1 / 38

Políticas y procedimientos de seguridad

Carmen R. Cintrón Ferrer, 2008, Derechos Reservados. Políticas y procedimientos de seguridad. Agenda – Módulo iii. Introducción de conceptos Procedimiento para la adopción de políticas Estructura sugerida Estándares y/o Prácticas reconocidas Áreas de contenido propuesto

junius
Download Presentation

Políticas y procedimientos de seguridad

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Carmen R. Cintrón Ferrer, 2008, Derechos Reservados Políticas y procedimientos de seguridad

  2. Agenda – Módulo iii Introducción de conceptos Procedimiento para la adopción de políticas Estructura sugerida Estándares y/o Prácticas reconocidas Áreas de contenido propuesto Taller de redacción Validación y Divulgación Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  3. IntroducciónPolíticas de seguridad ¿Qué es una política? ¿Para qué sirve? ¿A quién va dirigida? ¿Cómo se diferencia de un manual o procedimiento? Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  4. IntroducciónPolíticas de seguridad • ¿Qué es una política? Documento normativo adoptado por la alta gerencia donde establece la importancia para la organización de un asunto a regular, fija los objetivos a alcanzar y define las responsabilidades asociadas a su cumplimiento. Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  5. IntroducciónPolíticas de seguridad • ¿Para qué sirve una política? • Establecer la posición de la organización • Definir expectativas • Reducir errores, uso indebido o discrepancias • Fijar responsabilidades • Contribuir al cumplimiento con regulaciones • Facilitar la comunicación y comprensión • Referir a otros documentos más específicos Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  6. IntroducciónPolíticas de seguridad • ¿A quién(es) va(n) dirigida(s)? • Gerencia • Empleados a tarea completa y/o parcial • Consultores • Visitantes • Otros Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  7. IntroducciónPolíticas de seguridad • ¿Cómo se diferencia de un manual o procedimiento? • General y provee el marco conceptual • Amplia difusión y acceso • Fácil comprensión y cumplimiento • Requiere revisión(es) periódica(s) menor(es) • Sirve de marco para la redacción de: • Procedimientos • Manuales Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  8. Políticas, Procedimientos y/o ManualesPolíticas de seguridad • Políticas: • General • Abarcador • Define posición organizacional • Procedimientos: • Detallado • Específico (área funcional, tipo de usuario) • Apoya cumplimiento con leyes y reglamentos • Manuales: • Específico (segmento de la comunidad) • Define responsabilidad particular • Establece normas de conducta esperada • Provee ejemplos asociados al cumplimiento • Describe consecuencias por incumplimiento Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  9. Procedimiento PropuestoPolíticas de seguridad • Crear comité representativo • Redactar políticas – Comité y Asesor legal • Adoptar políticas – Unidad institucional • Diseminar y concienciar sobre contenido: • Comité • Unidades • Asesor legal • Recursos Humanos • Oficial Cumplimiento • Adoptar o actualizar procedimientos y/o manuales • Integrar controles en sistemas y tecnologías de información • Auditar cumplimiento • Tomar medidas: • Reforzar cumplimiento • Aclarar o modificar contenido Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  10. Ciclo de vida – Políticas de seguridad Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  11. Procedimiento PropuestoPolíticas de seguridad • Crear comité representativo: • Administración: • Gerencia • Administración operacional • Representación de usuarios críticos • Asesor legal y/o Oficial de Cumplimiento • Director de TI • Director de Seguridad • Personal • Otros sectores de la organización: • Auditor interno • Auditor externo Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  12. Procedimiento PropuestoPolíticas de seguridad • Redactarpolítica: • Construirformatogenérico (“template”) • Determinarnecesidad • Identificar estándares o prácticas generalmente reconocidas • Afinar objetivo(s) o intención • Identificar el público al cualvadirigido • Seleccionar entre política, procedimiento o manual • Utilizar el formato “template” correspondiente • Generar el borrador • Validar el borrador • Certificarsulegalidad (Oficina del Asesor Legal) • Someter a la unidadautorizada para aprobación • Allegar recursos para su implantación operacional • Divulgar contenido, expectativas y