SlideShare una empresa de Scribd logo

Política de seguridad

Ramiro Cid
Ramiro Cid

El documento presenta los conceptos clave para el desarrollo de una política de seguridad efectiva. Explica que una política de seguridad debe identificar los riesgos, establecer objetivos y responsabilidades, e implementar salvaguardas de seguridad. Además, debe ser específica a la organización, de fácil comprensión y cubrir todos los aspectos relevantes para gestionar la seguridad de la información.

Tecnología
1 de 28
Descargar para leer sin conexión
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Ramiro Cid | @ramirocid 1 Política de Seguridad
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Contenido Políticas de Seguridad Procedimientos de Seguridad Gestión de la Seguridad Manuales Operativos Implantación
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Gestión global de Seguridad de un Sistema de Información Fases: Análisis y Gestión de Riesgos Determinar Objetivos y Política de Seguridad Establecer Planificación de Seguridad Implantar Salvaguardas Monitorización y gestión de Cambios en la Seguridad
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Introducción Seguridad de la organización: Conjunto de decisiones aceptadas en una comunidad que determinan una postura sobre la seguridad Explican qué está permitido y qué no Determina los límites del comportamiento aceptable y la respuesta si se sobrepasan Tiene que identificar los riesgos
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Introducción Ha de ser específica a la organización Al diseñar una solución de seguridad deben tomarse decisiones. Éstas forman la forma de actuación de la organización Al prepararla con anterioridad al diseño: Las decisiones habrán sido tomadas a priori Existirá un documento de referencia para todos Será más completa
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Política de Seguridad Documento que establece quién está autorizado a acceder a qué tipo de información y señala los estándares y reglas que se van a adoptar y qué tipo de medidas de seguridad serán necesarias. Define qué se protege, de quién/qué y por qué Da pautas de actuación ante posibles problemas Define responsabilidades
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Propósito Definir lo que se entiende por seguridad: Autenticación Autorización Privacidad de los datos Integridad de los datos Informar a los empleados y directivos de su obligación de proteger los activos de la organización
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Propósito Especificar los mecanismos mediante los cuales se ha de satisfacer dichas obligaciones Proveer los principios básicos por los que han de guiarse al adquirir, configurar y auditar el sistema de información. Proporcionar el compromiso y soporte de la Dirección en todo lo relacionado a la seguridad
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Errores comunes Si la organización no tiene una política de seguridad informática formal: Cada organización la tiene implícitamente No se pueden tomar decisiones La política de seguridad no tiene planes de respuesta en caso de incidentes o desastres Los planes no funcionan cuando se necesitan
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Reglas básicas para la Definición de Políticas de Seguridad R1: Debe cubrir TODOS los aspectos involucrados en posibles contingencias. R2: Debe ADECUARSE a las necesidades y recursos de la organización. Pretendemos que un ataque a nuestros bienes sea MAS COSTOSO que su valor, INVIERTIENDO MENOS de lo que vale.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Pasos a seguir Evaluación de riesgos Definir la estrategia, los objetivos de seguridad Definir qué hay que hacer cuando se viola la política Notificar a la autoridad competente Corregir el problema Acciones disciplinarias Excepciones Comunicar e implementar la política
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Especificaciones Debe ser corta, precisa y de fácil comprensión Las cuestiones y conflictos deberán ser resueltos refiriéndose a la política establecida La responsabilidad debe ir aparejada a autoridad La política debe proteger a la gente igual que protege a los datos La política protege la propiedad, la reputación y la continuidad de la actividad Deber ser conocida por TODOS los afectados dentro de la organización
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Especificaciones Debe Incluir: Declaración de propósitos Debe cubrir los objetivos básicos (Autenticidad, Confidencialidad, Integridad y Disponibilidad) Define quién es quién Quienes son los usuarios Quién identifica los datos y accesos Quién debe auditar Quién debe responder
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Especificaciones No debe incluir: Nombres del personal Nombres de productos Nombres de estándares específicos o niveles de seguridad
