Al finalizar la última exposición presentada, se insta a realizar aportes sobre el tema.
o Políticas de seguridad informática.
o Como abordar la implementación de políticas de seguridad.
o
Evaluación de riesgos. Estrategia de seguridad
Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es necesario conocer los recursos disponibles para protegerlo. Mientras algunas técnicas son evidentes (como la seguridad física) otras pautas no lo son tanto e incluso algunas pueden ocasionar una sensación de falsa seguridad.
ResponderEliminarTodas y cada una de las políticas de seguridad de una empresa u organización deben cumplir con los siguientes aspectos:
• Objetivos de la política y descripción clara de los elementos involucrados en su definición
• Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización
• Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política
• Definición de violaciones y sanciones por no cumplir con las políticas
• Responsabilidades de los usuarios con respecto a la información a la que tiene acceso
Entre las estrategias de seguridad:
Disponer de un plan de contingencia que contemple:
- Confidencialidad de la información almacenada
- Autenticación de usuarios,
- Integridad de los datos
- Control de acceso
- Copias de seguridad
Dada la importancia de la política de seguridad son normas de implementacion para el resguardo y protección del sistema operativo donde intervienen varios factores o elementos en cuanto a la confidencialidad, integridad y disponibilidad de los datos
ResponderEliminarLa política de seguridad informática se ocupa de diseñar normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable, en cualquier compañía. Para esto se debe realizar la implementación de medidas de seguridad, el cual es un proceso Técnico-Administrativo que debe abarcar toda la organización, sin exclusión alguna, debe estar fuertemente apoyado por el sector de la gerencia, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria. El plan de seguridad se encargará de incluir una Estrategia Proactiva que ayude a reducir al mínimo la cantidad de puntos vulnerables existentes en las directivas de seguridad y a desarrollar planes de contingencia. También se tendrá que aplicar, Estrategia Reactiva que ayude al personal de seguridad a evaluar el daño que ha causado el ataque, a repararlo o a implementar el plan de contingencia desarrollado en la Estrategia Proactiva. Y en cuanto a el análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas, primero se debe poder obtener una evaluación económica del impacto de estos sucesos, segundo se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles, por lo tanto se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos.
ResponderEliminarlas Políticas de Seguridad Informática (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una organización sobre la importancia y sensibilidad de la información y servicios críticos. Estos permiten a la compañía desarrollarse y mantenerse en su sector de negocios.
ResponderEliminarPara implementar políticas de seguridad que no tengan fallas esta debe cumplir con un ciclo de vida mientra esta vigente. Este ciclo incluye un esfuerzo de investigación, la labor de escribirla, lograr que la directiva de la organización la acepte, conseguir que sea aprobada,concienciar a los usuarios de la importancia de la política, conseguir que la acaten, hacerle seguimiento,garantizar que este actualizada y finalmente suprimirla cuando haya perdido vigencia sino se tiene en cuenta este ciclo se corre el riesgo de desarrollar políticas incompletas, redundantes o irrelevantes.
ResponderEliminarCuando se decide desarrollar una política de seguridad estamos estableciendo las bases para la gestión de la seguridad de la información que se procesa en nuestro sistema informático, sin embargo no solo estableceremos indicaciones técnicas sino también organizativas, relacionadas con recursos humanos o incluso con la seguridad física de nuestras instalaciones. No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es mas bien una descripción de lo que deseamos proteger y el porque de ellos, pues cada política de seguridad es una invitación a cada una de sus miembros a reconocer la información como uno de sus principales activos así como un motor de intercambio y desarrollo en el ámbito de sus negocios, por tal razón la misma deben conducir en una posición prudente y vigilante del personal por el uso y limitaciones de los recursos y servicios informativos.
ResponderEliminarLas politicas de seguridad establecen el canal formal de actuación por el que debe regirse el personal de una organización en relación con los recursos y servicios informáticos importantes. sirven como guia a seguir en el desarrollo de planes de seguridad. Estas politicas deben implementarse desde la fase de diseño de un sistema y durante todo el desarrollo del mismo asi como tambien realizarse un control periódico de estas políticas, que asegure el fiel cumplimiento de todos los procedimientos necesarios para garantizar la integridad, confidencialidad y disponibilidad de la información.
ResponderEliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarEste comentario ha sido eliminado por el autor.
ResponderEliminarLa creación de políticas de seguridad es una labor fundamental que involucra las personas, los procesos y los recursos de una empresa, los cuales son los puntos clave a tener en cuenta para diseñar las políticas de seguridad basándose en las normas ISO 17799.
