Evaluacion del procesamiento de datos a nivel organizacional
Páginas: 9 (2014 palabras)
Publicado: 31 de mayo de 2011
POLÍTICAS DE SEGURIDAD INFORMÁTICA
Las Políticas de Seguridad Informática (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía desarrollarse y mantenerse en su sector de negocios.
"una Política de Seguridad es un conjunto derequisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema." (3)
La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitarresponsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán." (4)
La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...) una política de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridadcomienza y termina con personas." (5) y debe:
* Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
* Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.
* Ser atemporal. El tiempo en el que se aplica no debeinfluir en su eficacia y eficiencia.
* Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.Implementación de una Política de Seguridad
Es un proceso Técnico-Administrativo. Como este proceso debe abarcar toda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.
Se deberá tener en cuenta que la implementación de Políticas de Seguridad, trae aparejados varios tipos deproblemas que afectan el funcionamiento de la organización. La implementación de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organización, tanto técnica como administrativamente
Una PSI informática deberá abarcar:
* Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.
* Objetivos de la política y descripción clara de loselementos involucrados en su definición.
* Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización.
* Responsabilidades de los usuarios con respecto a la información que generan y a la que tienen acceso.
* Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política.
* Definición deviolaciones y las consecuencias del no cumplimiento de la política.
* Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qué pasara o cuándo algo sucederá; ya que no es una sentenciaobligatoria de la ley.
* Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas.
* Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura...
Las Políticas de Seguridad Informática (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía desarrollarse y mantenerse en su sector de negocios.
"una Política de Seguridad es un conjunto derequisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema." (3)
La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitarresponsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán." (4)
La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...) una política de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridadcomienza y termina con personas." (5) y debe:
* Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
* Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.
* Ser atemporal. El tiempo en el que se aplica no debeinfluir en su eficacia y eficiencia.
* Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.Implementación de una Política de Seguridad
Es un proceso Técnico-Administrativo. Como este proceso debe abarcar toda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.
Se deberá tener en cuenta que la implementación de Políticas de Seguridad, trae aparejados varios tipos deproblemas que afectan el funcionamiento de la organización. La implementación de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organización, tanto técnica como administrativamente
Una PSI informática deberá abarcar:
* Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.
* Objetivos de la política y descripción clara de loselementos involucrados en su definición.
* Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización.
* Responsabilidades de los usuarios con respecto a la información que generan y a la que tienen acceso.
* Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política.
* Definición deviolaciones y las consecuencias del no cumplimiento de la política.
* Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qué pasara o cuándo algo sucederá; ya que no es una sentenciaobligatoria de la ley.
* Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas.
* Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura...
Leer documento completo
Regístrate para leer el documento completo.