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Aspectos importantes Las medidas de seguridad tienen que ser transparentes a los usuarios Es importante la cultura de la seguridad entre los usuarios: Que generan aproximadamente el 80% de los problemas de seguridad Todo bien determinado en la política de seguridad
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Siguientes pasos A partir de esta política de seguridad se aplican las medidas y se redactan las subpolíticas, normas y procedimientos: Seguridad Física Seguridad Lógica Mantenimiento de HW y SW Etc
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Guión Política Objetivos: qué quiere conseguir la política Alcance: que elementos de la organización están incluidos Políticas Específicas Responsabilidades: Define el responsable Revisión: Quién ha aprobado la política
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Un caso concreto... Borrador de cómo se definiría una política de seguridad en una entidad bancaria Declaración de propósitos “Para dar soporte a la actividad diaria de la entidad bancaria (en adelante la Entidad), el Laboratorio de Cálculo proporciona recursos informáticos (ordenadores, redes de comunicaciones, y sistemas de información) a los empleados y clientes de la Entidad. “
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Un caso concreto... Derechos y Responsabilidades “Los ordenadores y la red proporcionan acceso y recursos dentro y fuera del ámbito de la Entidad, a la vez que permiten la comunicación con usuarios a través del mundo. Este privilegio de tener un acceso abierto, implica que los usuarios han de actuar con responsabilidad. Los usuarios han de respetar los derechos de los otros usuarios, respetar la integridad del sistema y de los recursos físicos y respetar las leyes y las regulaciones vigentes.”
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Un caso concreto… Derechos y Responsabilidades “El usuario se compromete a utilizar los recursos informáticos de la Entidad exclusivamente para fines relacionados estrictamente con su actividad diaria, queda explícitamente excluido cualquier uso comercial no autorizado.”
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Un caso concreto... Contexto legal “El contexto legal incluye las leyes existentes y las regulaciones de la Entidad, incluyendo no sólo las normas específicas a los sistemas informáticos, si no también las normas generales de conducta”. (ej. LOPD) Los acuerdos existentes con otras entidades bancarias. “El uso incorrecto podrá ser perseguido judicialmente”.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Uso Incorrecto Ejemplos de uso incorrecto “Las actividades de la siguiente lista son ejemplos de uso incorrecto, aunque no los incluye todos: Uso de cuentas de ordenador sin autorización. Obtener el password de una cuenta de usuario sin la autorización del propietario. Uso de la red informática de la Entidad para conseguir acceso no autorizado a cualquier ordenador. Realizar con conocimiento de causa cualquier acto que interfiera en el correcto funcionamiento de los ordenadores, terminales, periféricos o de la red informática.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Uso Incorrecto Ejemplos de uso incorrecto (II) Violaciones de las leyes de protección de datos, de licencias de programas y de derechos de autor (Copyright). Utilizar el correo electrónico para insultar u ofender a personas o entidades. Enmascarar la identidad de una cuenta de usuario o de ordenador. Robo de información. Venta de información. Divulgación de información privada.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Uso Incorrecto Ejemplos de uso incorrecto (III) “Algunas de estas actividades no serán consideradas como uso incorrecto de los recursos informáticos de la Entidad cuando estén autorizadas para probar o incrementar la seguridad informática de la misma.” Aplicación “Las sanciones podrán ser impuestas por uno o más de los estamentos jurídicos del estado.”
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Procedimientos de Seguridad Documentación que forma el Sistema de Gestión del Sistema de Información y deja claramente definidas las responsabilidades, tareas y todos aquellos deberes y derechos de los usuarios frente a la seguridad del sistema “La Seguridad somos todos”
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Documentación de Seguridad Formato Plantillas de documentación Control de versiones quién la revisa (y cuando) quién la aprueba (y cuando) Objetivos Alcance Validez Confidencialidad Contenido
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Legislación No conocer una ley no exime de su cumplimiento Leyes a tener en cuenta: LOPD (Ley Orgánica de Protección de datos LSSICE (Ley de Servicios de la Sociedad de Información y Comercio Electrónico) Una política de seguridad debe garantizar el cumplimiento de la legislación vigente y mantenerse actualizada conforme a la misma.
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad ¿Dudas? ¿preguntas? ¡¡ Muchas Gracias !! ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

