Download - Políticas y procedimientos de seguridad
![Page 1: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/1.jpg)
POLÍTICAS Y PROCEDIMIENTOS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 2: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/2.jpg)
AGENDA – MÓDULO III Introducción de conceptos Procedimiento para la adopción de
políticas Estructura sugerida Estándares y/o Prácticas reconocidas Áreas de contenido propuesto Taller de redacción Validación y Divulgación
2Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
![Page 3: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/3.jpg)
¿Qué es una política? ¿Para qué sirve? ¿A quién va dirigida? ¿Cómo se diferencia de un manual
o procedimiento?
3
INTRODUCCIÓNPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
![Page 4: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/4.jpg)
¿Qué es una política?
Documento normativo adoptado por la alta gerencia donde establece la importancia para la organización de un asunto a regular, fija los objetivos a alcanzar y define las responsabilidades asociadas a su cumplimiento.
4
INTRODUCCIÓNPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
![Page 5: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/5.jpg)
¿Para qué sirve una política? • Establecer la posición de la organización• Definir expectativas • Reducir errores, uso indebido o discrepancias• Fijar responsabilidades• Contribuir al cumplimiento con regulaciones• Facilitar la comunicación y comprensión• Referir a otros documentos más específicos
5
INTRODUCCIÓNPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
![Page 6: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/6.jpg)
¿A quién(es) va(n) dirigida(s)?
Gerencia Empleados a tarea completa y/o
parcial Consultores Visitantes Otros
6
INTRODUCCIÓNPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
![Page 7: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/7.jpg)
¿Cómo se diferencia de un manual o procedimiento? General y provee el marco conceptual Amplia difusión y acceso Fácil comprensión y cumplimiento Requiere revisión(es) periódica(s)
menor(es) Sirve de marco para la redacción de:
Procedimientos Manuales
7
INTRODUCCIÓNPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
![Page 8: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/8.jpg)
Políticas: General Abarcador Define posición organizacional
Procedimientos: Detallado Específico (área funcional, tipo de usuario) Apoya cumplimiento con leyes y reglamentos
Manuales: Específico (segmento de la comunidad) Define responsabilidad particular Establece normas de conducta esperada Provee ejemplos asociados al cumplimiento Describe consecuencias por incumplimiento
8
POLÍTICAS, PROCEDIMIENTOS Y/O MANUALESPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
Módulo III
![Page 9: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/9.jpg)
Crear comité representativo Redactar políticas – Comité y Asesor legal Adoptar políticas – Unidad institucional Diseminar y concienciar sobre contenido:
◦ Comité◦ Unidades◦ Asesor legal◦ Recursos Humanos◦ Oficial Cumplimiento
Adoptar o actualizar procedimientos y/o manuales Integrar controles en sistemas y tecnologías de información Auditar cumplimiento Tomar medidas:
◦ Reforzar cumplimiento◦ Aclarar o modificar contenido
9
PROCEDIMIENTO PROPUESTOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 10: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/10.jpg)
CICLO DE VIDA – POLÍTICAS DE SEGURIDADDeterminar necesidad y
Redactar Borrador
Revisar, aprobar y diserminar
Ajustar procedimientos
y manuales
Integrar controles de
cumplimiento mediante TI
Auditar controles y
proponer ajustes
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
10
![Page 11: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/11.jpg)
Crear comité representativo: Administración:
Gerencia Administración operacional Representación de usuarios críticos Asesor legal y/o Oficial de Cumplimiento Director de TI Director de Seguridad
Personal Otros sectores de la organización:
Auditor interno Auditor externo
11
PROCEDIMIENTO PROPUESTOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 12: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/12.jpg)
Redactar política:◦ Construir formato genérico (“template”)◦ Determinar necesidad◦ Identificar estándares o prácticas generalmente reconocidas◦ Afinar objetivo(s) o intención ◦ Identificar el público al cual va dirigido◦ Seleccionar entre política, procedimiento o manual◦ Utilizar el formato “template” correspondiente◦ Generar el borrador◦ Validar el borrador◦ Certificar su legalidad (Oficina del Asesor Legal)◦ Someter a la unidad autorizada para aprobación◦ Allegar recursos para su implantación operacional◦ Divulgar contenido, expectativas y sanciones
12
PROCEDIMIENTO PROPUESTOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 13: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/13.jpg)
Unidad institucional autorizada: Aprobar política Establecer fecha de vigencia Adoptar plan y asignar recursos para:
Diseminar contenido Concienzar sobre contenido al público que afecta (“Awareness”) Adiestrar sobre los riesgos que cubre y el impacto que
representan Notificar aprobación a:
Comité Asesor Legal Oficina de Recursos Humanos Unidad de Informática (“IT”) Oficial de cumplimiento
