Un plan de Seguridad es una recopilación de ideas a realizar en un tiempo determinado, así como la recopilación de los recursos que se emplearán para cumplirlo
¿Qué son las políticas de Seguridad?
Son declaraciones de intenciones de alto nivel que cubre la seguridad de los sistemas informaticos y que proporcionan las bases para determinar responsabilidades tecnicas y organizativas que sean requeridas.
¿Qué es un Procedimiento de Seguridad?
Es la descripción detallada de los pasos a realizar para cumplir la tarea trazada, éstos permiten implantar políticas de seguridad que por supuesto son aprobadas por la organización.
En la cúspide de la pirámide se situan los objetivos fundamentales de la gestión de la seguridad de la información, resumidos mediante el acrónimo CIA (Confidencialidad, Integridad y Disponibilidad de la información)
Características deseables de las políticas de seguridad
Las
políticas de seguridad deberían poder ser implementadas a través de
determinados procedimientos administrativos y la publicación de unas
guías de uso aceptable del sistema por parte del personal, así como
mediante la instalación, configuración y mantenimiento de determinados
dispositivos y herramientas de hardware que implanten servicios de
seguridad.
Deben definir claramente las responsabilidades exigidas al personal con acceso al sistema: técnicos,
analistas y programadores, usuarios finales, directivos, personal externo a la organización.
analistas y programadores, usuarios finales, directivos, personal externo a la organización.
Debe cumplir con las exigencias del entorno legal.
Se tienen que revisar de forma periódica para poder adaptarlas a las nuevas exigencias de la
organización y del entorno tecnológico y legal.
organización y del entorno tecnológico y legal.
Aplicación del principio de "Defensa en profundidad": definición e implantación de varios niveles o capasde seguridad.
Asignación
de los mínimos privilegios: los servicios, las aplicaciones y usuarios
del sistema deberían tener asignados los mínimos privilegios necesarios
para que puedan realizar sus tareas. La política por defectodebe ser
aquella en la que todo lo que no se encuentre expresamente permitido en
el sistema estará prohibido. Las aplicaciones y servicios que no sean
estrictamente necesarios deberían ser eliminados de los sistemas
informáticos.
Configuración robusta ante fallos: los sistemas deberían ser diseñados e implementados para que, en
caso de fallo, se situaran en un estado seguro y cerrado, en lugar de en uno abierto y expuesto a accesos no autorizados.
caso de fallo, se situaran en un estado seguro y cerrado, en lugar de en uno abierto y expuesto a accesos no autorizados.
Las
Políticas de Seguridad no deben limitarse a cumplir con los requisitos
impuestos por el entorno legal o las exigencias de terceros, sino que
deberían estar adaptadas a las necesidades reales de cada
organización.
CONCLUSIÓN
Las políticas, los planes y los procedimientos de la seguridad son tres componentes de importancia en el buen trato de la información y toda institución debe aplicar estos principios para que no existan inconvenientes en el resguardo de la información y lograr una estructura organizacional sólida, sin deficit de ninguna índole.
organización.
CONCLUSIÓN
Las políticas, los planes y los procedimientos de la seguridad son tres componentes de importancia en el buen trato de la información y toda institución debe aplicar estos principios para que no existan inconvenientes en el resguardo de la información y lograr una estructura organizacional sólida, sin deficit de ninguna índole.
No hay comentarios:
Publicar un comentario