Seguridad Informatica
Enviado por anghelo111 • 19 de Junio de 2014 • 10.638 Palabras (43 Páginas) • 192 Visitas
SEGURIDAD INFORMATICA
Este capítulo presenta el conocimiento básico necesario para evaluar la seguridad informática, del entorno y de la infraestructura de TI de una organización. Este conocimiento permite determinar si la seguridad establecida satisface las necesidades que tiene una organización para salvaguardar la información de la utilización, revelado, y modificación sin autorización y de la pérdida o daño accidental o maliciosa.
SEGURIDAD INFORMATICA
GESTIÓN DE LA SEGURIDAD INFORMATICA
La gestión de la seguridad de la información para ser eficaz requiere el compromiso y soporte de la alta dirección. Este compromiso se manifiesta aprobando y dando soporte a la concienciación y la formación formales en la seguridad. Esto incluye su propia formación.
La política de seguridad y los procedimientos relacionados deben estar actualizados y reflejar que se utiliza una estrategia basada en riesgos para identificar los recursos críticos de información de tal manera que haya un entendimiento claro de los riesgos y las amenazas.
El desarrollo de la política de seguridad de la información es responsabilidad de la alta dirección, delegando su implementación en los apropiados niveles de la dirección. La existencia y la promoción de una política de seguridad de la información son de vital importancia para la supervivencia y el desarrollo de una organización.
Para que la seguridad se implemente y mantenga con éxito, se deben establecer y comunicar claramente los elementos esenciales para la gestión de la seguridad de la información. Entre ellos se incluyen:
POLÍTICAS Y PROCEDIMIENTOS: Debe comenzar con una política de organización general manifestando el claro compromiso de la alta dirección y dando directrices al respecto. Aspectos a contemplar en esta política son la importancia de la información para la organización, la necesidad de la seguridad, la importancia de definir los activos sensibles y críticos a proteger, y las responsabilidades. Una vez aprobada la política se deben desarrollar los estándares, controles, prácticas y procedimientos en cada sistema a introducir y mantener en el sistema de seguridad.
ORGANIZACIÓN: Las responsabilidades de proteger cada activo y de llevar a cabo procesos específicos de seguridad deben estar claramente definidas. La política de seguridad debe dar una guía general de cómo asignar estas responsabilidades. Esto se puede suplantar, cuando sea necesario, con guías más detalladas para ubicaciones, sistemas o servicios específicos.
Las responsabilidades a considerar por posición incluyen:
• Dirección ejecutiva: tiene la responsabilidad global de los activos de información.
• Comité de seguridad: las políticas y procedimientos de seguridad afectan a toda la organización, por tanto, deben tener el soporte de los usuarios finales, dirección ejecutiva, administración de la seguridad, personal de SI y asesoría legal. Por lo tanto se debe constituir un comité de seguridad con gerentes de diferentes niveles cuya tarea es la de discutir temas de seguridad y establecer las prácticas de seguridad.
• Propietarios de datos: determinan los niveles de clasificación de los datos en cuanto a su criticidad y niveles de acceso. Son los responsables de dar el tipo de acceso a los datos bajo su responsabilidad.
• Propietarios de procesos: son los responsables de la seguridad de los procesos bajo su responsabilidad en línea con la política de la organización
• Desarrolladores de TI: Implementan la seguridad de la información
• Especialistas de seguridad: Promueven y ayudan en el diseño, implementación, gestión y revisión de la política y procedimientos de seguridad de la organización.
• Usuarios: Deben seguir los procedimientos establecidos en la política de seguridad de la organización que generalmente incluye: Leer la política de seguridad, mantener en secreto la identificación de usuario y la contraseña, informar de las sospechas de violación de la seguridad, mantener una buena seguridad física cerrando las puertas, dejando en lugar seguro las llaves de acceso, no revelando la clave de acceso de cerraduras electrónicas y preguntando a personas desconocidas, cumpliendo las leyes y regulaciones legales, siguiendo las regulaciones de privacidad respecto a información confidencial (salud, legal, etc.)
• Auditores de SI: Suministran un aseguramiento independiente a la gerencia de la adecuación y eficacia de los objetivos de seguridad de la información.
POLÍTICA DE SEGURIDAD INFORMATICA
Una Política de Seguridad se define como la especificación de los requerimientos para el control de acceso a la información, aplicaciones y servicios de una organización.
Dentro de las funciones de las entidades informáticas, las políticas de seguridad se deben enfocar inicialmente a la protección de la información almacenada, procesada y distribuida mediante sus recursos; sin embargo, también se deben emitir políticas para todos los rubros, incluyendo facilidades, aplicaciones, instalaciones y equipos.
Una buena política de seguridad deja poco campo a la interpretación. Es muy importante que los usuarios y todos los que intenten usar un computador de la red para acceder a sus servicios conozcan y entiendan las reglas del sistema.
IMPORTANCIA DE LAS POLÍTICAS DE SEGURIDAD INFORMATICA
Es importante tener una política de seguridad de red efectiva y bien pensada que pueda proteger la inversión y recursos de información de la entidad. Las políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de datos, planes de contingencia y detección de intrusos. Si bien las políticas varían considerablemente según el tipo de organización de que se trate, en general incluyen declaraciones generales sobre metas, objetivos, comportamiento y responsabilidades de los empleados en relación a las violaciones de seguridad. A menudo las políticas van acompañadas de normas, instrucciones y procedimientos.
CREACIÓN DE POLÍTICAS DE SEGURIDAD INFORMÁTICA
Crear políticas es, por definición, especificar las necesidades de control de acceso a la información. En particular, las políticas deberán reflejar los objetivos de la Institución con respecto a la relativa importancia de cada rubro a proteger y la manera en que esa información contribuye a la misión de cada Institución. Por su parte, las normas, procedimientos, prácticas y estándares, deberán acoplar esas necesidades con los recursos técnicos existentes en la Institución e incidirán
...