Plan de trabajo de seguridad informatica
Páginas: 14 (3319 palabras)
Publicado: 22 de noviembre de 2011
1. Alcance.
El Alcance expresará el radio de acción que abarca el Plan, de acuerdo al Sistema Informático objeto de protección, para el cual fueron determinados los riesgos y diseñado el Sistema de Seguridad. La importancia de dejar definido claramente el alcance del Plan (y de ahí su inclusión al comienzo del mismo) estriba en que permite tener a priori una idea precisa de la extensión y loslímites en que el mismo tiene vigencia.
2. Caracterización del Sistema Informático.
Se describirá el resultado de la caracterización realizada al sistema informático de la entidad, con el objetivo de determinar qué se trata de proteger, especificando sus principales componentes y considerando entre otros:
Bienes informáticos, su organización e importancia.
Redes instaladas, estructura,tipo y plataformas que utilizan.
Aplicaciones en explotación.
Servicios informáticos y de comunicaciones disponibles, especificando si son en calidad de clientes o servidores.
Características del procesamiento, transmisión y conservación de la información, teniendo en cuenta el flujo interno y externo y los niveles de clasificación de la misma.
Otros datos de interés.
Al describirse elsistema informático se hará uso, en los casos que lo requieran, de diferentes tipos de esquemas, tablas, gráficos, etc; a fin de facilitar una mejor comprensión. Estos medios auxiliares pueden ser insertados, lo mismo dentro de esta propia sección que al final, como anexos a los cuales debe haber una obligada referencia.
3. Resultados del Análisis de Riesgos.
A partir de que el Plan deSeguridad Informática es la expresión gráfica del Sistema de Seguridad Informática diseñado y de que la esencia de ese diseño es la realización de un análisis de riesgos, no se concibe seguir adelante en la elaboración del Plan sin dejar claramente precisados cuales fueron los resultados obtenidos en el análisis de riesgos realizado, por lo que en este acápite deberán relacionarse las principalesconclusiones obtenidas en ese proceso, entre las cuales no pueden faltar:
a) Cuales son los activos y recursos más importantes para la gestión de la entidad y por lo tanto requieren de una atención especial desde el punto de vista de la protección, especificando aquellos considerados de importancia crítica por el peso que tienen dentro del sistema.
b) Que amenazas actúan sobre los activos yrecursos a proteger y entre ellas cuales tienen una mayor probabilidad de materializarse (riesgo) y su posible impacto sobre la entidad.
c) Cuales son los activos, recursos y áreas con un mayor peso de riesgo y que amenazas lo motivan.
En la medida en que las conclusiones del análisis de riesgos sean más precisas se logrará una visión más acertada de hacia donde pueden ser dirigidos los mayoresesfuerzos de seguridad y por supuesto los recursos disponibles para ello, lográndose que la misma sea más rentable.
4. Políticas de Seguridad Informática
En esta sección se definen los aspectos que conforman la estrategia a seguir por la Entidad sobre la base de sus características propias y en conformidad con la política vigente en el país en esta materia y el sistema de seguridaddiseñado, mediante el establecimiento de las normas generales que debe cumplir el personal que participa en el sistema informático, las cuales se derivan de los resultados obtenidos en el análisis de riesgos y de las definidas por las instancias superiores en las leyes, reglamentos, resoluciones y otros documentos rectores. Al definir las políticas de Seguridad Informática se considerarán, entre otros, losaspectos siguientes:
a) El empleo conveniente y seguro de las tecnologías instaladas y cada uno de los servicios que éstas pueden ofrecer.
b) El tratamiento que requiere la información oficial que se procese, intercambie, reproduzca o conserve a través de las tecnologías de información, según su categoría.
c) La definición de los privilegios y derechos de acceso a los activos de...
El Alcance expresará el radio de acción que abarca el Plan, de acuerdo al Sistema Informático objeto de protección, para el cual fueron determinados los riesgos y diseñado el Sistema de Seguridad. La importancia de dejar definido claramente el alcance del Plan (y de ahí su inclusión al comienzo del mismo) estriba en que permite tener a priori una idea precisa de la extensión y loslímites en que el mismo tiene vigencia.
2. Caracterización del Sistema Informático.
Se describirá el resultado de la caracterización realizada al sistema informático de la entidad, con el objetivo de determinar qué se trata de proteger, especificando sus principales componentes y considerando entre otros:
Bienes informáticos, su organización e importancia.
Redes instaladas, estructura,tipo y plataformas que utilizan.
Aplicaciones en explotación.
Servicios informáticos y de comunicaciones disponibles, especificando si son en calidad de clientes o servidores.
Características del procesamiento, transmisión y conservación de la información, teniendo en cuenta el flujo interno y externo y los niveles de clasificación de la misma.
Otros datos de interés.
Al describirse elsistema informático se hará uso, en los casos que lo requieran, de diferentes tipos de esquemas, tablas, gráficos, etc; a fin de facilitar una mejor comprensión. Estos medios auxiliares pueden ser insertados, lo mismo dentro de esta propia sección que al final, como anexos a los cuales debe haber una obligada referencia.
3. Resultados del Análisis de Riesgos.
A partir de que el Plan deSeguridad Informática es la expresión gráfica del Sistema de Seguridad Informática diseñado y de que la esencia de ese diseño es la realización de un análisis de riesgos, no se concibe seguir adelante en la elaboración del Plan sin dejar claramente precisados cuales fueron los resultados obtenidos en el análisis de riesgos realizado, por lo que en este acápite deberán relacionarse las principalesconclusiones obtenidas en ese proceso, entre las cuales no pueden faltar:
a) Cuales son los activos y recursos más importantes para la gestión de la entidad y por lo tanto requieren de una atención especial desde el punto de vista de la protección, especificando aquellos considerados de importancia crítica por el peso que tienen dentro del sistema.
b) Que amenazas actúan sobre los activos yrecursos a proteger y entre ellas cuales tienen una mayor probabilidad de materializarse (riesgo) y su posible impacto sobre la entidad.
c) Cuales son los activos, recursos y áreas con un mayor peso de riesgo y que amenazas lo motivan.
En la medida en que las conclusiones del análisis de riesgos sean más precisas se logrará una visión más acertada de hacia donde pueden ser dirigidos los mayoresesfuerzos de seguridad y por supuesto los recursos disponibles para ello, lográndose que la misma sea más rentable.
4. Políticas de Seguridad Informática
En esta sección se definen los aspectos que conforman la estrategia a seguir por la Entidad sobre la base de sus características propias y en conformidad con la política vigente en el país en esta materia y el sistema de seguridaddiseñado, mediante el establecimiento de las normas generales que debe cumplir el personal que participa en el sistema informático, las cuales se derivan de los resultados obtenidos en el análisis de riesgos y de las definidas por las instancias superiores en las leyes, reglamentos, resoluciones y otros documentos rectores. Al definir las políticas de Seguridad Informática se considerarán, entre otros, losaspectos siguientes:
a) El empleo conveniente y seguro de las tecnologías instaladas y cada uno de los servicios que éstas pueden ofrecer.
b) El tratamiento que requiere la información oficial que se procese, intercambie, reproduzca o conserve a través de las tecnologías de información, según su categoría.
c) La definición de los privilegios y derechos de acceso a los activos de...
Leer documento completo
Regístrate para leer el documento completo.