Adoptar o actualizar procedimientos y/o manuales: Afectados por la política aprobada o modificada Implantar operacionalmente la política aprobada o
modificada
13
PROCEDIMIENTO PROPUESTOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 14: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/14.jpg)
Auditar cumplimiento – métricas y controles: Auditorías internas Auditorías externas Auditorías de cumplimiento
Tomar medidas para reforzar cumplimiento: Programas de fiscalización (“monitoring”) Sistemas para hacer cumplir políticas Sistemas para determinar discrepancias o violaciones Actuar consistentemente en casos de incumplimiento Imponer sanciones
Revisión y actualización continua: Atemperar a los cambios en el entorno Aclarar o modificar para asegurar cumplimiento
14
PROCEDIMIENTO PROPUESTOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 15: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/15.jpg)
Módulo III 15
Determinar necesidad•Comparar modelos (“Best Practices”)
Desarrollar borrador
•Revisar , ajustar y aprobar
Divulgar y adiestrar usuarios•Desarrollar o modificar procesos
Resumen del Procedimiento propuesto
Implantar• Apoyar usuario• Afinar
correspondencia• Integrar
tecnologías de control
Auditar• Fiscalizar
cumplimiento• Imponer
controles y/o sanciones
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 16: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/16.jpg)
Definir la posición organizacional – Cultura de confianza
Respaldar normativas de cumplimiento aplicables Mejorar la calidad de la ejecución al contribuir a:
◦ Definir qué se espera◦ Reducir errores◦ Uniformar o estandarizar procesos◦ Proveer resultados consistentes◦ Reemplazar tradición oral
Apoyar procesos de aprendizaje o adiestramiento Proveer lista(s) de cotejo para verificar cumplimiento Referencia para mejorar procesos
Módulo III 16
OBJETIVOS PRIMARIOSPOLÍTICAS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 17: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/17.jpg)
Título y fecha de vigencia Introducción Definiciones Contenido Aplicabilidad Excepciones Sanciones Otras disposiciones Unidad responsable
17
BOSQUEJO DE CONTENIDOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 18: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/18.jpg)
Título: Título de la política
Fecha de vigencia: Fecha a partir de la cual entra en vigor
Introducción: Ubicar en contexto el (los) objetivo(s) que persigue Explicar cuál es la intención para su aprobación Enmarcar en la misión, filosofía y visión de la
institución Definiciones:
Términos o conceptos Objetivos Conceptos institucionales
18
BOSQUEJO DE CONTENIDOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 19: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/19.jpg)
Contenido: Marco legal o reglamentario que la cobija Descripción de:
¿Qué permite? ¿Cómo está permitido? ¿Cuándo está permitido? ¿Qué está prohibido? ¿Cuándo está prohibido? ¿Por qué está prohibido?
Explicación del impacto Ejemplo(s) de escenario(s) Detalle procesal Responsables de:
Contención, erradicación o recuperación
19
BOSQUEJO DE CONTENIDOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 20: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/20.jpg)
Aplicabilidad: ¿A quién(es) aplica? ¿En cuáles circunstancias? Contexto que enmarca la aplicabilidad
Excepciones: ¿Cuándo no aplica? ¿A quién(es) no aplica y por qué?
Sanciones: Consecuencias del incumplimiento Tipos de escenarios y tipo de sanción:
Amonestación Suspensión Despido
20
BOSQUEJO DE CONTENIDOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 21: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/21.jpg)
Otras disposiciones:◦ Procedimiento para modificar
Unidad responsable de implantar◦ Identificar la unidad◦ Identificar persona(s)
Unidad responsable de asegurar cumplimiento◦ Procedimiento para notificar incumplimiento:
¿A quién? ¿Cómo? ¿Qué proveer?
21
BOSQUEJO DE CONTENIDOPOLÍTICAS DE SEGURIDAD
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 22: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/22.jpg)
El lenguaje y estilo debe ser: Claro Conciso y preciso Sencillo y fácil de entender Coherente Asertivo (ir al grano)
Debe evitar el uso de: Acrónimos (descripción completa) Números romanos ‘etc.’ y de ‘i.e.’ o ‘e.g.’ Expresiones de género
Módulo III 22
RECOMENDACIONES DE ESTILOPOLÍTICAS O PROCEDIMIENTOS DE SEGURIDAD
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 23: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/23.jpg)
ESTÁNDARES Y PRÁCTICAS GENERALMENTE ACEPTADAS
![Page 24: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/24.jpg)
ORGANIZACIONES National Institute of Standards and Technology:
Tecnologías de seguridad Seguridad de redes y sistemas Configuración y métricas recomendadas
IT Compliance Institute: Manejo de riesgos Seguridad de la información y protección de los datos Manejo de identidad (acceso) Manejo de configuración y cambios Payment Card Industry (PCI) Sarbanes Oaxley (SOX) Health Insurance Portability and Accountability Act (HIPAA)
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
24
![Page 25: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/25.jpg)
ORGANIZACIONES SANS:
Seguridad de la información Seguridad de las redes
ISO 17799(27002): Seguridad y manejo de la información
