Una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran mayoría de los aspectos que hacen falta para un verdadero SGSI. Es recomendable subdividirla en un Plan y en una Política de seguridad.
La seguridad de la información se entiende como la preservación de las siguientes características:
Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.
La seguridad de la información se entiende como la preservación de las siguientes características:
Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma.
Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.
 |
| ELEMENTOS DE LA INFORMACIÓN |
La información
hoy en día es uno de los activos más importantes de toda empresa todo lo que se
pueda realizar en cuanto a salvaguardar los datos no está de más.
Teniendo en cuenta lo anterior vamos a presentar 10 Politicas de seguridad de la informacion:
1. PROTECCION Y RESPALDO DE LA INFORMACION.
Se
deberán implementar los mecanismos necesarios que garantizar un
adecuado tratamiento en el ciclo de vida de la información,
especialmente para los casos que requieren mantener la disponibilidad de
la misma.
La información de la empresa deberá mantenerse disponible a las personas autorizadas para ello en el momento en que se necesite.
La institución deberá identificar mecanismos que permitan que las actividades de respaldo y recuperación de la información sean adecuadas costo / beneficio.
Los niveles de protección y clasificación establecidos para la información de la institución deberán ser mantenidos en todo momento. (Acceso, toma de respaldo, backup, transporte, recuperación, otros). Por lo tanto se deben mantener los controles y medidas establecidas para esto.
La institución deberá identificar mecanismos que permitan que las actividades de respaldo y recuperación de la información sean adecuadas costo / beneficio.
Los niveles de protección y clasificación establecidos para la información de la institución deberán ser mantenidos en todo momento. (Acceso, toma de respaldo, backup, transporte, recuperación, otros). Por lo tanto se deben mantener los controles y medidas establecidas para esto.
2. ESCRITORIO Y BLOQUEO DE SESIONEvitar riesgos potenciales a los activos de información de la Empresa, asociados a su accionar cotidiano y ya sean de manera accidental o intencionada, que puedan ocasionar la interrupción total o parcial, de las actividades de la institución.
Aqui se define como deberán seguirse al interior de la institución para la protección de la información, tanto física como digitalizada y con acceso a través de los sistemas de cómputo, estos lineamientos deberán ser seguidos por todos y cada una de las áreas involucradas en estas actividades..
Aqui se define como deberán seguirse al interior de la institución para la protección de la información, tanto física como digitalizada y con acceso a través de los sistemas de cómputo, estos lineamientos deberán ser seguidos por todos y cada una de las áreas involucradas en estas actividades..
3. PROTECCION CONTRA SOFTWARE NOCIVO
Se pretende formular politicas que permitan minimizar el riesgo generado por el acceso a Internet y a redes públicas, el intercambio de medios de almacenamiento removibles, el intercambio de información con instituciones externas, etc., los cuales exponen los sistemas de la Empresa a la propagación interna y externa de software con código malicioso o nocivo, el cual puede comprometer directamente la integridad, la disponibilidad y la confidencialidad de la información procesada por cada uno de los componentes de la red.
4. PROTECCION DURANTE LA NAVEGACION EN INTERNET
Todas las aplicaciones de producción que manejen información sensible de la empresa, deben generar logs que muestren cada modificación, incorporación y borrado de la información. Esto incluye modificaciones a los sistemas de producción y modificaciones a los sistemas fuente.
Los sistemas que manejen información valiosa, sensible o crítica deben además contener y activar forzosamente el log sobre todos los eventos o procesos relacionados con la seguridad de acceso a los mismos. Ejemplo: Varios intentos de contraseña, intentos de uso de privilegios no autorizados, entre otros.
El acceso a Internet será utilizado con propósitos autorizados o con el destino por el cual fue provisto. El Responsable de Seguridad Informática definirá procedimientos para solicitar y aprobar accesos a Internet. Los accesos serán autorizados formalmente por el Responsable de la Unidad Organizativa a cargo del personal que lo solicite. Asimismo, se definirán las pautas de utilización de Internet para todos los usuarios.
5. SEGURIDAD DE COMERCIO ELECTRONICO.
Esta política pretende prevenir la revelación de información privada, el fraude en contra o en nombre de la Empresa la privacidad de la información de cuentas y la seguridad de las transacciones realizadas a través de Internet o redes externas.
6. SEGURIDAD DEL CORREO ELECTRONICO
Esta política pretende asegurar la privacidad de los mensajes de correo electrónico, el buen uso del sistema y el compromiso inherente de la Empresa al suministrar este servicio a su personal.
7. LOGGING O REGISTRO HISTORICO DE ACTIVIDADES
Todas las aplicaciones de producción que manejen información sensible de la empresa, deben generar logs que muestren cada modificación, incorporación y borrado de la información. Esto incluye modificaciones a los sistemas de producción y modificaciones a los sistemas fuente.
Los sistemas que manejen información valiosa, sensible o crítica deben además contener y activar forzosamente el log sobre todos los eventos o procesos relacionados con la seguridad de acceso a los mismos. Ejemplo: Varios intentos de contraseña, intentos de uso de privilegios no autorizados, entre otros.
8. SEGURIDAD DE LOS SISTEMAS ELECTRÓNICOS DE OFICINA
Se controlarán los mecanismos de distribución y difusión tales como documentos,computadoras, computación móvil, comunicaciones móviles, correo, correo de voz,comunicaciones de voz en general, multimedia, servicios o instalaciones postales, equipos de fax, etc.
9. POLITICA DE ACCESO A LA RED
Se controlará el acceso a los servicios de red tanto internos como externos. El Responsable del Área Informática tendrá a cargo el otorgamiento del acceso a los servicios y recursos de red, únicamente de acuerdo al pedido formal del titular de una Unidad Organizativa que lo solicite para personal de su incumbencia.
10. SEGURIDAD INSTITUCIONAL
Toda persona que ingresa como usuario nuevo a la empresa para manejar equipos de cómputo y hacer uso de servicios informáticos debe aceptar las condiciones de confidencialidad, de uso adecuado de los bienes informáticos y de la información.
No hay comentarios:
Publicar un comentario