Políticas de seguridad

Escrito por urjc-informaticajavier 27-02-2018 en Aprendizaje. Comentarios (0)

La Seguridad de la Información se caracteriza como la preservación de:

1. Su confidencialidad: asegurando que sólo quienes estén autorizados pueden acceder a la información.
2. Su integridad: asegurando que la información y sus métodos de proceso son exactos y completos.                                                        3. Su disponibilidad: asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. 

La seguridad de la información se consigue implantando un conjunto adecuado de controles, tales como políticas, prácticas, procedimientos, estructuras organizativas y funciones de software. Estos controles han sido establecidos para asegurar que se cumplen los objetivos específicos de seguridad de la empresa.

Son también conocidas como políticas de DataSec (Data Security)

Características básicas y estructuración: 

  1. Se establecen anualmente objetivos con relación a la Seguridad de la Información.
  2. Se desarrolla un proceso de análisis del riesgo y de acuerdo a su resultado, se implementen las acciones correspondientes con el fin de tratar los riesgos que se consideren inaceptables, según los criterios establecidos en el Manual de Gestión.
  3. Se establecen los objetivos de control y los controles correspondientes, en virtud de las necesidades que en materia de riesgos surjan del proceso de Análisis de riesgos manejado.
  4. Se cumple con los requisitos del negocio, legales o reglamentarios y las obligaciones contractuales de seguridad. 
  5. Se brinda concientización y entrenamiento en materia de seguridad de la información a todo el personal.
  6. Se establecen los medios necesarios para garantizar la continuidad del negocio de la empresa.
  7. Se sanciona cualquier violación a esta política y a cualquier política o procedimiento del SGSI.
  8. Todo empleado es responsable de registrar y reportar las violaciones a la seguridad, confirmadas o sospechadas.
  9. Todo empleado es responsable de preservar la confidencialidad, integridad y disponibilidad de los activos de información en cumplimiento de la presente política y de las políticas y procedimientos inherentes al Sistema de Gestión de la Seguridad de la Información.
  10. El Jefe de Seguridad de la Información es responsable directo sobre el mantenimiento de esta política por brindar consejo y guía para su implementación, así como también investigar toda violación reportada por el personal.

En el caso de un hogar, un posible ejemplo de política de seguridad podría ser:

1. Realizar un respaldo de la información solicitada cada semana.

2. Mantener cerradas las cuentas de correo, bancarias siempre que se haya dejado de utilizar.

3. No visitar lugares de ocio sospechosos y sitios pornográficos con el fin de evitar SPAM. 

4. Nunca compartir información privada como claves de redes WI-FI, u otras con dispositivos ajenos.

5. Evitar el uso de las mismas contraseñas para los diferentes dispositivos conectados a una red local.

6. Prohibir la ocupación cuasi total de la memoria RAM de los dispositivos de la red.

7. Nunca utilizar mas de 4 dispositivos a la vez, con el fin de evitar errores de conexión. 

8. Nunca descargar documentos como música, libros on-line, etcétera; de forma ilegal salvo que este previsto en la ley.

9. El Jefe de Seguridad será responsable de establecer un continuo control de la política de seguridad informática y en caso de violación contactar con las autoridades o intervenir para la mediación y solución del problema. en este caso, el Jefe de Seguridad será la empresa MasterSeguridad. 

Además, el incumplimiento de este política, estará sancionado con una privación del internet durante un periodo de tiempo de 30 días desde que se lleve a cabo ese incumplimiento, y en el caso de que alguien externo viole esa política, será sancionado con una multa desde 100 hasta 500€, en función de la gravedad del asunto.

Características básicas y estructuración: 

A continuación observamos una serie de activos que conforman una red WI-FI ordinaria; no sólo podemos ver que tipo de dispositivo es el que está conectado a la red; sino también el riesgo que sufren de poder ser dañadas o manipuladas si no se cumple la política de seguridad anteriormente mencionada.


Siguiendo el modelo; he escogido personalmente:

16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN.

     16.1 Gestión de incidentes de seguridad de la información y mejoras.

              16.1.1 Responsabilidades y procedimientos: se podrían establecer una serie de responsabilidades de los usuarios y una                       serie de procedimientos en cuanto al uso de los dispositivos dentro de la red.

             16.1.2 Notificación de los eventos de seguridad de la información: un sistema de control que vigile los incidentes y sus                        eventos de seguridad podría ser muy eficaz para evitar su aparición.

              16.1.3 Notificación de puntos débiles de la seguridad: otro punto fuerte, ya que si detectamos los puntos débiles de la red,                  podremos fortalecer dicha red para evitar la aparición de esos problemas en un futuro próximo.

              16.1.4 Valoración de eventos de seguridad de la información y toma de decisiones: una valoración o evaluación de los                      procedimientos o eventos de seguridad podría ayudarnos a saber si esos eventos están bien elaborados y sobretodo si son                      eficaces en cuanto a su aplicación.

              16.1.5 Respuesta a los incidentes de seguridad: la elaboración de una solución como respuesta a ese problema.

              16.1.6 Aprendizaje de los incidentes de seguridad de la información: mediante el aprendizaje de los errores, sabremos                      como no actuar mas adelante, por lo que podríamos decir que se somete al mismo proceso que en el punto 16.1.3 en cuanto a                  la detección de los puntos débiles.

              16.1.7 Recopilación de evidencias.

Personalmente pienso que este modelo, más concretamente, la gestión de incidentes en la seguridad de la información podría ser algo clave ya que mediante el control de esos incidentes, nuestra seguridad informática siempre estará asegurada.