Jóvenes por favor construyamos un artículo mediante nuestros comentarios sobre las políticas de seguridad y sus distintos ámbitos como ser diseño desarrollo aplicación etc...
Un saludo desde santa cruz...
Empesemos conociendo la definición de POLITICA DE SEGURIDAD
La política de seguridad es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática dentro de la misma.
Las políticas de seguridad definen lo que está permitido y lo que está prohibido, permiten definir los procedimientos y herramientas necesarias, expresan el consenso de los “dueños” y permiten adoptar una buena actitud dentro de la organización.
● En general se suele decir que los tres objetivos fundamentales de la seguridad informática son: – Confidencialidad; el acceso a los activos del sistema está limitado a usuarios autorizados. – Integridad; los activos del sistema sólo pueden ser borrados o modificados por usuarios autorizados. – Disponibilidad; el acceso a los activos en un tiempo razonable está garantizado para usuarios autorizados. ● Hay que identificar los objetivos de seguridad de una aplicación para saber si un diseño o implementación los satisfacen.
Desarrollo de aplicaciones seguras ● Para desarrollar una aplicación segura deberemos tener en cuenta los siguientes aspectos: 1.Control de la entrada: validar todas las entradas 2.Gestión de memoria: desbordamiento de buffers 3.Estructura interna y diseño del programa. 4.Llamadas a recursos externos: bibliotecas, scripts, ... 5.Control de la salida: formato, restricciones, ... 6.Problemas de los lenguajes de programación 7.Otros: algoritmos criptográficos, de autentificación, ...
LAS POLITICA DE SEGURIDAD es es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información que Contiene la definición de la seguridad de la información desde el punto de vista de cierta entidad. puede ser enrikesida y compatibilizada con otras políticas dependientes de ésta, objetivos de seguridad, procedimiento.
Políticas de seguridad El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.
La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.
No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo más importante para que estas surtan efecto es lograr la concienciación, entendimiento y compromiso de todos los involucrados.
Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.
Las políticas deben:
definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización mostrar el compromiso de sus altos cargos con la misma definir la filosofía respecto al acceso a los datos establecer responsabilidades inherentes al tema establecer la base para poder diseñar normas y procedimientos referidos a Organización de la seguridad Clasificación y control de los datos Seguridad de las personas Seguridad física y ambiental Plan de contingencia Prevención y detección de virus Administración de los computadores A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.
La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.
La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concienciación.
Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados Un procedimiento para administrar las actualizaciones Una estrategia de realización de copias de seguridad planificada adecuadamente Un plan de recuperación luego de un incidente Un sistema documentado actualizado Por lo tanto y como resumen, la política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos
Una política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico.
Entre los ámbitos de intervención de una política de seguridad se encuentra:
Tecnológica: Es importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios.
Humnana: No podemos olvidar el lado humano, los descuidos, falta de capacitación, interés, etc. Se pueden tener problemas de seguridad de la información si no son adecuadamente considerados dentro de la misma política.
GUÍA PARA LA ELABORACIÓN DE POLÍTICAS DE SEGURIDAD
En este documento se presenta algunos puntos que deben tenerse en cuenta al momento de desarrollar algún tipo de política, como ser: etapas de desarrollo, prácticas y responsabilidades.
Se destaca de este documento, que en el desarrollo de políticas de Seguridad Informática hay 11 etapas que pueden ser agrupadas en 4 fases. 1.Fase de desarrollo: creación, revisión y aprobación. 2.Fase de implementación: comunicación, cumplimiento y excepciones. 3.Fase de mantenimiento: concientización, monitoreo, garantía de cumplimiento y mantenimiento. 4.Fase de eliminación: retiro.
La facilidad del uso de las comunicaciones hacia el usuario final y la interconexión entre departamentos a través de dichas redes, ha traído consigo, la aparición de nuevas amenazas para los sistemas de información.
El objetivo de OptimumTIC es ofrecer una solución tecnológica y organizativa a nuestros clientes con el fin de cumplir con las normativas vigentes y conseguir una empresa segura en todos los aspectos.
Además estos procedimientos permiten concienciar a todos los miembros de la organización sobre la sensibilidad e importancia de la información y sus servicios críticos.
http://www.optimumtic.com/politicas-de-seguridad/
Crear tu política de seguridad física
Una vez que hayas evaluado las amenazas y las vulnerabilidades que tú y tu organización afrontan, debes considerar los pasos que se deben tomar para mejorar su seguridad física. Es conveniente crear una política de seguridad detallada poniendo por escrito estos pasos. El documento resultante servirá como una guía general para ti, tus colegas y cualquier persona nueva en tu organización. Este documento también debe proporcionar una lista de verificación de acciones a ser tomadas ante la ocurrencia de varias emergencias de seguridad física. Todos los involucrados deben tomarse el tiempo necesario para leerlo, implementarlo y cumplir con estas normas de seguridad. Ellos también deben ser alentados a realizar preguntas y proponer sugerencias de cómo mejorar el documento.
Tu política de seguridad física puede contener varias secciones, dependiendo de las circunstancias:
Una política de ingreso a la oficina que aborde los sistemas de alarma, cuantas llaves existen y quienes las tienen, cuando se admiten invitados en la oficina, quienes tienen el contrato de limpieza y otros asuntos pertinentes Una política sobre que partes de la oficina deben estar restringidas a visitantes autorizados. Un inventario de tu equipo, incluyendo los números de serie y las descripciones físicas. Un plan para la disposición segura de papeles que contengan información sensible Procedimientos de emergencia relacionados a: Quién debe ser notificado en caso de que información sensible sea revelada o extraviada A quién contactar en caso de incendio, inundación, u otro desastre natural. Cómo ejecutar ciertas reparaciones clave de emergencia. Cómo contactar con las compañías u organizaciones que proporcionan servicios tales como energía eléctrica, agua y acceso a Internet. Cómo recuperar información de tu sistema de respaldo externo. Puedes hallar consejos más detallados sobre copias de respaldo en el capítulo 5. Recuperar información perdida.