sanciones Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  13. Procedimiento PropuestoPolíticas de seguridad • Unidad institucional autorizada: • Aprobar política • Establecer fecha de vigencia • Adoptar plan y asignar recursos para: • Diseminar contenido • Concienzar sobre contenido al público que afecta (“Awareness”) • Adiestrar sobre los riesgos que cubre y el impacto que representan • Notificar aprobación a: • Comité • Asesor Legal • Oficina de Recursos Humanos • Unidad de Informática (“IT”) • Oficial de cumplimiento • Adoptar o actualizar procedimientos y/o manuales: • Afectados por la política aprobada o modificada • Implantar operacionalmente la política aprobada o modificada Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  14. Procedimiento PropuestoPolíticas de seguridad • Auditar cumplimiento – métricas y controles: • Auditorías internas • Auditorías externas • Auditorías de cumplimiento • Tomar medidas para reforzar cumplimiento: • Programas de fiscalización (“monitoring”) • Sistemas para hacer cumplir políticas • Sistemas para determinar discrepancias o violaciones • Actuar consistentemente en casos de incumplimiento • Imponer sanciones • Revisión y actualización continua: • Atemperar a los cambios en el entorno • Aclarar o modificar para asegurar cumplimiento Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  15. Implantar • Apoyar usuario • Afinar correspondencia • Integrar tecnologías de control • Auditar • Fiscalizar cumplimiento • Imponer controles y/o sanciones Resumen del Procedimiento propuesto Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  16. ObjetivosprimariosPolíticasde seguridad • Definir la posición organizacional – Cultura de confianza • Respaldar normativas de cumplimientoaplicables • Mejorar la calidad de la ejecución al contribuir a: • Definirqué se espera • Reducirerrores • Uniformar o estandarizarprocesos • Proveerresultadosconsistentes • Reemplazartradición oral • Apoyarprocesos de aprendizaje o adiestramiento • Proveerlista(s) de cotejoparaverificarcumplimiento • Referenciaparamejorarprocesos Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  17. Bosquejo de ContenidoPolíticas de seguridad Título y fecha de vigencia Introducción Definiciones Contenido Aplicabilidad Excepciones Sanciones Otras disposiciones Unidad responsable Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  18. Bosquejo de ContenidoPolíticasde seguridad • Título: • Título de la política • Fecha de vigencia: • Fecha a partir de la cual entra en vigor • Introducción: • Ubicar en contexto el (los) objetivo(s) que persigue • Explicar cuál es la intención para su aprobación • Enmarcar en la misión, filosofía y visión de la institución • Definiciones: • Términos o conceptos • Objetivos • Conceptos institucionales Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  19. Bosquejo de ContenidoPolíticas de seguridad • Contenido: • Marco legal o reglamentario que la cobija • Descripción de: • ¿Qué permite? • ¿Cómo está permitido? • ¿Cuándo está permitido? • ¿Qué está prohibido? • ¿Cuándo está prohibido? • ¿Por qué está prohibido? • Explicación del impacto • Ejemplo(s) de escenario(s) • Detalle procesal • Responsables de: • Contención, erradicación o recuperación Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  20. Bosquejo de ContenidoPolíticas de seguridad • Aplicabilidad: • ¿A quién(es) aplica? • ¿En cuáles circunstancias? • Contexto que enmarca la aplicabilidad • Excepciones: • ¿Cuándo no aplica? • ¿A quién(es) no aplica y por qué? • Sanciones: • Consecuencias del incumplimiento • Tipos de escenarios y tipo de sanción: • Amonestación • Suspensión • Despido Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  21. Bosquejo de ContenidoPolíticasde seguridad • Otras disposiciones: • Procedimiento para modificar • Unidad responsable de implantar • Identificar la unidad • Identificar persona(s) • Unidad responsable de asegurar cumplimiento • Procedimiento para notificar incumplimiento: • ¿A quién? • ¿Cómo? • ¿Qué proveer? Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  22. Recomendaciones de estiloPolíticas o procedimientosde seguridad El lenguaje y estilo debe ser: • Claro • Conciso y preciso • Sencillo y fácil de entender • Coherente • Asertivo (ir al grano) Debe evitar el uso de: • Acrónimos (descripción completa) • Números romanos • ‘etc.’ y de ‘i.e.’ o ‘e.g.’ • Expresiones de género Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  23. Estándares y Prácticas generalmente aceptadas

