2. Exigencias de la políticaIntegrar el Comité de Seguridad: A.-Formar un equipo multidisciplinario B.- este comité es formado por un grupo definido de personas responsables por las actividades referentes a las creación y aprobacion de nuevas normas de seguridad en la organización.C.- en las reuniones se definen los criterios seguridad adoptados en cada área.D.- tener tiempo libre para analizar y escribir todas las normas ya discutidas.

3. Elaborar el documento final En este documento deben expresarse las preocupaciones de la administración. La definición de la propia política. los principios establecidos y una explicación de las exigencias de conformidad con relación a: 1.-legislación y cláusulas contractuales. 2.-educación y formación en seguridad de la información; 3.- prevención contra amenazas.(virus, caballos de Troya, hackers, incendio, intemperies, etc.) Debe contener también la atribución de las responsabilidades de las personas involucradas. No olvidar de que toda documentación ya existente sobre cómo realizar las tareas debe ser analizada con relación a los principios de seguridad de la información.

4. Hacer oficial la política una vez que se tenga definida La oficialización de una política tiene como base la aprobación por parte de la administración de la organización. Debe ser publicada y comunicada de manera adecuada para todos los empleados, socios, terceros y clientes.

5. Etapas de producción de la política : Es necesario conocer cómo se estructura la organización y cómo son dirigidos en la actualidad sus procesos. A partir de este reconocimiento, se evalúa el nivel de seguridad existente para poder después detectar los puntos a analizar para que esté en conformidad con los estándares de seguridad. Objetivos y ámbito : En este punto debe constar la presentación del tema de la norma con relación a sus propósitos y contenidos Entrevista : Las entrevistas tratan de identificar las necesidades de seguridad existentes en la organización. Investigación y análisis de documentos : Entre la documentación existente, se pueden considerar: libros de rutinas, metodologías, políticas de calidad y otras. Reunión de política : En las reuniones, realizadas con los equipos involucrados en la elaboración, se levantan y discuten los temas Glosario de la política : Es importante aclarar cualquier duda conceptual que pueda surgir en el momento de la lectura de la política. Así todos los lectores deben tener el mismo punto de referencia conceptual de términos. Responsabilidades y penalidades : Es fundamental identificar a los responsables, por la gestión de seguridad de los activos normalizados, con el objetivo de establecer las relaciones de responsabilidad para el cumplimiento de tareas.

6. Lecciones aprendidas Aprendimos aspectos básicos relacionados con una política de seguridad, las partes que la componen y los elementos necesarios previos a su generación. Identificamos las diferentes etapas de generación de la política de seguridad, que nos permite estar preparados para llevar a cabo con éxito cada una de ellas.

7. Documentos de la política de seguridad Introducción : Al iniciar el proceso de elaboración sobre una política de seguridad, es necesario recopilar cierta información con los usuarios de activos y realizar estudios de los documentos existentes. Estafas por ‘phishing’ alcanzan los 500 millones de dólares en EEUU : El “phishing”, también conocido como “carding” o “brand spoofing” consiste en que los estafadores distribuyen mensajes de correo electrónico con diseño y formatos similares a los usados por entidades bancarias. Objetivos : Conocer las bases para la documentación necesaria en una política de seguridad, para permitir plasmar de forma correcta todos los elementos requeridos para la misma. Identificar las tres partes principales de una política de seguridad: Normas, procedimientos y directrices. Éstas permitirán producir una política completa y útil de implantar.

8. Modelo de estructura de política ESTRATEGICO TÁTICO OPERACIONAL CULTURA HERRAMIENTAS MONITOREO

9. Modelo de estructura de política Directrices (Estrategias) :Conjunto de reglas generales de nivel estratégico donde se expresan los valores de seguridad de la organización. Es endosada por el líder empresarial de la organización y tiene como base su visión y misión para abarcar toda la filosofía de seguridad de la información. NORMAS (TÁCTICO) : Conjunto de reglas generales y específicas de la seguridad de la información que deben ser usadas por todos los segmentos involucrados en los procesos de negocio de la institución, y que pueden ser elaboradas por activo, área, tecnología, proceso de negocio, público a que se destina, etc. 1.-Normas de Seguridad para técnicos : Reglas generales de seguridad de información dirigida para quien cuida de ambientes informatizados (administradores de red, técnicos etc.), 2.-Normas de Seguridad para Usuarios : Pueden ser ampliamente utilizadas para todos los usuarios en ambientes diversos, como Windows NT, Netware, Unix, etc. Procedimientos e instrucciones de Trabajo (Operacional) : A.- Conjunto de orientaciones para realizar las actividades operativas de seguridad. B.-Conjunto de comandos operativos a ser ejecutados en el momento de la realización de un procedimiento de seguridad.

10. GRACIAS