Tu política de seguridad debe ser revisada y modificada periódicamente para reflejar cualquier cambio en la política que se haya realizado desde la última revisión. Y por supuesto, no olvides respaldar tu documento de política de seguridad junto con el resto de tu información importante. Dirígete a la sección de Lecturas Adicionales para mayor información sobre la creación de una política de seguridad.
El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.
Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.
Las políticas deben:
definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización mostrar el compromiso de sus altos cargos con la misma definir la filosofía respecto al acceso a los datos establecer responsabilidades inherentes al tema establecer la base para poder diseñar normas y procedimientos referidos a Organización de la seguridad Clasificación y control de los datos Seguridad de las personas Seguridad física y ambiental Plan de contingencia Prevención y detección de virus Administración de los computadores
A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.
La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.
La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concienciación.
Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados Un procedimiento para administrar las actualizaciones Una estrategia de realización de copias de seguridad planificada adecuadamente Un plan de recuperación luego de un incidente Un sistema documentado actualizado
Por lo tanto y como resumen, la política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.
un modelo de diseño orientado a la seguridad que genere sinergia entre el área de seguridad y desarrollo, nos acerca un paso más hacia el despliegue de aplicaciones más robustas y mucho más rentables.
Se presenta una lista de problemáticas comunes al momento de diseñar aplicaciones, que pueden llegar a afectar la seguridad en el producto final. Veamos cuáles son estos consejos para el diseño seguro, estas son:
1. Ningún componente es confiable hasta demostrar lo contrario 2. Delinear mecanismos de autenticación difíciles de eludir 3. Autorizar, además de autenticar 4. Separar datos de instrucciones de control 5. Validar todos los datos explícitamente 6. Utilizar criptografía correctamente 7. Identificar datos sensibles y cómo se los debería gestionar 8. Considerar siempre a los usuarios del sistema 9. La integración de componentes cambia la superficie de ataque 10. Considerar cambios futuros en objetos y actores
Estos son los 10 consejos para el diseño y desarrollo seguro de aplicaciones.
Parámetros para Establecer Políticas de Seguridad Es importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos: Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa. Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas. Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área. Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente. Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas.
------------------------------------------------- Razones que Impiden la Aplicación de las Políticas de Seguridad Informática A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática. Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: "más dinero para juguetes del Departamento de Sistemas".
Políticas de Seguridad Es el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales qué está y qué no está permitido en el área de seguridad durante la operación general de dicho sistema.
Una política de seguridad puede ser prohibitiva, si todo lo que no está expresamente permitido está denegado, es decir, si una organización proporciona una serie de servicios bien determinados y documentados, y cualquier otra cosa esta prohibida, o permisiva, si todo lo que no está expresamente prohibido está permitido.
Cualquier política ha de contemplar seis elementos claves en la seguridad de un sistema informático: Disponibilidad Es necesario garantizar que los recursos del sistema se encontrarán disponibles cuando se necesitan, especialmente la información crítica. Utilidad Los recursos del sistema y la información manejada en el mismo han de ser útil para alguna función. Integridad La información del sistema ha de estar disponible tal y como se almacenó por un agente autorizado. Autenticidad El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema. Confidencialidad La información sólo ha de estar disponible para agentes autorizados, especialmente su propietario. Posesión Los propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios.
S E G U R I D A D E N E L A N A L I S I S Durante el análisis de requerimientos, se pueden identificar diversas características que derivarán en los requerimientos de seguridad del software. * Arquitectura de la aplicación. * Plataforma donde correrá la aplicación. * Requerimiento de compliance con normativas y marcos regulatorios. * Tipo de conectividad * Tipos de datos que se almacenarán o transmitirán * Perfiles de usuario necesarios para la aplicación. * Tipos de registro que el sistema debe generar. REQUISITOS DE SEGURIDAD INFORMÁTICA PARA ADQUISICIÓN Y DESARROLLO DE SOFTWARE Seguridad en el análisis de requerimientos - Arquitectura de la aplicación - Mecanismo de autenticación de usuarios - Administración de usuarios - Administración de contraseñas - Encripción - Transmisión - Registro de eventos
S E G U R I D A D E N E L D I S E Ñ O
Reducción de superficie de ataque Superficie de ataque: Puntos de entrada que tiene una aplicación desde el punto de vista de un atacante. Cuanto menor sea nuestra superficie de ataque, menos posibilidades tendrá un potencial atacante de explotar vulnerabilidades en nuestro sistema. * Servicios/procesos activos * Sockets TCP/UDP * Características del sistema * Usuarios de la aplicación sin privilegios administrativos ni demo. * Repositorios de ejemplo * Archivos temporales / Archivos de intercambio
Defensa en profundidad * Implementar medidas de seguridad en TODAS las capas del sistema. * Asumir siempre que la capa anterior pudo ser comprometida * Nunca confiar en los datos recibidos
Manejo seguro de mensajes de error * Brindar únicamente la información necesaria para que el usuario tome las acciones correspondientes. * Evitar mostrar los mensajes de error de otras capas y aplicaciones. * Expresar los mensajes de manera clara y concisa.
Auditoría y logging * Los registros de auditoría son una herramienta de vital importancia en cualquier aplicación. * Una buena aplicación, debería proveer facilidades de logging para: Definir qué eventos a registrar, Definir distintos niveles de logging, Definir cómo y dónde registrarlos.
