trabajo de auditoria
Páginas: 10 (2279 palabras)
Publicado: 12 de enero de 2015
Evaluacion del procesamiento de datos a nivel organizacional
POLÍTICAS DE SEGURIDAD INFORMÁTICA
Las Políticas de Seguridad Informática (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía desarrollarse y mantenerse en susector de negocios.
"una Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema." (3)
La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemasinformáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán." (4)
La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...) una política de seguridad es una forma de comunicarse con losusuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas." (5) y debe:
* Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
* Adecuarse a las necesidades yrecursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.
* Seratemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
* Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente,Control, Autenticidad y Utilidad.
Implementación de una Política de Seguridad
Es un proceso Técnico-Administrativo. Como este proceso debe abarcar toda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.
Se deberá tener en cuenta que la implementación de Políticas deSeguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organización. La implementación de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organización, tanto técnica como administrativamente
Una PSI informática deberá abarcar:
* Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.
* Objetivos de lapolítica y descripción clara de los elementos involucrados en su definición.
* Responsabilidad de cada uno de los servicios, recurso y responsables en todos losniveles de la organización.
* Responsabilidades de los usuarios con respecto a la información que generan y a la que tienen acceso.
* Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política.
*Definición de violaciones y las consecuencias del no cumplimiento de la política.
* Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qué pasara o cuándo algo sucederá; ya que no es unasentencia obligatoria de la ley.
* Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas.
* Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la...
POLÍTICAS DE SEGURIDAD INFORMÁTICA
Las Políticas de Seguridad Informática (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía desarrollarse y mantenerse en susector de negocios.
"una Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema." (3)
La RFC 1244 define Política de Seguridad como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemasinformáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán." (4)
La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero... ante todo, "(...) una política de seguridad es una forma de comunicarse con losusuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas." (5) y debe:
* Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
* Adecuarse a las necesidades yrecursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz.
* Seratemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
* Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente,Control, Autenticidad y Utilidad.
Implementación de una Política de Seguridad
Es un proceso Técnico-Administrativo. Como este proceso debe abarcar toda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.
Se deberá tener en cuenta que la implementación de Políticas deSeguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organización. La implementación de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organización, tanto técnica como administrativamente
Una PSI informática deberá abarcar:
* Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.
* Objetivos de lapolítica y descripción clara de los elementos involucrados en su definición.
* Responsabilidad de cada uno de los servicios, recurso y responsables en todos losniveles de la organización.
* Responsabilidades de los usuarios con respecto a la información que generan y a la que tienen acceso.
* Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política.
*Definición de violaciones y las consecuencias del no cumplimiento de la política.
* Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qué pasara o cuándo algo sucederá; ya que no es unasentencia obligatoria de la ley.
* Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas.
* Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la...
Leer documento completo
Regístrate para leer el documento completo.