Recomendados

Hacking ético
Hacking éticoHacking ético
Hacking ético
Paulo Colomés
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
IESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
jesus
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
kyaalena
 
Cyber security and demonstration of security tools
Cyber security and demonstration of security toolsCyber security and demonstration of security tools
Cyber security and demonstration of security tools
Vicky Fernandes
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
J. Gustavo López
 
Cyber Security Best Practices
Cyber Security Best PracticesCyber Security Best Practices
Cyber Security Best Practices
Evolve IP
 

Recomendados

Hacking ético
Hacking éticoHacking ético
Hacking ético
Paulo Colomés
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
IESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
jesus
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
kyaalena
 
Cyber security and demonstration of security tools
Cyber security and demonstration of security toolsCyber security and demonstration of security tools
Cyber security and demonstration of security tools
Vicky Fernandes
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
J. Gustavo López
 
Cyber Security Best Practices
Cyber Security Best PracticesCyber Security Best Practices
Cyber Security Best Practices
Evolve IP
 
Application Security
Application SecurityApplication Security
Application Security
Reggie Niccolo Santos
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
The difference between Cybersecurity and Information Security
The difference between Cybersecurity and Information SecurityThe difference between Cybersecurity and Information Security
The difference between Cybersecurity and Information Security
PECB
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
Laura Miranda Dominguez
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB
 
Cybersecurity roadmap : Global healthcare security architecture
Cybersecurity roadmap : Global healthcare security architectureCybersecurity roadmap : Global healthcare security architecture
Cybersecurity roadmap : Global healthcare security architecture
Priyanka Aash
 
Wazuh Security Platform
Wazuh Security PlatformWazuh Security Platform
Wazuh Security Platform
Pituphong Yavirach
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementation
Ralf Braga
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
Adam Miller
 
Understanding Zero Trust Security for IBM i
Understanding Zero Trust Security for IBM iUnderstanding Zero Trust Security for IBM i
Understanding Zero Trust Security for IBM i
Precisely
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
IT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation SlidesIT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation Slides
SlideTeam
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
Pedro Garcia Repetto
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan Mustafa
Fahmi Albaheth
 
Domain 5 - Identity and Access Management
Domain 5 - Identity and Access Management Domain 5 - Identity and Access Management
Domain 5 - Identity and Access Management
Maganathin Veeraragaloo
 
Security operation center (SOC)
Security operation center (SOC)Security operation center (SOC)
Security operation center (SOC)
Ahmed Ayman
 
CISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security ConceptsCISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security Concepts
Karthikeyan Dhayalan
 
Information Security Governance and Strategy
Information Security Governance and Strategy Information Security Governance and Strategy
Information Security Governance and Strategy
Dam Frank
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
GLORIA VIVEROS
 
Asignación 3
Asignación 3Asignación 3
Asignación 3
Marco Antonio Silva Gonzalez
 
Francisco teppaa2
Francisco teppaa2Francisco teppaa2
Francisco teppaa2
Independiente
 

Más contenido relacionado

La actualidad más candente

The difference between Cybersecurity and Information Security
The difference between Cybersecurity and Information SecurityThe difference between Cybersecurity and Information Security
The difference between Cybersecurity and Information Security
PECB
 
Understanding Zero Trust Security for IBM i
Understanding Zero Trust Security for IBM iUnderstanding Zero Trust Security for IBM i
Understanding Zero Trust Security for IBM i
Precisely
 
IT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation SlidesIT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation Slides
SlideTeam
 

La actualidad más candente (20)

Application Security
Application SecurityApplication Security
Application Security
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
The difference between Cybersecurity and Information Security
The difference between Cybersecurity and Information SecurityThe difference between Cybersecurity and Information Security
The difference between Cybersecurity and Information Security
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
 
Cybersecurity roadmap : Global healthcare security architecture
Cybersecurity roadmap : Global healthcare security architectureCybersecurity roadmap : Global healthcare security architecture
Cybersecurity roadmap : Global healthcare security architecture
 
Wazuh Security Platform
Wazuh Security PlatformWazuh Security Platform
Wazuh Security Platform
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementation
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Understanding Zero Trust Security for IBM i
Understanding Zero Trust Security for IBM iUnderstanding Zero Trust Security for IBM i
Understanding Zero Trust Security for IBM i
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
IT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation SlidesIT Security PowerPoint Presentation Slides
IT Security PowerPoint Presentation Slides
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan Mustafa
 
Domain 5 - Identity and Access Management
Domain 5 - Identity and Access Management Domain 5 - Identity and Access Management
Domain 5 - Identity and Access Management
 
Security operation center (SOC)
Security operation center (SOC)Security operation center (SOC)
Security operation center (SOC)
 
CISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security ConceptsCISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security Concepts
 
Information Security Governance and Strategy
Information Security Governance and Strategy Information Security Governance and Strategy
Information Security Governance and Strategy
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
 

