Politicas, Planes y Procedimientos de Seguridad
No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de lo que se desea proteger y el por qué de ello.
Cada PSI es consciente yvigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.[2]
Objetivos de una política de seguridad:
• Reducir los riesgos a un nivel aceptable.
• Garantizar la confidencialidad, integridad, disponibilidad, privacidad de la información.
• Cumplir con las Leyes y Reglamentaciones vigentes
¿Cómo desarrollar una política deseguridad? [3]
• Identifique y evalúe los activos: Qué activos deben protegerse y cómo protegerlos de forma que permitan la prosperidad de la empresa:
o Hardware: terminales, estaciones de trabajo, procesadores, teclados, unidades de disco, computadoras personales, tarjetas, router, impresoras, líneas de comunicación, cableado de la red, servidores de terminales, bridges.
o Software: sistemasoperativos, programas fuente, programas objeto, programas de diagnóstico, utilerías, programas de comunicaciones.
o Datos: durante la ejecución, almacenados en línea, archivados fuera de línea, back-up, bases de datos, en tránsito sobre medios de comunicación.
o Personas: usuarios, personas para operar los sistemas.
o Documentación: sobre programas, hardware, sistemas, procedimientos administrativoslocales.
• Identifique las amenazas: ¿Cuáles son las causas de los potenciales problemas de seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que tendrían si ocurrieran. Estas amenazas son externas o internas:
o Amenazas externas: Se originan fuera de la organización y son los virus, intentos de ataques de los hackers, retaliaciones de ex-empleados o espionajeindustrial.
o Amenazas internas: Son las amenazas que provienen del interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber donde reside la información sensible e importante.
• Evalué los riesgos: Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cuáles tienen el potencial para causar mucho daño. El costo puedeser más que monetario, se debe asignar un valor a la pérdida de datos, la privacidad, responsabilidad legal, etc.
• Asigne las responsabilidades: Seleccione un equipo de desarrollo que ayude a identificar las amenazas potenciales en todas las áreas de la empresa. Los principales integrantes del equipo serían el administrador de redes, un asesor jurídico, un ejecutivo superior y representantes delos departamentos de Recursos Humanos y Relaciones Públicas.
• Establezca políticas de seguridad: Cree una política que apunte a los documentos asociados; parámetros y procedimientos, normas, así como los contratos de empleados. Estos documentos deben tener información específica relacionada con las plataformas informáticas y tecnológicas, las responsabilidades del usuario y la estructuraorganizacional. De esta forma, si se hacen cambios futuros, es más fácil cambiar los documentos subyacentes que la política en sí misma.
• Implemente una política en toda la organización: La política que se escoja debe establecer claramente las responsabilidades en cuanto a la seguridad y reconocer quién es el propietario de los sistemas y datos específicos. Éstas son las tres partes esenciales de...
Regístrate para leer el documento completo.