Center for Internet Security (CISE) Sistemas operativos Configuración equipos Aplicaciones
Open Compliance Ethics and Governance: Gobernabilidad Seguridad de la información
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
25
![Page 26: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/26.jpg)
ORGANIZACIONES Insituto de Auditores Internos:
Configuración equipos y sistemas Aplicaciones
CobiT ISACA – Contenido CISM ISC – Contenido CISSP COSO EDUCAUSE
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
26
![Page 27: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/27.jpg)
ÁREAS DE CONTENIDO SUGERIDOPOLÍTICAS DE SEGURIDAD
![Page 28: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/28.jpg)
Proveer tecnología y acceso al personal pone en riesgo:
◦ Activos físicos y electrónicos◦ Operación diaria y ejecución eficiente◦ Reputación e imagen organizacional◦ Cumplimiento con regulaciones aplicables◦ Responsabilidad civil o criminal - reclamaciones legales◦ Cultura de confianza
Módulo III 28
POLÍTICAS DE SEGURIDADÁREAS DE RIESGO
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 29: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/29.jpg)
Uso de recursos tecnológicos Navegación (“Computer network & Internet”) Correo electrónico y mensajería Privacidad e Integridad de Contenido Documento electrónico:
Depósito Transmisión Retención o archivo Disposición
Protección de propiedad Lenguaje al comunicar
Módulo III 29
ÁREAS DE CONTENIDO GENERAL
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 30: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/30.jpg)
Protección y uso de Equipo:◦ Desktops◦ Laptops◦ Impresoras y otros periferales◦ Tecnologías móviles
Programación:◦ Instalación, copia y modificación de programas
Autenticación (“username & password”) “Malware”:
◦ Actualización antivirus, “antispyware”, “antispam”◦ Propagación virus, spam◦ Desarrollo, instalación y/o propagación de “malware”
Módulo III 30
ÁREAS DE CONTENIDO GENERAL
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 31: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/31.jpg)
ÁREAS DE CONTENIDO GENERAL Clasificación de la información Acuerdos de Confidencialidad Acceso a servicios, aplicaciones y
tecnologías: Autenticación Cifrado
Seguridad de servidores Seguridad de aplicaciones
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
31
![Page 32: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/32.jpg)
Uso apropiado Sitios autorizados/no-autorizados:
◦ Contenido relacionado o no a la operación organizacional◦ Contenido de naturaleza:
Sexualmente explícita Proselitismo religioso/político Ofensiva, discriminatoria
Desperdicio de recursos:◦ Tráfico innecesario◦ Tráfico voluminoso:
“video/audio streaming” Juegos “Chat”
◦ Congestión: “sniffers” “scanners” “IDS/IPS”
Protocolo(s) o conexión(es): FTP, P2P
Módulo III 32
ÁREAS DE CONTENIDO ESPECIALNAVEGACIÓN
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 33: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/33.jpg)
Correo electrónico Mensajería (“Instant messaging”) Telefonía IP (“VOIP”) Conversación interactiva (“Chats”) Tecnologías móviles Tecnologías inalámbricas Otras tecnologías
Módulo III 33
ÁREAS DE CONTENIDO ESPECIALCOMUNICACIÓN ELECTRÓNICA (TIPOS)
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
![Page 34: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/34.jpg)
ÁREAS DE CONTENIDO ESPECIALDOCUMENTOS ELECTRONICOS Transaccionales o asociados a la operación:
Aplicaciones o Bancos de datos Correo electrónico Documentos generales o específicos
Cubiertos por legislación de privacidad: HIPAA GLBA ECPA ID Theft Otras
Pietaje de cámaras de seguridad Propiedad Intelectual 3ros Presencia WEB
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
34
![Page 35: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/35.jpg)
ÁREAS DE CONTENIDO ESPECIALSEGURIDAD
Antivirus AntiSpam AntiSpyware Copias de resguardo Uso de dispositivos duplicación móviles
(USB/Firewire) Limpieza de dispositivos de almacén
(Media Sanitation)
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
35
![Page 36: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/36.jpg)
TALLER DE REDACCIÓN
![Page 37: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/37.jpg)
Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
37Módulo III
TALLER DE REDACCIÓNPOLÍTICAS DE SEGURIDAD
Seleccione un área para redactar la política Utilice el Bosquejo propuesto como guía Remítase a los modelos recomendados (“best
practices”) Elabore el bosquejo preliminar para la
política Sugiera el proceso a seguir para su
implantación operacional
![Page 38: Políticas y procedimientos de seguridad](https://reader036.vdocuments.site/reader036/viewer/2022081420/56815e02550346895dcc4a57/html5/thumbnails/38.jpg)
REFERENCIAS Cornell IT Policies SANS, A Short Primer for Developing Security Policies,
2007 UCISA, Information Security Toolkit edition 2.0, 2005 Sedona Conference, THE SEDONA GUIDELINES: Best Practice
Guidelines & Commentary for Managing Information & Records in the Electronic Age, 2005
Henson, Developing and Writing Library Policies and Procedures,nd
Flyn, The ePolicy Handbook, American Management Association, 2001
EDUCAUSE, Security Policy Best Practices
Módulo III Carmen R. Cintrón Ferrer, 2008, Derechos Reservados
38