Destacado

Políticas, Sistemas y Programas de seguridad y salud en el trabajo
Políticas, Sistemas y Programas de seguridad y salud en el trabajoPolíticas, Sistemas y Programas de seguridad y salud en el trabajo
Políticas, Sistemas y Programas de seguridad y salud en el trabajo
Viralizando
 
Evolución de Higiene y Seguridad Industrial
Evolución de Higiene y Seguridad IndustrialEvolución de Higiene y Seguridad Industrial
Evolución de Higiene y Seguridad Industrial
Jorge_almao
 
Presentación avances en protección, higiene y seguridad industrial javier leal
Presentación avances en protección, higiene y seguridad industrial javier lealPresentación avances en protección, higiene y seguridad industrial javier leal
Presentación avances en protección, higiene y seguridad industrial javier leal
Javier Leal
 
Higiene y Seguridad Industrial Venezuela. Normativa
Higiene y Seguridad Industrial Venezuela. NormativaHigiene y Seguridad Industrial Venezuela. Normativa
Higiene y Seguridad Industrial Venezuela. Normativa
Jorge_almao
 
03 presentacion mañana
03 presentacion mañana03 presentacion mañana
03 presentacion mañana
oscareo79
 
Aspectos Legales que rigen la materia de Higiene y Seguridad Ocupacional
Aspectos Legales que rigen la materia de Higiene y Seguridad OcupacionalAspectos Legales que rigen la materia de Higiene y Seguridad Ocupacional
Aspectos Legales que rigen la materia de Higiene y Seguridad Ocupacional
ezequielbrito22
 
Control De Acceso De Visitantes
Control De Acceso De VisitantesControl De Acceso De Visitantes
Control De Acceso De Visitantes
austinmi
 

Destacado (20)

Asignación 3
Asignación 3Asignación 3
Asignación 3
 
Francisco teppaa2
Francisco teppaa2Francisco teppaa2
Francisco teppaa2
 
Normas de higuiene y aseo
Normas de higuiene y aseoNormas de higuiene y aseo
Normas de higuiene y aseo
 
Políticas, Sistemas y Programas de seguridad y salud en el trabajo
Políticas, Sistemas y Programas de seguridad y salud en el trabajoPolíticas, Sistemas y Programas de seguridad y salud en el trabajo
Políticas, Sistemas y Programas de seguridad y salud en el trabajo
 
Leyes para garantizar la higiene y seguridad laboral
Leyes para garantizar la higiene y seguridad laboralLeyes para garantizar la higiene y seguridad laboral
Leyes para garantizar la higiene y seguridad laboral
 
Evolución de Higiene y Seguridad Industrial
Evolución de Higiene y Seguridad IndustrialEvolución de Higiene y Seguridad Industrial
Evolución de Higiene y Seguridad Industrial
 
Avances de higiene y seguridad industrial
Avances de higiene y seguridad industrialAvances de higiene y seguridad industrial
Avances de higiene y seguridad industrial
 
Previsión Social en México
Previsión Social en MéxicoPrevisión Social en México
Previsión Social en México
 
Presentación avances en protección, higiene y seguridad industrial javier leal
Presentación avances en protección, higiene y seguridad industrial javier lealPresentación avances en protección, higiene y seguridad industrial javier leal
Presentación avances en protección, higiene y seguridad industrial javier leal
 
ADMINISTRACIÓN DE LA SALUD Y SEGURIDAD OCUPACIONAL "MARCO LEGAL"
ADMINISTRACIÓN DE LA SALUD Y SEGURIDAD OCUPACIONAL "MARCO LEGAL"ADMINISTRACIÓN DE LA SALUD Y SEGURIDAD OCUPACIONAL "MARCO LEGAL"
ADMINISTRACIÓN DE LA SALUD Y SEGURIDAD OCUPACIONAL "MARCO LEGAL"
 
Higiene y Seguridad Industrial Venezuela. Normativa
Higiene y Seguridad Industrial Venezuela. NormativaHigiene y Seguridad Industrial Venezuela. Normativa
Higiene y Seguridad Industrial Venezuela. Normativa
 