Diseño de autenticación ¿Qué hay que tener en cuenta en la etapa de diseño? * Autenticación local vs. autenticación externa (integrada). * Tipos de autenticación (integrada vs. propia). * Factores de autenticación. * Usuarios y contraseñas por defecto. * Nivel de acceso de los usuarios por defecto. * Bloqueo de cuentas / vs. Captcha.
S E G U R I D A D E N E L D E S A R R O L L O
Programadores ¿Cómo es la relación de seguridad informática con los programadores? ¿Cómo ven los programadores al área de seguridad informática? Áreas de desarrollo interno y la tercerización del desarrollo > CLAVE: CAPACITACIÓN Y CONCIENTIZACIÓN
Tipos de Vulnerabilidades El impacto depende del tipo general de vulnerabilidad y las condiciones particulares del software y el sistema donde se ejecuta. Tipos más comunes: Stack buffer overflows, Heap buffer overflows, SQL Injections.
Revelación de información Es la publicación de información sensible acerca de la Aplicación, su arquitectura, configuración o implementación. Dicha información es utilizada como fuente para la diagramación de ataques más avanzados. Algunos ejemplos: * Comentarios en código fuente. * Información de rutas y nombres de archivos.
Recomendaciones de seguridad * Principio del menor privilegio. * Evitar correr la aplicación /servicio con privilegios administrativos * Validar SIEMPRE los valores de entrada. * Proteger de archivos de configuración y registro.
Programación segura * Programación de forma segura (C++, Java, .NET, etc.) * Training / explicación / monitoreo a los desarrolladores. * Revisión de código (automatizada y manual).
Buenas ing. y compañeros aportando un poco más a la mayoría de sus comentarios. Puedo decir también que una política de seguridad se la define como, el conjunto de normas y procedimientos establecidos por una organización para poder regular el uso de la información y de los sistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma. Ya que la seguridad informática cuenta también con objetivos fundamentales como ser: la Confidencialidad, Integridad y por supuesto la Disponibilidad. A su vez argumentar que la política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde definen las medidas para proteger la seguridad del sistema. Si nos damos cuenta en la pág. 16 de políticas de seguridad que el ing. nos proporcionó en las primeras clases para retroalimentar nuestros conocimientos vemos el MODELO DE ESTRUCTURA DE POLÍTICA que es muy importante y nos muestra tres grandes secciones como las directrices, normas, los procedimientos e instrucciones de trabajo. Y su estructura de sustentación que está formada por tres grandes aspectos que son: Herramientas Cultura y monitoreo.
Políticas de Seguridad Proceso del Diseño de Políticas
Para diseñar un articulo en politica de seguridad tenemmos que especificar el alcance de las políticas y los objetos de las mismas, consistentemente con la misión de seguridad previamente establecida.
Las políticas promulgadas deben escribirse en párrafos que sean, cada uno por separado, implementarles mediante un mecanismo específico. Es decir, hay que procurar pensar claramente en la conveniencia de que las políticas sean sumamente específicas, si esto se puede lograr, es deseable fragmentar las políticas por departamento o unidad de trabajo.
Podemos entonces pensar} en una jerarquía de políticas, unas con aplicabilidad general, y otras para aplicabilidad para grupos o tareas específicas.
Todos aquellos que serían afectados por las políticas deben tener la oportunidad de revisarlas y hacer comentarios antes de que se promulguen, deben contar con el apoyo total de los administradores.
En esta etapa deben considerarse los mecanismos de difusión, capacitación y concientización iniciales y permanentes sobre seguridad informática.
La política de seguridad es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática dentro de la misma.
Las políticas de seguridad definen lo que está permitido y lo que está prohibido, permiten definir los procedimientos y herramientas necesarias, expresan el consenso de los “dueños” y permiten adoptar una buena actitud dentro de la organización
Las políticas de seguridad informática muchas veces ayudan a tomar decisiones sobre otros tipos de política (propiedad intelectual, destrucción de la información, etc.). También son útiles al tomar decisiones sobre adquisiciones porque algunos equipos o programas no serán aceptables en términos de las políticas mientras que otras la sustentaran.
Las políticas de seguridad informática deben considerarse como un documento de largo plazo, que evolucionan. No contienen asuntos específicos de complementación, pero si asuntos específicos del equipo de cómputo y telecomunicaciones de la organización. Probablemente serán la guía para el diseño de cambios a esos sistemas.
El desarrollo e implantación de políticas de seguridad informática es una indicación de que una organización está bien administrada y los auditores lo toman en cuenta en sus evaluaciones. Condicen a una profesionalización de la organización.
en resumen al implementar políticas de seguridad a una institución o empresa es hacer un plan de resguarde toda la integridad de una institución o empresa desde implementacion de normas para su funcionamiento desde el cuidado de un ordenador hasta un backup, las políticas de seguridad se las implementan para mantener segura una institución o empresa.
Agregando a las definiciones de mis compañeros la política de seguridad también es un conjunto de leyes y reglas que permiten regularizar para dirigir, proteger y distribuir recursos en una organización y llevar a cabo los objetivos de seguridad informática dentro de la misma. A su vez definen lo que está permitido y lo que está prohibido, permiten definir los procedimientos y herramientas necesarias, expresan el consenso de los “dueños” y permiten adoptar una buena actitud dentro de la organización.
LAS POLÍTICAS DE SEGURIDAD informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cómputo de las empresas.
información necesaria a los usuarios, empleados y gerentes, de las normas y mecanismos que deben cumplir y utilizar para proteger el hardware y software de la Red, así como la información que es procesada y almacenada en estos
Los objetivos que se desean alcanzar luego de implantar las Políticas de Seguridad son los siguientes: • Establecer un esquema de seguridad con perfecta claridad y transparencia bajo la responsabilidad de los ATI en la administración del riesgo. • Compromiso de todo el personal de Las Empresas con el proceso de seguridad, agilizando la aplicación de los controles. • Políticas de Seguridad Informática • Que la prestación del servicio de seguridad gane en calidad. • Todos los empleados se convierten en interventores del sistema de seguridad.
