Documente Academic
Documente Profesional
Documente Cultură
Protege la informacin y a los usuarios. Conjunto de reglas que determina los lineamientos de conducta y responsabilidades de los usuarios, administradores de los sistemas, gestin, seguridad del personal. Autoriza al personal de seguridad para monitorear, probar e investigar. Es de carcter obligatorio y por lo tanto sancionable. Permite el despliegue e implementacin de controles de seguridad.
Es una declaracin general que determina como la informacin es protegida, administrada y distribuida. La poltica de seguridad es un documento que expresa exactamente cual es el nivel de seguridad que deben tener los sistemas para cumplir con los mecanismos y controles de seguridad. Especifican las condiciones, derechos y obligaciones sobre el uso de los activos de la informacin.
Demuestran el apoyo de la alta direccin. Aseguran las aplicaciones de las medidas de seguridad en la organizacin. Guan el proceso de seleccin e implementacin de los controles de seguridad. Evita responsabilidades legales. Logra efectividad de la Seguridad de la Informacin.
Estos documentos deben ser claros, exactos, precisos y concisos. Debe tener una estructura bien definida Debe tener fecha de aprobacin y difusin, nmero de versin y un control de cambios. Debe ser vigente y actualizado permanentemente. No debe interferir con los procesos del negocio. Debe establecer las condiciones aceptables y no aceptables Accesible al personal segn el alcance del documento Aprobado por la alta direccin Documento oficial y de cumplimiento obligatorio, esta sujeto a sanciones RRHH y el rea legal deben contemplar en los estatutos de la empresa y la ley.
Estndares.- Especifica las buenas prcticas en la organizacin. Se aplican y prueban internacionalmente. Guas.- Son acciones recomendadas y guas operacionales para los usuarios personal de TI cuando un estndar especfico no se aplica. Considerando que los estndares son actividades mandatorias, las guas en general son acercamientos que provee la flexibilidad necesaria ante circunstancias imprevistas. Procedimientos.- Son acciones detalladas paso a paso para alcanzar determinadas tareas. Estos pasos puede aplicar a los usuarios, personal de TI, miembros de seguridad.
Equipo de desarrollo de polticas. Equipo de seguridad de la informacin. Personal Tcnico. rea Legal RRHH Usuarios
Determinar el nivel correcto entre realizar una poltica viable o intransigente/rgida. Considerar que puede existir excepciones en algunas declaraciones de las polticas y se debe evaluar sin dejar expuesta la seguridad. Que sea clara y use trminos concretos, sin trminos abstractos. Evitar usar declaraciones muy negativas como nunca Usar un lenguaje fcilmente entendible. Usar la palabra debepor debera Si se necesita hacer referencias adicionales usar anexos La longitud del documento no debe ser muy extenso, va depender de la organizacin y su tamao.
3.- Revisin del documento 4.- Aprobacin 5.- Estrategia de difusin 6.- Publicacin 7.- Desarrollo de estrategia de comunicacin activa 8.- Asegurar que las polticas estn consideradas en la estrategia de concienciacin/sensibilizacin 9.- Revisin y Actualizacin
Secciones de la Poltica
Cada poltica debe incluir lo siguiente: 1. Introduccin 2. Objetivo Proporciona las principales metas de la poltica , explica las razones y ayuda a los usuarios como debe ser usada. 3.- Alcance Es el alcance de la aplicacin de la poltica y las personas que estn involucradas. 4.- Roles y Responsabilidades Esta es una declaracin de la poltica a travs de la cual, se designa las responsabilidades de la personas que van a aplicar la poltica. 5.- Fecha y versin 6.- Definicin / Glosario 7.- Declaracin de la poltica
Un solo documento o varios documentos? Se puede utilizar ISO 27001 e ISO 27002 como base para definir las polticas de seguridad. Deben ser documentos controlados.
Ejercicio de Poltica
Poltica de Acceso remoto de Usuarios Por qu se requiere al acceso remoto? Cuntos y de qu tipo de usuarios requieren acceso remoto? Que tipo de acceso remoto debe usar la empresa? Qu tipo de informacin y recursos deben tener los usuarios remotos? Qu mecanismos de proteccin se debe tener para asegurar el acceso de los usuarios remotos autorizados? Qu mecanismos de proteccin se debe tener para asegurar que no ingresen los usuarios no autorizados? Qu tipo y quien autoriza el acceso? Quines son los responsables de hacer cumplir todas estas polticas? Qu mecanismos existen para monitorear los accesos?
Ejercicio de Poltica
Desarrolle una poltica considerando la siguiente estructura: 1. Introduccin 2. Objetivo 3.- Alcance 4.- Roles y Responsabilidades 5.- Fecha y versin 6.- Responsables de la poltica 7.- Definicin / Glosario 8.- Declaracin de la poltica Considere los siguientes ejemplos: Poltica de antivirus Poltica de uso del correo electrnico Poltica de contraseas Poltica de clasificacin de la informacin Poltica de control de acceso fsico