ResponderEliminarLas vulnerabilidades en los sistemas de información pueden traer graves problemas. Cada vez las redes están expuestas a virus informáticos,
spam, código malicioso, hackers y crake que penetran los sistemas de seguridad.
Las políticas de seguridad informática varían de una organización otra, sin embargo un típico documento de este tipo incluye una exposición de motivos, la descripción de las personas a quienes van dirigidas las políticas, el
historial de las modificaciones efectuadas, unas cuantas definiciones de términos especiales y las instrucciones gerenciales especificas sobre el tratamiento de las políticas.
La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero ante todo, una política de seguridad es una forma de comunicarse con los usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas, y debe:
ResponderEliminar• Ser holística (cubrir todos los aspectos relacionados con la misma).
• Adecuarse a las necesidades y recursos.
• Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
• Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
• Otro punto importante, es que las políticas de seguridad deben redactarse en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión.
• Deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes, como son: el aumento de personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios, regionalización de la empresa, cambio o diversificación del área de negocios
ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD INFORMÁTICA
ResponderEliminar- Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
- Objetivos de la política y descripción clara de los elementos involucrados en su definición.
- Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
- Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
- Definición de violaciones y sanciones por no cumplir con las políticas.
- Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.
Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:
ResponderEliminar• Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.
• Objetivos de la política y descripción clara de los elementos involucrados en su definición.
• Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización.
• Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.
• Definición de violaciones y sanciones por no cumplir con las políticas.
• Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.
• Es necesario garantizar que los recursos del sistema se encontrarán disponibles cuando se necesitan, especialmente la información crítica.
• Los recursos del sistema y la información manejada en el mismo ha de ser útil para alguna función.
• Integridad: la información del sistema ha de estar disponible tal y como se almacenó por un agente autorizado.
• Autenticidad: el sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema.
• Confidencialidad: la información sólo ha de estar disponible para agentes autorizados, especialmente su propietario.
• Posesión: los propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios.
Deivys López 24 de abril 2014 ,11.50
ResponderEliminarCuando hablamos de políticas de seguridad informática,nos referimos a reglas y normas para proteger la información de una empresa,organización o algún enter que quiera asegurar su información,no obstante,la política de seguridad es el ámbito de la criptografía de clave publica o un plan de acción para afrontar riesgos de seguridad; ?como podemos proteger el sistema informático? lo primero que debemos hacer es un análisis de las posibles amenazas que puede sufrir el sistema informático,una estimación de las perdidas que esas amenazas podrían suponer y un estudio de las posibilidades de que ocurran;s mecanismos de seguridad se dividen en tres grupos:
1_ Prevención:evitan desviaciones respecto a las políticas de seguridad.
ejemplo: utilizar el cifrado en la transmisión de la información evita que un posible atacante capture y (entienda) información de una red.
2_ detención: detectan las desviaciones si se producen,violaciones o intento de violaciones de la seguridad del sistema.
3_recuperación: se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar el normal funcionamiento.
cuando hablamos de políticas de seguridad informática,nos referimos a las reglas o normas para proteger la información de una empresa,organización y ente publico o privado que quiera asegurar su información.
ResponderEliminar¿Cómo podemos proteger el sistema informático?
Lo primero que hemos de hacer es un análisis de las posibles amenazas que puede sufrir el sistema informático, una estimación de las pérdidas que esas amenazas podrían suponer y un estudio de las probabilidades de que ocurran.
A partir de este análisis habrá que diseñar una política de seguridad en la que se establezcan las responsabilidades y reglas a seguir para evitar esas amenazas o minimizar los efectos si se llegan a producir.
Definimos Política de seguridad como un “documento sencillo que define las directrices organizativas en materia de seguridad”
Los mecanismos de seguridad se dividen en tres grupos:
Prevención:
Evitan desviaciones respecto a la política de seguridad.
Ejemplo: utilizar el cifrado en la transmisión de la información evita que un posible atacante capture (y entienda) información en un sistema de red.
Detección:
Detectan las desviaciones si se producen, violaciones o intentos de violación de la seguridad del sistema.
Ejemplo: la herramienta Tripwire para la seguridad de los archivos.
Recuperación:
Se aplican cuando se ha detectado una violación de la seguridad del sistema para recuperar su normal funcionamiento.
Ejemplo: las copias de seguridad.
Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Indican a las personas cómo actuar frente a los recursos informáticos de la empresa, y sobre todo, no son un conjunto de sanciones, sino más bien una descripción de aquello valioso que deseamos proteger.