POLÍTICA DE SEGURIDAD EN EL PROCESO DE DESARROLLO DE APLICACIONES . La disponibilidad de los requisitos de seguridad en la política hace posible que el equipo de desarrollo pueda crear un software con una mentalidad de privilegios mínimos de tal forma que pueda implementarse con una mínima superficie de ataque en un entorno operativo restringido. Asimismo, los clientes pueden habilitar funcionalidades de tal forma que se adapte a la configuración requerida por sus propias políticas de seguridad.
aportando un poco mas de lo que comentaron mis compañeros se podria mencionar las: Guía para la elaboración de políticas de seguridad
Es importante resaltar que una política de seguridad tiene un ciclo de vida completo mientras esta en vigencia. Este ciclo de vida incluye un esfuerzo de investigación, gran labor de escribirla, conseguir que sea aprobada, lograr que sea diseminada a través de la empresa, conseguir que los usuarios d importancia a la política. Si no se consigue que este ciclo de vida se corre el riesgo de desarrollar políticas. Como parte de los lineamientos, la política de seguridad debe convertirse en el punto de articulación del negocio con los intereses de la seguridad de la información, para lo cual debe convertirse en un documento donde se contemplen los diferentes niveles de detalle que requieren ser gestionados. Algunos de los aspectos que cómo mínimo deberían tenerse en cuenta en este documento son la clasificación de la información y los lineamientos de seguridad relacionados con los objetivos del negocio. Como parte de los lineamientos, la política de seguridad debe convertirse en el punto de articulación del negocio con los intereses de la seguridad de la información, para lo cual debe convertirse en un documento donde se contemplen los diferentes niveles de detalle que requieren ser gestionados. Algunos de los aspectos que cómo mínimo deberían tenerse en cuenta en este documento son la clasificación de la información y los lineamientos de seguridad relacionados con los objetivos del negocio.
PARA QUE LA POLÍTICA DE SEGURIDAD SEA UN DOCUMENTO DE UTILIDAD EN LA ORGANIZACIÓN Y CUMPLA CON LO ESTABLECIDO EN LA NORMA ISO 27001. DEBE CUMPLIR CON LOS SIGUIENTES REQUISITOS.
Debe ser redactada, de una manera accesible para todo el personal de la empresa por lo tanto debe ser corta y precisa y de fácil compresión. Debe ser aprobada por la dirección y publicitada por la misma. Debe ser de dominio público de la organización porque lo debe estar dispuesta para cualquier consulta siempre que sea necesario Debe ser la referencia para resolver conflictos y otras cuestiones relativas a la seguridad de la información. Debe definir responsabilidades teniendo en cuenta en función de las responsabilidades se dirá quien está autorizada a qué tipo de información Debe estar personalizada para cada organización, Debe señalar las normas y reglas que va optar la organización y las medidas de seguridad. Debe proteger tanto la información como el personal de la organización.
Empesemos conociendo la definición de POLITICA DE SEGURIDAD
ResponderEliminarLa política de seguridad es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática dentro de la misma.
Las políticas de seguridad definen lo que está permitido y lo que está prohibido, permiten definir los procedimientos y herramientas necesarias, expresan el consenso de los “dueños” y permiten adoptar una buena actitud dentro de la organización.
Principios de seguridad
ResponderEliminar● En general se suele decir que los tres objetivos fundamentales de la seguridad informática son:
– Confidencialidad; el acceso a los activos del sistema está limitado a usuarios autorizados.
– Integridad; los activos del sistema sólo pueden ser borrados o modificados por usuarios autorizados.
– Disponibilidad; el acceso a los activos en un tiempo razonable está garantizado para usuarios autorizados.
● Hay que identificar los objetivos de seguridad de una aplicación para saber si un diseño o implementación los satisfacen.
Desarrollo de aplicaciones seguras
● Para desarrollar una aplicación segura deberemos tener en cuenta los siguientes aspectos:
1.Control de la entrada: validar todas las entradas
2.Gestión de memoria: desbordamiento de buffers
3.Estructura interna y diseño del programa.
4.Llamadas a recursos externos: bibliotecas, scripts, ...
5.Control de la salida: formato, restricciones, ...
6.Problemas de los lenguajes de programación
7.Otros: algoritmos criptográficos, de autentificación, ...
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CBwQFjAAahUKEwiA7ufbm8XIAhUF2R4KHXIGC34&url=http%3A%2F%2Fwww.uv.es%2Fsto%2Fcharlas%2FSDA%2FSDA.pdf&usg=AFQjCNFxp97Vc7PxLawwuz8bUrSkxCVAQA&sig2=BV9Zqh1U19-Vul9QQO07gA&bvm=bv.105039540,d.dmo&cad=rja
LAS POLITICA DE SEGURIDAD es es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información que Contiene la definición de la seguridad de la información desde el punto de vista de cierta entidad.
ResponderEliminarpuede ser enrikesida y compatibilizada con otras políticas dependientes de ésta, objetivos de seguridad, procedimiento.
Políticas de seguridad
El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.
La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.
No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo más importante para que estas surtan efecto es lograr la concienciación, entendimiento y compromiso de todos los involucrados.
Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.
Las políticas deben:
definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización
mostrar el compromiso de sus altos cargos con la misma
definir la filosofía respecto al acceso a los datos
establecer responsabilidades inherentes al tema
establecer la base para poder diseñar normas y procedimientos referidos a
Organización de la seguridad
Clasificación y control de los datos
Seguridad de las personas
Seguridad física y ambiental
Plan de contingencia
Prevención y detección de virus
Administración de los computadores
A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.