  24. Organizaciones • National Institute of Standards and Technology: • Tecnologías de seguridad • Seguridad de redes y sistemas • Configuración y métricas recomendadas • IT Compliance Institute: • Manejo de riesgos • Seguridad de la información y protección de los datos • Manejo de identidad (acceso) • Manejo de configuración y cambios • Payment Card Industry (PCI) • Sarbanes Oaxley (SOX) • Health Insurance Portability and Accountability Act (HIPAA) Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  25. Organizaciones • SANS: • Seguridad de la información • Seguridad de las redes • ISO 17799(27002): • Seguridad y manejo de la información • Center for Internet Security (CISE) • Sistemas operativos • Configuración equipos • Aplicaciones • Open Compliance Ethics and Governance: • Gobernabilidad • Seguridad de la información Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  26. Organizaciones • Insituto de Auditores Internos: • Configuración equipos y sistemas • Aplicaciones • CobiT • ISACA – Contenido CISM • ISC – Contenido CISSP • COSO • EDUCAUSE Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  27. Áreas de contenido sugeridoPolíticas de seguridad

  28. Políticas de seguridadÁreas de riesgo Proveer tecnología y acceso al personal pone en riesgo: • Activos físicos y electrónicos • Operación diaria y ejecución eficiente • Reputación e imagen organizacional • Cumplimiento con regulaciones aplicables • Responsabilidad civil o criminal - reclamaciones legales • Cultura de confianza Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  29. Áreas de contenido General • Uso de recursos tecnológicos • Navegación (“Computer network & Internet”) • Correo electrónico y mensajería • Privacidad e Integridad de Contenido • Documento electrónico: • Depósito • Transmisión • Retención o archivo • Disposición • Protección de propiedad • Lenguaje al comunicar Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  30. Áreas de contenido general • Protección y uso de Equipo: • Desktops • Laptops • Impresoras y otros periferales • Tecnologías móviles • Programación: • Instalación, copia y modificación de programas • Autenticación (“username & password”) • “Malware”: • Actualización antivirus, “antispyware”, “antispam” • Propagación virus, spam • Desarrollo, instalación y/o propagación de “malware” Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  31. Áreas de contenido general • Clasificación de la información • Acuerdos de Confidencialidad • Acceso a servicios, aplicaciones y tecnologías: • Autenticación • Cifrado • Seguridad de servidores • Seguridad de aplicaciones Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  32. Áreas de contenido especialNavegación • Uso apropiado • Sitios autorizados/no-autorizados: • Contenido relacionado o no a la operación organizacional • Contenido de naturaleza: • Sexualmente explícita • Proselitismo religioso/político • Ofensiva, discriminatoria • Desperdicio de recursos: • Tráfico innecesario • Tráfico voluminoso: • “video/audio streaming” • Juegos • “Chat” • Congestión: • “sniffers” • “scanners” • “IDS/IPS” • Protocolo(s) o conexión(es): FTP, P2P Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  33. Áreas de contenido especialComunicación electrónica (Tipos) Correo electrónico Mensajería (“Instant messaging”) Telefonía IP (“VOIP”) Conversación interactiva (“Chats”) Tecnologías móviles Tecnologías inalámbricas Otras tecnologías Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  34. Áreas de contenido especialdocumentos electronicos • Transaccionales o asociados a la operación: • Aplicaciones o Bancos de datos • Correo electrónico • Documentos generales o específicos • Cubiertos por legislación de privacidad: • HIPAA • GLBA • ECPA • ID Theft • Otras • Pietaje de cámaras de seguridad • Propiedad Intelectual 3ros • Presencia WEB Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  35. Áreas de contenido especialSeguridad Antivirus AntiSpam AntiSpyware Copias de resguardo Uso de dispositivos duplicación móviles (USB/Firewire) Limpieza de dispositivos de almacén (Media Sanitation) Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  36. Taller de redacción

  37. Taller de redacciónPolíticas de seguridad • Seleccione un área para redactar la política • Utilice el Bosquejo propuesto como guía • Remítase a los modelos recomendados (“best practices”) • Elabore el bosquejo preliminar para la política • Sugiera el proceso a seguir para su implantación operacional Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

  38. referencias Cornell IT Policies SANS, A Short Primer for Developing Security Policies, 2007 UCISA, Information Security Toolkit edition 2.0, 2005 Sedona Conference, THE SEDONA GUIDELINES: Best Practice Guidelines & Commentary for Managing Information & Records in the Electronic Age, 2005 Henson, Developing and Writing Library Policies and Procedures,nd Flyn, The ePolicy Handbook, American Management Association, 2001 EDUCAUSE, Security Policy Best Practices Carmen R. Cintrón Ferrer, 2008, Derechos Reservados

More Related