DISEO DE POLITICAS DE SEGURIDAD DE LA INFORMACION

Mg. Ing. Robert E. Puican Gutirrez

Porque se necesita Polticas de Seguridad de la Informacin?

Protege la informacin y a los usuarios. Conjunto de reglas que determina los lineamientos de conducta y responsabilidades de los usuarios, administradores de los sistemas, gestin, seguridad del personal. Autoriza al personal de seguridad para monitorear, probar e investigar. Es de carcter obligatorio y por lo tanto sancionable. Permite el despliegue e implementacin de controles de seguridad.

Mg. Ing. Robert E. Puican Gutirrez

Poltica de Seguridad de la Informacin

Es una declaracin general que determina como la informacin es protegida, administrada y distribuida. La poltica de seguridad es un documento que expresa exactamente cual es el nivel de seguridad que deben tener los sistemas para cumplir con los mecanismos y controles de seguridad. Especifican las condiciones, derechos y obligaciones sobre el uso de los activos de la informacin.

Mg. Ing. Robert E. Puican Gutirrez

Importancia de las Polticas de Seguridad

Demuestran el apoyo de la alta direccin. Aseguran las aplicaciones de las medidas de seguridad en la organizacin. Guan el proceso de seleccin e implementacin de los controles de seguridad. Evita responsabilidades legales. Logra efectividad de la Seguridad de la Informacin.

Mg. Ing. Robert E. Puican Gutirrez

Caractersticas de las Polticas de Seguridad

Estos documentos deben ser claros, exactos, precisos y concisos. Debe tener una estructura bien definida Debe tener fecha de aprobacin y difusin, nmero de versin y un control de cambios. Debe ser vigente y actualizado permanentemente. No debe interferir con los procesos del negocio. Debe establecer las condiciones aceptables y no aceptables Accesible al personal segn el alcance del documento Aprobado por la alta direccin Documento oficial y de cumplimiento obligatorio, esta sujeto a sanciones RRHH y el rea legal deben contemplar en los estatutos de la empresa y la ley.

Mg. Ing. Robert E. Puican Gutirrez

Las polticas establecen la estrategia

Mg. Ing. Robert E. Puican Gutirrez

Soporte de las Polticas de Seguridad

Estndares.- Especifica las buenas prcticas en la organizacin. Se aplican y prueban internacionalmente. Guas.- Son acciones recomendadas y guas operacionales para los usuarios personal de TI cuando un estndar especfico no se aplica. Considerando que los estndares son actividades mandatorias, las guas en general son acercamientos que provee la flexibilidad necesaria ante circunstancias imprevistas. Procedimientos.- Son acciones detalladas paso a paso para alcanzar determinadas tareas. Estos pasos puede aplicar a los usuarios, personal de TI, miembros de seguridad.

Mg. Ing. Robert E. Puican Gutirrez

Quines desarrollan las polticas de Seguridad de la Informacin?

Equipo de desarrollo de polticas. Equipo de seguridad de la informacin. Personal Tcnico. rea Legal RRHH Usuarios

Mtodo de Desarrollo de la Poltica

Se debe considerar lo siguiente: 1.- Definir el propsito de la poltica 2.- Escribir un borrador de la Poltica:

Determinar el nivel correcto entre realizar una poltica viable o intransigente/rgida. Considerar que puede existir excepciones en algunas declaraciones de las polticas y se debe evaluar sin dejar expuesta la seguridad. Que sea clara y use trminos concretos, sin trminos abstractos. Evitar usar declaraciones muy negativas como nunca Usar un lenguaje fcilmente entendible. Usar la palabra debepor debera Si se necesita hacer referencias adicionales usar anexos La longitud del documento no debe ser muy extenso, va depender de la organizacin y su tamao.

Mg. Ing. Robert E. Puican Gutirrez

Mtodo de Desarrollo de la Poltica

3.- Revisin del documento 4.- Aprobacin 5.- Estrategia de difusin 6.- Publicacin 7.- Desarrollo de estrategia de comunicacin activa 8.- Asegurar que las polticas estn consideradas en la estrategia de concienciacin/sensibilizacin 9.- Revisin y Actualizacin

Mg. Ing. Robert E. Puican Gutirrez

Secciones de la Poltica
Cada poltica debe incluir lo siguiente: 1. Introduccin 2. Objetivo Proporciona las principales metas de la poltica , explica las razones y ayuda a los usuarios como debe ser usada. 3.- Alcance Es el alcance de la aplicacin de la poltica y las personas que estn involucradas. 4.- Roles y Responsabilidades Esta es una declaracin de la poltica a travs de la cual, se designa las responsabilidades de la personas que van a aplicar la poltica. 5.- Fecha y versin 6.- Definicin / Glosario 7.- Declaracin de la poltica

Mg. Ing. Robert E. Puican Gutirrez

Estructura de los documentos

Un solo documento o varios documentos? Se puede utilizar ISO 27001 e ISO 27002 como base para definir las polticas de seguridad. Deben ser documentos controlados.

Estructura de los documentos

Ejercicio de Poltica

Poltica de Acceso remoto de Usuarios Por qu se requiere al acceso remoto? Cuntos y de qu tipo de usuarios requieren acceso remoto? Que tipo de acceso remoto debe usar la empresa? Qu tipo de informacin y recursos deben tener los usuarios remotos? Qu mecanismos de proteccin se debe tener para asegurar el acceso de los usuarios remotos autorizados? Qu mecanismos de proteccin se debe tener para asegurar que no ingresen los usuarios no autorizados? Qu tipo y quien autoriza el acceso? Quines son los responsables de hacer cumplir todas estas polticas? Qu mecanismos existen para monitorear los accesos?

Ejercicio de Poltica
Desarrolle una poltica considerando la siguiente estructura: 1. Introduccin 2. Objetivo 3.- Alcance 4.- Roles y Responsabilidades 5.- Fecha y versin 6.- Responsables de la poltica 7.- Definicin / Glosario 8.- Declaracin de la poltica Considere los siguientes ejemplos: Poltica de antivirus Poltica de uso del correo electrnico Poltica de contraseas Poltica de clasificacin de la informacin Poltica de control de acceso fsico