La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.
La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concienciación.
Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realización de copias de seguridad planificada adecuadamente
Un plan de recuperación luego de un incidente
Un sistema documentado actualizado
Por lo tanto y como resumen, la política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos
Este comentario ha sido eliminado por el autor.
ResponderEliminarComo crear una politica de seguridad:
ResponderEliminar-Primero identificar qué activos se quiere proteger, pueden ser: hardware, software, datos, personas o documentacion.
-Segundo identificar amenazas, que pueden ser internas o externas
-Evaluar los riesgos, debe calularse la posibilidad de que ocurran y su costo de daños
-Asignar responsabilidades, asignar a un equipo la funcion de buscar amenazas potenciales
-Establecer politicas de seguridad, cree politicas que apunten a documentos, parametros, procedimientos y normas.
-Implementar una politica en toda la organizacion, que debe tener cumplimiento, funconarios de seguridad y financiacion.
Normatividad de la Politica de Seguridad:
Son lineamientos, reglas y recomendaciones para respaldar las politicas de seguridad, tiene tres grandes secciones:
Direcctrices: son reglas generales estrategicas que expresan los valores de seguridad de la organizacion.
Normas: son dirigidas a los usuarios para el uso de los recursos.
Procedimientos: son un conjunto de orientaciones para realizar operaciones operativas
Fuente:
https://seguridadinformaticaufps.wikispaces.com/Politicas,+Planes+y+Procedimientos+de+Seguridad
Páginas con informacion sobre el tema:
https://prezi.com/whxiuynnlfy5/ejemplos-de-politicas-de-seguridad-informatica-en-una-organizacion/
http://www.taringa.net/post/ciencia-educacion/10396595/Politicas-de-Seguridad-Informatica.html
Este comentario ha sido eliminado por el autor.
ResponderEliminarUna política de seguridad es un conjunto de directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean adoptados a nivel local o institucional, con el objetivo de establecer, estandardizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico.
ResponderEliminarEntre los ámbitos de intervención de una política de seguridad se encuentra:
Tecnológica: Es importante es definir los aspectos más técnicos del buen funcionamiento de servidores, estaciones de trabajo, acceso a Internet, etc. Para eso, el apoyo de la Administración es fundamental, pues sin ella el programa de seguridad quedaría sin inversiones para la adquisición de los recursos necesarios.
Humnana: No podemos olvidar el lado humano, los descuidos, falta de capacitación, interés, etc. Se pueden tener problemas de seguridad de la información si no son adecuadamente considerados dentro de la misma política.
FUENTE:
http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap4.html
http://www.segu-info.com.ar/politicas/
GUÍA PARA LA ELABORACIÓN DE POLÍTICAS DE SEGURIDAD
ResponderEliminarEn este documento se presenta algunos puntos que deben tenerse en cuenta al momento de desarrollar algún tipo de política, como ser: etapas de desarrollo, prácticas y responsabilidades.
Se destaca de este documento, que en el desarrollo de políticas de Seguridad Informática hay 11 etapas que pueden ser agrupadas en 4 fases.
1.Fase de desarrollo: creación, revisión y aprobación.
2.Fase de implementación: comunicación, cumplimiento y excepciones.
3.Fase de mantenimiento: concientización, monitoreo, garantía de cumplimiento y mantenimiento.
4.Fase de eliminación: retiro.
Link:https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&ved=0CDMQFjADahUKEwjtmI6W98XIAhVH1IAKHXqjDUU&url=http%3A%2F%2Fwww.dnic.unal.edu.co%2Fdocs%2Fguia_para_elaborar_politicas_v1_0.pdf&usg=AFQjCNH-qW6_AZd9gkSZODrK-rZux15ldQ&sig2=RM1RuBddRzx2cKpl6u6ZSA
Este comentario ha sido eliminado por el autor.
ResponderEliminarpoliticas de seguridad
ResponderEliminarLa facilidad del uso de las comunicaciones hacia el usuario final y la interconexión entre departamentos a través de dichas redes, ha traído consigo, la aparición de nuevas amenazas para los sistemas de información.
El objetivo de OptimumTIC es ofrecer una solución tecnológica y organizativa a nuestros clientes con el fin de cumplir con las normativas vigentes y conseguir una empresa segura en todos los aspectos.
Además estos procedimientos permiten concienciar a todos los miembros de la organización sobre la sensibilidad e importancia de la información y sus servicios críticos.
http://www.optimumtic.com/politicas-de-seguridad/
Crear tu política de seguridad física
Una vez que hayas evaluado las amenazas y las vulnerabilidades que tú y tu organización afrontan, debes considerar los pasos que se deben tomar para mejorar su seguridad física. Es conveniente crear una política de seguridad detallada poniendo por escrito estos pasos. El documento resultante servirá como una guía general para ti, tus colegas y cualquier persona nueva en tu organización. Este documento también debe proporcionar una lista de verificación de acciones a ser tomadas ante la ocurrencia de varias emergencias de seguridad física. Todos los involucrados deben tomarse el tiempo necesario para leerlo, implementarlo y cumplir con estas normas de seguridad. Ellos también deben ser alentados a realizar preguntas y proponer sugerencias de cómo mejorar el documento.
Tu política de seguridad física puede contener varias secciones, dependiendo de las circunstancias:
Una política de ingreso a la oficina que aborde los sistemas de alarma, cuantas llaves existen y quienes las tienen, cuando se admiten invitados en la oficina, quienes tienen el contrato de limpieza y otros asuntos pertinentes
Una política sobre que partes de la oficina deben estar restringidas a visitantes autorizados.
Un inventario de tu equipo, incluyendo los números de serie y las descripciones físicas.
