objetivos y las estrategias de los beneficios

CÁMARA DE COMERCIO DE BOGOTÁ POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES

Procedimiento para la Gestión del Clima Laboral

LEVANTAMIENTO DE PROCEDIMIENTOS. Nombre del proceso origen: MEJORA CONTINUA Nombre del procedimiento: ACCIONES CORRECTIVAS, PREVENTIVAS Y DE MEJORA

Q.1. Cuál es la función del Intermediario Presentador?

La etapa de Ejecución

INFORME ANUAL SOBRE LA EVALUACION DEL SISTEMA DE CONTROL INTERNO

PROCEDIMIENTO DE RESPALDO y RECUPERACION DE DATOS DE LA INFRAESTRUCTURA TECNOLÓGICA

Criterios con el que los estados regularán los documentos y archivos electrónicos:

POLÍTICA SISTEMA DE GESTIÓN INTEGRADO

Creación de un CSIRT

La Evaluación Financiera de Proyectos de Informática

REGLAMENTO GENERAL DE SEGURIDAD PARA EL USO DE LOS TALLERES Y LABORATORIOS DE LA UNIVERSIDAD DEL AZUAY

Procedimiento para Gestión de Mejora

REGLAMENTO DE DISTRIBUCIÓN Y COMERCIALIZACIÓN

2.Introducción a la seguridad

Norma Técnica de Administración por Procesos y Prestación de Servicios. Registro Oficial Nro. 739

ACTIVIDAD: Control de Lectura # 1: Benchmarking para Competir con Ventaja Por: Roberto J. Boxwell. MATERIA: Ingeniería de Software.

Capítulo XIV. Seguridad de la Información

Interpretación Resultados Evaluación MECI Vigencia 2014

Manual para el Funcionamiento Interno de La Oficina de Acceso a la Información Pública

1.2.2 BUSINESS PROCESS MANAGEMENT (BPM).

POLÍTICA DE MGS. Fecha 23/09/2016 Versión 5 Tipo de documento POLÍTICA

SISTEMA DE CONTROL INTERNO GENERALIDADES.

Norma ISO 9001:2015 Cambios en el SGC y Beneficios FORCAL-PO

PROCEDIMIENTO DE IDENTIFICACIÓN Y SEGUIMIENTO DE REQUISITOS LEGALES Y DE OTRA INDOLE CÓDIGO: S-P-12 SISTEMA DE GESTIÓN INTEGRAL

M. I. Fernando Macedo Chagolla

Guía Gobierno Corporativo

Transcripción:

Medidas de seguridad: - Política de seguridad. - Seguridad activa y Seguridad pasiva. Luis Villalta Márquez

Introducción a la seguridad Los riesgos, en términos de seguridad, se caracterizan por lo general mediante la siguiente ecuación. La amenaza representa el tipo de acción que tiende a ser dañina, mientras que la vulnerabilidad (conocida a veces como falencias (flaws) o brechas (breaches)) representa el grado de exposición a las amenazas en un contexto particular. Finalmente, la contramedida representa todas las acciones que se implementan para prevenir la amenaza. Las contramedidas que deben implementarse no sólo son soluciones técnicas, sino también reflejan la capacitación y la toma de conciencia por parte del usuario, además de reglas claramente definidas. Para que un sistema sea seguro, deben identificarse las posibles amenazas y por lo tanto, conocer y prever el curso de acción del enemigo. Por tanto, el objetivo de este informe es brindar una perspectiva general de las posibles motivaciones de los hackers, categorizarlas, y dar una idea de cómo funcionan para conocer la mejor forma de reducir el riesgo de intrusiones.

Objetivos de la seguridad informática Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos. Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto. La seguridad informática se resume, por lo general, en cinco objetivos principales: Integridad: garantizar que los datos sean los que se supone que son Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información Evitar el rechazo: garantizar de que no pueda negar una operación realizada. Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos

Política de seguridad Medidas de seguridad:

Políticas de Seguridad Una Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indican los términos generales que están o no están permitido en el área de seguridad durante la operación general del sistema.

Se debe tener encuenta: Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave. Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz. Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia. Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas. Definición de violaciones y sanciones por no cumplir con las políticas. Responsabilidades de los usuarios con respecto a la información a la que tiene acceso Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente. Control, Autenticidad y Utilidad.

Seguridad activa y Seguridad pasiva Medidas de seguridad:

Seguridad activa y Seguridad pasiva Seguridad activa: Tiene como objetivo proteger y evitar posibles daños en los sistemas informáticos. Podemos encontrar diferentes recursos para evitarlos como: - Una de esas técnicas que podemos utilizar es el uso adecuado de contraseñas, que podemos añadirles números, mayúsculas, etc. - También el uso de software de seguridad informática: como por ejemplo ModSecurity, que es una herramienta para la detección y prevención de intrusiones para aplicaciones web, lo que podríamos denominar como "firewall web". -Y la encriptación de los datos. Seguridad pasiva: Su fin es minimizar los efectos causados por un accidente, un usuario o malware. Las prácticas de seguridad pasiva más frecuentes y más utilizadas hoy en día son: -El uso de hardware adecuado contra accidentes y averías. -También podemos utilizar copias de seguridad de los datos y del sistema operativo. Una práctica también para tener seguro nuestra ordenador es hacer particiones del disco duro, es decir dividirlo en distintas partes.

Generalidades La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información. Estos riesgos que se enfrentan ha llevado a que muchas desarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa. En este sentido, las políticas de seguridad informática surgen como una herramienta organizacional para concientizar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situación, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.

Definición de Políticas de Seguridad Informática Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización. No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y él por qué de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos.

Elementos de una Política de Seguridad Informática Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad, se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante. Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos: Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Objetivos de la política y descripción clara de los elementos involucrados en su definición. Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.

Definición de violaciones y sanciones por no cumplir con las políticas Responsabilidades de los usuarios con respecto a la información a la que tiene acceso. Las políticas de seguridad informática, también deben ofrecer explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. Igualmente, deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión. Por último, y no menos importante, el que las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios, etc.

Definición de violaciones y sanciones por no cumplir con las políticas Parámetros para Establecer Políticas de Seguridad Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos: Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa. Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas. Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área. Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente. Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas. Razones que Impiden la Aplicación de las Políticas de Seguridad Informática A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback