Guia de seguridad informatica

Guía de Seguridad Informática

1 de 72

Guía de Seguridad Informática
CONTENIDO

INTRODUCCION Segregación de Responsabilidades Incidentes de Seguridad y Procedimiento Disciplinario Gestión Externa de Servicios (Outsourcing) La Seguridad informática como Imperativo Legal POLITICAS Y ORGANIZACION DE SEGURIDAD 1.1 Análisis de Riesgos 1.1.1 Sus Componentes 1.1.2 La Realización del Análisis1.2 Políticas de Seguridad 1.2.1 Normas de Seguridad Informática 1.2.2 Procedimientos de Seguridad Informática 1.2.3 La Calidad en la Seguridad 1.3 Organización en la Empresa 1.3.1 Consideraciones Organizativas 1.3.2 Factores Críticos de Exito 1.4 Infraestructura de Seguridad Informática 1.4.1 En la Dirección de la Empresa 1.4.2 En la Función de Sistemas de Información 1.4.3 En las restantesFunciones de Empresa 1.4.4 Soporte de Especialistas en Seguridad Informática 1.5 Actores y sus Responsabilidades 1.5.1 Propietario 1.5.2 Depositario 1.5.3 Usuario CLASIFICACION DE ACTIVOS DE INFORMACION 2.1 Niveles de Clasificación 2.2 Marcado de Clasificación 2.3 Protección de la Información Clasificada 2.3.1 Protección de la Información Impresa 2.3.2 Divulgación de Información Clasificada 2.3.3Transporte de Información Clasificada 2.3.4 Destrucción de Información Clasificada PROTECCION FISICA 3.1 Características de Construcción 3.2 Distribución de las Areas 3.2.1 Areas de Acceso Limitado (AAL) 3.2.2 Areas de Acceso Restringido (AAR) 3.2.3 Valoración de las Areas 3.3 Medios de Protección 3.3.1 Sistemas de Control de Accesos 3.3.2 Sistemas de Detección 3.3.3 Sistemas de Extinción de Incendios3.4 Suministros Auxiliares 3.4.1 Energía Eléctrica 2 de 72

3.4.2 Acondicionamineto de Aire 3.5 Emergencia y Evaluación 3.6 Medios de Almacenamiento 3.6.1 Protección Física 3.6.2 Protección durante Traslados 3.6.3 Inventario y Reconciliación 3.7 Impresoras PROTECCION LOGICA 4.1 Indentificación de Usuarios 4.1.1 Identificador de Usuario 4.1.2 Identificador de Usuario Compartido 4.1.3 Autorizaciónde Usuario 4.1.4 Eliminación de Usuario Revisión de Vigencia Usuarios Inactivos 4.1.5 Revalidación Anual de Usuarios 4.2 Autentificación de Usuarios 4.2.1 Contraseñas (Passwords) Restauración de Contraseñas 4.2.2 Contraseñas de una Sola Vez 4.3 Activos de Información del Sistema 4.3.1 Control de Acceso Público 4.3.2 Activos Sensibles del Sistema 4.4 Activos de Información de Usuario 4.4.1 Controlde Acceso Público Revisión Periodica 4.4.2 Activos Sensibles de Usuario 4.4.3 Protección en Desarrollo Separación de los Sistemas de Desarrollo y Producción Uso del Estado Supervisor (SVC) 4.4.4 Protección de Terminales Revisión Periódica 4.4.5 Cifrado o Criptografiado Claves de Cifrado Protección de Claves de Cifrado Responsabilidades 4.4.6 Virus informático y otros Códigos Dañinos Protección enLAN y PC Protección en Sistemas Corporativos 4.5 Gestión de Autoridad de Sistema 4.6 Gestión de Autoridad de Administración de Seguridad 4.7 Registro de Intentos de Acceso 4.7.1 Registros de Acceso al Sistema 4.7.2 Registro de Acceso a Activos 4.7.3 Registro de Actividades 4.8 Informes de Violación de Acceso 4.8.1 Acceso Inválidos al Sistema Ataques Sistemáticos 4.8.2 Accesos Inválidos a ActivosCONEXIONES EXTERNAS 5.1 Responsabilidades 5.1.1 Del Propietario de la Conexión 5.1.2 Del Propietario del 'Gateway' 5.1.3 Del Usuario 5.2 Certificación de la Conexión 5.2.1 Revisión Inicial 5.2.2 Revisión Anual de Recertificación 3 de 72

5.2.3 Suspensión de la Conexión 5.2.4 El Equipo Revisor 5.3 Autorización de Acceso Conexión DESDE el Exterior Conexión HACIA el Exterior Interconexión de Redesy Sistemas 5.4 Conexión a Redes Inseguras 5.4.1 Riesgos en Redes Inseguras 5.4.2 Medidad de Protección 5.4.3 Sistemas Firewall (Cortafuegos) Sistema de Filtro de Paquetes Sistema de Servicio 5.5 Transferencia de Activos 5.5.1 Correo Electrónico (Electronic Mail) 5.5.2 EDI (Electronic Data Interchange) Seguridad y Protección de Activos EDI 5.6 Registros Auditables 5.7 Acuerdos con Terceros 5.8...