Un plan para la disposición segura de papeles que contengan información sensible
Procedimientos de emergencia relacionados a:
Quién debe ser notificado en caso de que información sensible sea revelada o extraviada
A quién contactar en caso de incendio, inundación, u otro desastre natural.
Cómo ejecutar ciertas reparaciones clave de emergencia.
Cómo contactar con las compañías u organizaciones que proporcionan servicios tales como energía eléctrica, agua y acceso a Internet.
Cómo recuperar información de tu sistema de respaldo externo. Puedes hallar consejos más detallados sobre copias de respaldo en el capítulo 5. Recuperar información perdida.
Tu política de seguridad debe ser revisada y modificada periódicamente para reflejar cualquier cambio en la política que se haya realizado desde la última revisión. Y por supuesto, no olvides respaldar tu documento de política de seguridad junto con el resto de tu información importante. Dirígete a la sección de Lecturas Adicionales para mayor información sobre la creación de una política de seguridad.
https://info.securityinabox.org/es/chapter_2_4
El objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.
ResponderEliminarLas políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.
Las políticas deben:
definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización
mostrar el compromiso de sus altos cargos con la misma
definir la filosofía respecto al acceso a los datos
establecer responsabilidades inherentes al tema
establecer la base para poder diseñar normas y procedimientos referidos a
Organización de la seguridad
Clasificación y control de los datos
Seguridad de las personas
Seguridad física y ambiental
Plan de contingencia
Prevención y detección de virus
Administración de los computadores
A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.
La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.
La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concienciación.
Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realización de copias de seguridad planificada adecuadamente
Un plan de recuperación luego de un incidente
Un sistema documentado actualizado
Por lo tanto y como resumen, la política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.
http://recursostic.educacion.es/observatorio/web/en/software/software-general/1040-introduccion-a-la-seguridad-informatica?showall=1
un modelo de diseño orientado a la seguridad que genere sinergia entre el área de seguridad y desarrollo, nos acerca un paso más hacia el despliegue de aplicaciones más robustas y mucho más rentables.
ResponderEliminarSe presenta una lista de problemáticas comunes al momento de diseñar aplicaciones, que pueden llegar a afectar la seguridad en el producto final. Veamos cuáles son estos consejos para el diseño seguro, estas son:
1. Ningún componente es confiable hasta demostrar lo contrario
2. Delinear mecanismos de autenticación difíciles de eludir
3. Autorizar, además de autenticar
4. Separar datos de instrucciones de control
5. Validar todos los datos explícitamente
6. Utilizar criptografía correctamente
7. Identificar datos sensibles y cómo se los debería gestionar
8. Considerar siempre a los usuarios del sistema
9. La integración de componentes cambia la superficie de ataque
10. Considerar cambios futuros en objetos y actores
Estos son los 10 consejos para el diseño y desarrollo seguro de aplicaciones.
http://www.welivesecurity.com/la-es/2015/03/12/10-consejos-desarrollo-seguro-de-aplicaciones/
EliminarParámetros para Establecer Políticas de Seguridad
ResponderEliminarEs importante que al momento de formular las políticas de seguridad informática, se consideren por lo menos los siguientes aspectos:
Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa.
Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas.
Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.
Identificar quién tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar los activos críticos su área.
Monitorear periódicamente los procedimientos y operaciones de la empresa, de forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
Detallar explícita y concretamente el alcance de las políticas con el propósito de evitar situaciones de tensión al momento de establecer los mecanismos de seguridad que respondan a las políticas trazadas.
-------------------------------------------------
Razones que Impiden la Aplicación de las Políticas de Seguridad Informática
A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan el éxito, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas políticas de seguridad informática.
Otros inconvenientes lo representan los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los Gerentes de Informática o los especialistas en seguridad, que llevan a los altos directivos a pensamientos como: "más dinero para juguetes del Departamento de Sistemas".
Políticas de Seguridad
ResponderEliminarEs el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales qué está y qué no está permitido en el área de seguridad durante la operación general de dicho sistema.
Una política de seguridad puede ser prohibitiva, si todo lo que no está
expresamente permitido está denegado, es decir, si una organización proporciona
una serie de servicios bien determinados y documentados, y cualquier otra cosa
esta prohibida, o permisiva, si todo lo que no está expresamente prohibido está
permitido.
Cualquier política ha de contemplar seis elementos claves en la seguridad de un
sistema informático:
Disponibilidad
Es necesario garantizar que los recursos del sistema se encontrarán disponibles
cuando se necesitan, especialmente la información crítica.
Utilidad
Los recursos del sistema y la información manejada en el mismo han de ser útil
para alguna función.
Integridad
La información del sistema ha de estar disponible tal y como se almacenó por un
agente autorizado.
Autenticidad
El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios
la del sistema.
Confidencialidad
La información sólo ha de estar disponible para agentes autorizados,
especialmente su propietario.
Posesión
Los propietarios de un sistema han de ser capaces de controlarlo en todo
momento; perder este control en favor de un usuario malicioso compromete la
seguridad del sistema hacia el resto de usuarios.
S E G U R I D A D E N E L A N A L I S I S
ResponderEliminarDurante el análisis de requerimientos, se pueden identificar diversas
características que derivarán en los requerimientos de seguridad del
software.
* Arquitectura de la aplicación.
* Plataforma donde correrá la aplicación.
* Requerimiento de compliance con normativas y marcos regulatorios.
* Tipo de conectividad
* Tipos de datos que se almacenarán o transmitirán
* Perfiles de usuario necesarios para la aplicación.
* Tipos de registro que el sistema debe generar.
