politicas de seguridad
Páginas: 5 (1059 palabras)
Publicado: 22 de julio de 2013
Políticas de seguridad en áreas informáticas.
“Las mejores herramientas de seguridad son vulnerables si no existen políticas adecuadas que definan claramente su utilización“
Introducción
Conceptos Generales
Información:
La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada.ISO/IEC 17799.
Vulnerabilidad:
Una debilidad (o agujero) en la seguridad de la organización.
Punto y control de acceso (lógicos y físicos)
Falta de mantenimiento
Personal sin conocimiento
Desactualización de los sistemas críticos
Una vulnerabilidad, por si misma, no produce daños. Es un condicionante para que una amenaza afecte un activo.
Amenaza:
Declaración intencionada de hacer undaño (Virus, acceso no autorizado, robo).
Eventos naturales que pueden desencadenar daños materiales o pérdidas inmateriales en sus activos. Las amenazas se pueden materializar y transformarse en agresiones.
Riesgos:
Potencial explotación de una vulnerabilidad de un activos de información por una amenaza.
Se valora como una función del impacto, amenaza, vulnerabilidad y de la probabilidad deun ataque exitoso.
Ataque:
Acción intencional e injustificada (desde el punto de vista del atacado). Intento por romper la seguridad de un sistema o de un componente del sistema.
Atacante:
Alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una vulnerabilidad.
Safety & Security:
Prevención en contra de actos intencionales vsintencionales por parte de terceros.
Definición de política de seguridad:
Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y defínelos criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en eltecnológico.
¿Por qué son importantes las políticas de seguridad?
Los recursos IT son utilizados por todos en la organización… pero no todos son gurús de IT
Son la primera línea de defensa de amenazas internas y externas
El 96% de los “ciber-ataques” fallarían si se siguiesen unas políticas de seguridad básicas
Cuando las reglas y responsabilidades no están bien definidas, la seguridad falla
No sonsólo un concepto con el que “aplacar” los auditores (¡no deben serlo!)
Las políticas que son copias de guías de mejores prácticas son como las dietas y el ejercicio físico… algo a lo que se aspira, pero que rara vez se consigue
Áreas de normalización
Tecnológica
Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir losaspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios.Humana
Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la Administración, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual. El resultado es unprograma de seguridad sin el nivel de cultura deseado y la falta de monitoreo más apropiado al orientar empleados, proveedores, clientes y socios. Sin embargo, no se debe dejar de lado los temas tecnológicos y su sofisticación, una vez que también son determinantes para la implementación de soluciones de seguridad adecuadas y eficientes.
Norma ISO-IRAM 17799
¿Qué es la norma ISO 17799?
Es...
“Las mejores herramientas de seguridad son vulnerables si no existen políticas adecuadas que definan claramente su utilización“
Introducción
Conceptos Generales
Información:
La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada.ISO/IEC 17799.
Vulnerabilidad:
Una debilidad (o agujero) en la seguridad de la organización.
Punto y control de acceso (lógicos y físicos)
Falta de mantenimiento
Personal sin conocimiento
Desactualización de los sistemas críticos
Una vulnerabilidad, por si misma, no produce daños. Es un condicionante para que una amenaza afecte un activo.
Amenaza:
Declaración intencionada de hacer undaño (Virus, acceso no autorizado, robo).
Eventos naturales que pueden desencadenar daños materiales o pérdidas inmateriales en sus activos. Las amenazas se pueden materializar y transformarse en agresiones.
Riesgos:
Potencial explotación de una vulnerabilidad de un activos de información por una amenaza.
Se valora como una función del impacto, amenaza, vulnerabilidad y de la probabilidad deun ataque exitoso.
Ataque:
Acción intencional e injustificada (desde el punto de vista del atacado). Intento por romper la seguridad de un sistema o de un componente del sistema.
Atacante:
Alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una vulnerabilidad.
Safety & Security:
Prevención en contra de actos intencionales vsintencionales por parte de terceros.
Definición de política de seguridad:
Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y defínelos criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en eltecnológico.
¿Por qué son importantes las políticas de seguridad?
Los recursos IT son utilizados por todos en la organización… pero no todos son gurús de IT
Son la primera línea de defensa de amenazas internas y externas
El 96% de los “ciber-ataques” fallarían si se siguiesen unas políticas de seguridad básicas
Cuando las reglas y responsabilidades no están bien definidas, la seguridad falla
No sonsólo un concepto con el que “aplacar” los auditores (¡no deben serlo!)
Las políticas que son copias de guías de mejores prácticas son como las dietas y el ejercicio físico… algo a lo que se aspira, pero que rara vez se consigue
Áreas de normalización
Tecnológica
Hay quienes consideran que la seguridad de la información es apenas un problema tecnológico. Pero lo importante es definir losaspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios. Sin embargo, no se debe dejar de lado las cuestiones relacionadas con la buena conducta y la ética profesional de los usuarios.Humana
Otras personas ven a la seguridad como un problema únicamente humano. Es importante definir primero la conducta considerada adecuada para el tratamiento de la información y de los recursos utilizados. Por lo tanto, sin el apoyo de la Administración, el programa de seguridad no consigue dirigir las acciones necesarias para modificar la cultura de seguridad actual. El resultado es unprograma de seguridad sin el nivel de cultura deseado y la falta de monitoreo más apropiado al orientar empleados, proveedores, clientes y socios. Sin embargo, no se debe dejar de lado los temas tecnológicos y su sofisticación, una vez que también son determinantes para la implementación de soluciones de seguridad adecuadas y eficientes.
Norma ISO-IRAM 17799
¿Qué es la norma ISO 17799?
Es...
Leer documento completo
Regístrate para leer el documento completo.