ResponderEliminarLas operaciones de copia de seguridad y restauración deben personalizarse para un entorno concreto y funcionar con los recursos disponibles. Por tanto, un uso confiable del proceso de copia de seguridad y restauración para la recuperación de datos requiere una estrategia de copia de seguridad y restauración. Una estrategia bien diseñada maximiza la disponibilidad de los datos y minimiza la pérdida de los mismos, teniendo en cuenta los requisitos concretos de su empresa.
ResponderEliminarDiseñar una estrategia de copia de seguridad y restauración eficaz requiere mucho cuidado en el planeamiento, la implementación y las pruebas. Es necesario realizar pruebas. No tendrá una estrategia de copia de seguridad hasta que haya restaurado correctamente las copias de seguridad en todas las combinaciones incluidas en su estrategia de restauración. Debe tener en cuenta varios factores. Entre ellos, figuran:
-Los objetivos de producción de la organización para las bases de datos, especialmente los requisitos de disponibilidad y protección de datos frente a pérdidas.
- La naturaleza de cada una de las bases de datos: el tamaño, los patrones de uso, la naturaleza del contenido, los requisitos de los datos, etc.
-Restricciones de los recursos, como hardware, personal, espacio para almacenar los medios de copia de seguridad, seguridad física de los medios almacenados, etc.
Como es muy bien sabido no existe un nivel correcto de seguridad, pues existe un juicio personal sobre el nivel de riesgo aceptable y lo que constituye una amenaza. El concepto de seguridad es altamente subjetivo, por lo tanto cada uno determina su nivel de riesgo y lo que está dispuesto a dar por las medidas que tome; La seguridad es difícil de medir, y la mayor parte del tiempo oímos de ella solo cuando ocurre una falla.
ResponderEliminarPara realizar la gestión de seguridad de una organización o empresa se deben de implementar políticas de seguridad. Existen multitudes de estándares aplicables a diferentes niveles pero ISO 17799 como estándar internacional es el más extendido y aceptado, el objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.
La norma ISO 17799:2005 establece once dominios de control que cubren por completo la Gestión de la Seguridad de la Información:
1. Política de seguridad: Dirigir y dar soporte a la Gestión de la seguridad de la información, directrices y recomendaciones
2. Aspectos organizativos de la seguridad: Gestión dentro de la Organización (recursos, activos, tercerización, entre otros.)
3. Clasificación y control de activos: Inventario y nivel de protección de los activos.
4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos.
5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones las instalaciones y a los datos.
6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de información.
7. Control de accesos: Evitar accesos no autorizados a los sistemas de información (de usuarios, computadores, redes, entre otros)
8. Desarrollo y mantenimiento de sistemas: Asegurar que la seguridad está incorporada dentro de los sistemas de información. Evitar pérdidas, modificaciones, mal uso.
9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información
10. Gestión de continuidad del negocio: Reaccionar a la interrupción de las actividades del negocio y proteger sus procesos críticos frente a fallas, ataques o desastres.
11. Conformidad con la legislación: Evitar el incumplimiento de leyes, regulaciones, obligaciones y de otros requerimientos de Seguridad.
Por qué tener políticas escritas?
ResponderEliminarExisten varias razones por las cuales es recomendable tener políticas escritas en una. La siguiente es una lista de algunas de estas razones.
1. Para cumplir con regulaciones legales o técnicas
2. Como guía para el comportamiento profesional y personal
3. Permite unificar la forma de trabajo de personas en diferentes lugares o momentos que tengan responsabilidades y tareas similares
4. Permiten recoger comentarios y observaciones que buscan atender situaciones anormales en el trabajo
5. Permite encontrar las mejores prácticas en el trabajo
6. Permiten asociar la filosofía de una organización (lo abstracto) al trabajo (lo concreto)
Feliz día a todos..
ResponderEliminarCuando conversamos acerca de las políticas de seguridad nos referimos a las normas, reglamentos que están establecidas y que nosotros como usuarios, administrador de sistemas, agentes autorizados y no autorizados debemos cumplir. El principal objetivo es resguardar la información, así como también mantener la integridad y disponibilidad de los datos. Tomando en cuenta algunas recomendaciones que orientan en el uso adecuado de las nuevas tecnologías para obtener el mayor provecho y evitar el uso indebido de la mismas.
una política de seguridad son una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización .No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión lega lque involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el por qué de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.
ResponderEliminarHoy en día es necesario cumplir con unas determinadas políticas de seguridad para manipular un sistema determinado. Ya que es la mejor manera de que una organización previene, protege y maneja los riesgos de diferentes daños. La política de seguridad es aquella que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requieran , cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía esto abre paso a la creación de políticas de seguridad, la cual es una labor fundamental que involucra las personas, los procesos y los recursos de la compañía presentando los puntos clave a tener en cuenta para diseñar una política de seguridad basándose en la norma ISO 17799. La que se encuentra referida a el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un Sistema Gestor De Seguridad Informática (SGSI).