REQUISITOS DE SEGURIDAD INFORMÁTICA PARA ADQUISICIÓN
Y DESARROLLO DE SOFTWARE
Seguridad en el análisis de requerimientos
- Arquitectura de la aplicación
- Mecanismo de autenticación de usuarios
- Administración de usuarios
- Administración de contraseñas
- Encripción
- Transmisión
- Registro de eventos
S E G U R I D A D E N E L D I S E Ñ O
Reducción de superficie de ataque
Superficie de ataque: Puntos de entrada que tiene una aplicación
desde el punto de vista de un atacante. Cuanto menor sea nuestra
superficie de ataque, menos posibilidades tendrá un potencial
atacante de explotar vulnerabilidades en nuestro sistema.
* Servicios/procesos activos
* Sockets TCP/UDP
* Características del sistema
* Usuarios de la aplicación sin privilegios administrativos ni demo.
* Repositorios de ejemplo
* Archivos temporales / Archivos de intercambio
Defensa en profundidad
* Implementar medidas de seguridad en TODAS las capas del sistema.
* Asumir siempre que la capa anterior pudo ser comprometida
* Nunca confiar en los datos recibidos
Manejo seguro de mensajes de error
* Brindar únicamente la información necesaria para que el
usuario tome las acciones correspondientes.
* Evitar mostrar los mensajes de error de otras capas y aplicaciones.
* Expresar los mensajes de manera clara y concisa.
Auditoría y logging
* Los registros de auditoría son una herramienta de vital importancia en cualquier aplicación.
* Una buena aplicación, debería proveer facilidades de logging para: Definir qué eventos a registrar, Definir distintos niveles de logging, Definir cómo y dónde registrarlos.
Diseño de autenticación
¿Qué hay que tener en cuenta en la etapa de diseño?
* Autenticación local vs. autenticación externa (integrada).
* Tipos de autenticación (integrada vs. propia).
* Factores de autenticación.
* Usuarios y contraseñas por defecto.
* Nivel de acceso de los usuarios por defecto.
* Bloqueo de cuentas / vs. Captcha.
S E G U R I D A D E N E L D E S A R R O L L O
Programadores
¿Cómo es la relación de seguridad informática con los
programadores? ¿Cómo ven los programadores al área de seguridad informática?
Áreas de desarrollo interno y la tercerización del desarrollo > CLAVE: CAPACITACIÓN Y
CONCIENTIZACIÓN
Tipos de Vulnerabilidades
El impacto depende del tipo general de vulnerabilidad y las condiciones particulares del software y el sistema donde se ejecuta.
Tipos más comunes: Stack buffer overflows, Heap buffer overflows, SQL Injections.
Revelación de información
Es la publicación de información sensible acerca de la Aplicación, su arquitectura, configuración o implementación. Dicha información es utilizada como fuente para la diagramación
de ataques más avanzados. Algunos ejemplos:
* Comentarios en código fuente.
* Información de rutas y nombres de archivos.
Recomendaciones de seguridad
* Principio del menor privilegio.
* Evitar correr la aplicación /servicio con privilegios administrativos
* Validar SIEMPRE los valores de entrada.
* Proteger de archivos de configuración y registro.
Programación segura
* Programación de forma segura (C++, Java, .NET, etc.)
* Training / explicación / monitoreo a los desarrolladores.
* Revisión de código (automatizada y manual).
{ FUENTE: Segurinfo_seg_desarrollo.pdf }
Buenas ing. y compañeros aportando un poco más a la mayoría de sus comentarios.
ResponderEliminarPuedo decir también que una política de seguridad se la define como, el conjunto de normas y procedimientos establecidos por una organización para poder regular el uso de la información y de los sistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma. Ya que la seguridad informática cuenta también con objetivos fundamentales como ser: la Confidencialidad, Integridad y por supuesto la Disponibilidad. A su vez argumentar que la política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde definen las medidas para proteger la seguridad del sistema.
Si nos damos cuenta en la pág. 16 de políticas de seguridad que el ing. nos proporcionó en las primeras clases para retroalimentar nuestros conocimientos vemos el MODELO DE ESTRUCTURA DE POLÍTICA que es muy importante y nos muestra tres grandes secciones como las directrices, normas, los procedimientos e instrucciones de trabajo. Y su estructura de sustentación que está formada por tres grandes aspectos que son:
Herramientas
Cultura y monitoreo.
Políticas de Seguridad Proceso del Diseño de Políticas
ResponderEliminarPara diseñar un articulo en politica de seguridad tenemmos que especificar el alcance de las políticas y los objetos de las mismas, consistentemente con la misión de seguridad previamente establecida.
Las políticas promulgadas deben escribirse en párrafos que sean, cada uno por separado, implementarles mediante un mecanismo específico. Es decir, hay que procurar pensar claramente en la conveniencia de que las políticas sean sumamente específicas, si esto se puede lograr, es deseable fragmentar las políticas por departamento o unidad de trabajo.
Podemos entonces pensar} en una jerarquía de políticas, unas con aplicabilidad general, y otras para aplicabilidad para grupos o tareas específicas.
Todos aquellos que serían afectados por las políticas deben tener la oportunidad de revisarlas y hacer comentarios antes de que se promulguen, deben contar con el apoyo total de los administradores.
En esta etapa deben considerarse los mecanismos de difusión, capacitación y concientización iniciales y permanentes sobre seguridad informática.
buenos días ingeniero aportando un poco:
ResponderEliminarLa política de seguridad es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática dentro de la misma.
Las políticas de seguridad definen lo que está permitido y lo que está prohibido, permiten definir los procedimientos y herramientas necesarias, expresan el consenso de los “dueños” y permiten adoptar una buena actitud dentro de la organización
Las políticas de seguridad informática muchas veces ayudan a tomar decisiones sobre otros tipos de política (propiedad intelectual, destrucción de la información, etc.). También son útiles al tomar decisiones sobre adquisiciones porque algunos equipos o programas no serán aceptables en términos de las políticas mientras que otras la sustentaran.
ResponderEliminarLas políticas de seguridad informática deben considerarse como un documento de largo plazo, que evolucionan. No contienen asuntos específicos de complementación, pero si asuntos específicos del equipo de cómputo y telecomunicaciones de la organización. Probablemente serán la guía para el diseño de cambios a esos sistemas.
El desarrollo e implantación de políticas de seguridad informática es una indicación de que una organización está bien administrada y los auditores lo toman en cuenta en sus evaluaciones. Condicen a una profesionalización de la organización.
en resumen al implementar políticas de seguridad a una institución o empresa es hacer un plan de resguarde toda la integridad de una institución o empresa desde implementacion de normas para su funcionamiento desde el cuidado de un ordenador hasta un backup, las políticas de seguridad se las implementan para mantener segura una institución o empresa.
Agregando a las definiciones de mis compañeros la política de seguridad también es un conjunto de leyes y reglas que permiten regularizar para dirigir, proteger y distribuir recursos en una organización y llevar a cabo los objetivos de seguridad informática dentro de la misma.
ResponderEliminarA su vez definen lo que está permitido y lo que está prohibido, permiten definir los procedimientos y herramientas necesarias, expresan el consenso de los “dueños” y permiten adoptar una buena actitud dentro de la organización.
LAS POLÍTICAS DE SEGURIDAD informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cómputo de las empresas.
ResponderEliminarinformación necesaria a los usuarios, empleados y gerentes, de las normas y mecanismos que deben cumplir y utilizar para proteger el hardware y software de la Red, así como la información que es procesada y almacenada en estos
Los objetivos que se desean alcanzar luego de implantar las Políticas de Seguridad son los siguientes:
• Establecer un esquema de seguridad con perfecta claridad y transparencia bajo la responsabilidad de los ATI en la administración del riesgo.
• Compromiso de todo el personal de Las Empresas con el proceso de seguridad, agilizando la aplicación de los controles.
• Políticas de Seguridad Informática
• Que la prestación del servicio de seguridad gane en calidad.
• Todos los empleados se convierten en interventores del sistema de seguridad.
POLÍTICA DE SEGURIDAD EN EL PROCESO DE DESARROLLO DE APLICACIONES . La disponibilidad de los requisitos de seguridad en la política hace posible que el equipo de desarrollo pueda crear un software con una mentalidad de privilegios mínimos de tal forma que pueda implementarse con una mínima superficie de ataque en un entorno operativo restringido. Asimismo, los clientes pueden habilitar funcionalidades de tal forma que se adapte a la configuración requerida por sus propias políticas de seguridad.
https://www.google.com.bo/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja&uact=8&ved=0CDQQFjADahUKEwj3ntHlktHIAhUBHh4KHWDDBd8&url=http%3A%2F%2Fwww.gestionintegral.com.co%2Fwp-content%2Fuploads%2F2013%2F05%2FPol%25C3%25ADticas-de-Seguridad-Inform%25C3%25A1tica-2013-GI.pdf&usg=AFQjCNHoK7LWlZrlBZulPGp3yiRdAdrJGw&sig2=ikNYW8heZOx37QSh1YIjIw&bvm=bv.105454873,d.dmo
Eliminaraportando un poco mas de lo que comentaron mis compañeros se podria mencionar las: Guía para la elaboración de políticas de seguridad
ResponderEliminarEs importante resaltar que una política de seguridad tiene un ciclo de vida completo mientras esta en vigencia. Este ciclo de vida incluye un esfuerzo de investigación, gran labor de escribirla, conseguir que sea aprobada, lograr que sea diseminada a través de la empresa, conseguir que los usuarios d importancia a la política. Si no se consigue que este ciclo de vida se corre el riesgo de desarrollar políticas.
Como parte de los lineamientos, la política de seguridad debe convertirse en el punto de articulación del negocio con los intereses de la seguridad de la información, para lo cual debe convertirse en un documento donde se contemplen los diferentes niveles de detalle que requieren ser gestionados. Algunos de los aspectos que cómo mínimo deberían tenerse en cuenta en este documento son la clasificación de la información y los lineamientos de seguridad relacionados con los objetivos del negocio.
Como parte de los lineamientos, la política de seguridad debe convertirse en el punto de articulación del negocio con los intereses de la seguridad de la información, para lo cual debe convertirse en un documento donde se contemplen los diferentes niveles de detalle que requieren ser gestionados. Algunos de los aspectos que cómo mínimo deberían tenerse en cuenta en este documento son la clasificación de la información y los lineamientos de seguridad relacionados con los objetivos del negocio.
PARA QUE LA POLÍTICA DE SEGURIDAD SEA UN DOCUMENTO DE UTILIDAD EN LA ORGANIZACIÓN Y CUMPLA CON LO ESTABLECIDO EN LA NORMA ISO 27001. DEBE CUMPLIR CON LOS SIGUIENTES REQUISITOS.
ResponderEliminarDebe ser redactada, de una manera accesible para todo el personal de la empresa por lo tanto debe ser corta y precisa y de fácil compresión.
Debe ser aprobada por la dirección y publicitada por la misma.
Debe ser de dominio público de la organización porque lo debe estar dispuesta para cualquier consulta siempre que sea necesario
Debe ser la referencia para resolver conflictos y otras cuestiones relativas a la seguridad de la información.
Debe definir responsabilidades teniendo en cuenta en función de las responsabilidades se dirá quien está autorizada a qué tipo de información
Debe estar personalizada para cada organización,
Debe señalar las normas y reglas que va optar la organización y las medidas de seguridad.
Debe proteger tanto la información como el personal de la organización.