ResponderEliminarLas políticas deben:
ResponderEliminardefinir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización
mostrar el compromiso de sus altos cargos con la misma
definir la filosofía respecto al acceso a los datos
establecer responsabilidades inherentes al tema
establecer la base para poder diseñar normas y procedimientos referidos a
Organización de la seguridad
Clasificación y control de los datos
Seguridad de las personas
Seguridad física y ambiental
Plan de contingencia
Prevención y detección de virus
Administración de los computadores
A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.
La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.
La seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concienciación.
Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realización de copias de seguridad planificada adecuadamente
Un plan de recuperación luego de un incidente
Un sistema documentado actualizado
Por lo tanto y como resumen, la política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.
política de seguridad se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en términos generales qué está y qué no está permitido en el área de seguridad durante la operación general de dicho sistema. Al tratarse de `términos generales’, aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la política para convertirlos en indicaciones precisas de qué es lo permitido y qué lo denegado en cierta parte de la operación del sistema, lo que se denomina política de aplicación específica.
ResponderEliminarVANESSA GOMEZ
Hoy es imposible hablar de un sistema cien por cien seguros, sencillamente porque el costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas. Las políticas de seguridad no es más que englobar lo referente a la seguridad informática y aplicarlo a un lugar de trabajo, es decir aplicar distintas medidas de seguridad a un grupo de equipos informáticos que se encuentren en alguna localidad, La solución a medias, entonces, sería acotar todo el espectro de seguridad, en lo que hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total. Y esto significa ni más ni menos que un gran avance con respecto a unos años atrás. De acuerdo con lo anterior, el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.
ResponderEliminarKERLIN APARICIO: la seguridad informática trata de proteger los datos de agentes no autorizados para tener una buena seguridad informática debemos contar con un sistema integro,confiable y potable. existen las políticas de seguridad informáticas para proteger los activos de una empresa, de crear estas políticas debemos tomar en cuenta lo siguiente: consultar a todo el personal sobre las políticas, crear las políticas en un lenguaje entendible a todo el personal, consultar a los accionistas ya que ellos seran los encargados de hacer cumplir las políticas en su área.
ResponderEliminarPolíticas de seguridad
ResponderEliminarEl objetivo de la Política de Seguridad de Información de una organización es, por un lado, mostrar el posicionamiento de la organización con relación a la seguridad, y por otro lado servir de base para desarrollar los procedimientos concretos de seguridad.
La empresa debe disponer de un documento formalmente elaborado sobre el tema y que debe ser divulgado entre todos los empleados.
No es necesario un gran nivel de detalle, pero tampoco ha de quedar como una declaración de intenciones. Lo más importante para que estas surtan efecto es lograr la concientización, entendimiento y compromiso de todos los involucrados.
Las políticas deben contener claramente las practicas que serán adoptadas por la compañía. Y estas políticas deben ser revisadas, y si es necesario actualizadas, periódicamente.
Las políticas deben:
definir qué es seguridad de la información, cuales son sus objetivos principales y su importancia dentro de la organización
mostrar el compromiso de sus altos cargos con la misma
definir la filosofía respecto al acceso a los datos
establecer responsabilidades inherentes al tema
establecer la base para poder diseñar normas y procedimientos referidos a
Organización de la seguridad
Clasificación y control de los datos
Seguridad de las personas
Seguridad física y ambiental
Plan de contingencia
Prevención y detección de virus
Administración de los computadores
A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.
La política de seguridad comprende todas las reglas de seguridad que sigue una organización (en el sentido general de la palabra). Por lo tanto, la administración de la organización en cuestión debe encargarse de definirla, ya que afecta a todos los usuarios del sistema.
ResponderEliminarLa seguridad informática de una compañía depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de capacitación y de concienciación.
Sin embargo, la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas:
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realización de copias de seguridad planificada adecuadamente
Un plan de recuperación luego de un incidente
Un sistema documentado actualizado
Por lo tanto y como resumen, la política de seguridad es el documento de referencia que define los objetivos de seguridad y las medidas que deben implementarse para tener la certeza de alcanzar estos objetivos.
CERRADO EL FORO AL 31/07/2014 CUALQUIER COMENTARIO ADICIONAL NO SERÁ TOMADO EN CUENTA PARA LA NOTA FINAL. SALUDOS
ResponderEliminary les recuerdo que este no era el foro. Ustedes tenia uno particular. Diurno