EVOLUCIÓN DE LA HIGIENE Y SEGURIDAD INDUSTRIAL EN VENEZUELA
EVOLUCIÓN DE LA HIGIENE Y SEGURIDAD INDUSTRIAL EN VENEZUELAEVOLUCIÓN DE LA HIGIENE Y SEGURIDAD INDUSTRIAL EN VENEZUELA
EVOLUCIÓN DE LA HIGIENE Y SEGURIDAD INDUSTRIAL EN VENEZUELA
 
Esquema seguridad y salud en el trabajo
Esquema seguridad y salud en el trabajoEsquema seguridad y salud en el trabajo
Esquema seguridad y salud en el trabajo
 
higuiene y seguridad
higuiene y seguridad higuiene y seguridad
higuiene y seguridad
 
03 presentacion mañana
03 presentacion mañana03 presentacion mañana
03 presentacion mañana
 
Aspectos Legales que rigen la materia de Higiene y Seguridad Ocupacional
Aspectos Legales que rigen la materia de Higiene y Seguridad OcupacionalAspectos Legales que rigen la materia de Higiene y Seguridad Ocupacional
Aspectos Legales que rigen la materia de Higiene y Seguridad Ocupacional
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
 
Control De Acceso De Visitantes
Control De Acceso De VisitantesControl De Acceso De Visitantes
Control De Acceso De Visitantes
 
Aca antioquia
Aca antioquiaAca antioquia
Aca antioquia
 
Unidad 10: Medidas de prevenció y de protección
Unidad 10: Medidas de prevenció y de protecciónUnidad 10: Medidas de prevenció y de protección
Unidad 10: Medidas de prevenció y de protección
 

Similar a Política de seguridad

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
ablopz
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
dianalloclla
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
Ana Ledezma
 
Introduccionalacriptologia (1)
Introduccionalacriptologia (1)Introduccionalacriptologia (1)
Introduccionalacriptologia (1)
Dulce Mtz
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
mCarmen32
 

Similar a Política de seguridad (20)

Presenta informe
Presenta informePresenta informe
Presenta informe
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 
Po li tica seguridad informatica colombia tsg v1
Po li tica seguridad informatica colombia tsg v1Po li tica seguridad informatica colombia tsg v1
Po li tica seguridad informatica colombia tsg v1
 
Evaluacion de la seguridad
Evaluacion de la seguridadEvaluacion de la seguridad
Evaluacion de la seguridad
 
1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad1.2. Perspectivas de Ciberseguridad
1.2. Perspectivas de Ciberseguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Introduccionalacriptologia (1)
Introduccionalacriptologia (1)Introduccionalacriptologia (1)
Introduccionalacriptologia (1)
 
Introduccionalacriptologia
IntroduccionalacriptologiaIntroduccionalacriptologia
Introduccionalacriptologia
 
Gobierno de seguridad_de_la_informacion
Gobierno de seguridad_de_la_informacionGobierno de seguridad_de_la_informacion
Gobierno de seguridad_de_la_informacion
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Cripto Básica
Cripto BásicaCripto Básica
Cripto Básica
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 

Más de Ramiro Cid

Más de Ramiro Cid (20)

Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridad
 
Captación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagenCaptación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagen
 
Passwords for sale
Passwords for salePasswords for sale
Passwords for sale
 
Cyber security threats for 2017
Cyber security threats for 2017Cyber security threats for 2017
Cyber security threats for 2017
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
 
Lean Six Sigma methodology
Lean Six Sigma methodologyLean Six Sigma methodology
Lean Six Sigma methodology
 
IT Governance & ISO 38500
IT Governance & ISO 38500IT Governance & ISO 38500
IT Governance & ISO 38500
 
Cyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk AggregationCyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk Aggregation
 
EU General Data Protection Regulation
EU General Data Protection RegulationEU General Data Protection Regulation
EU General Data Protection Regulation
 
Payment fraud
Payment fraudPayment fraud
Payment fraud
 
Social engineering attacks
Social engineering attacksSocial engineering attacks
Social engineering attacks
 
Thinking on risk analysis
Thinking on risk analysisThinking on risk analysis
Thinking on risk analysis
 
Drones and their use on critical infrastructure
Drones and their use on critical infrastructureDrones and their use on critical infrastructure
Drones and their use on critical infrastructure
 
Internet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacyInternet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacy
 
Space computing
Space computingSpace computing
Space computing
 
The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...
 
Internet of things
Internet of thingsInternet of things
Internet of things
 
Cyber Security
Cyber SecurityCyber Security
Cyber Security
 
Cyber Security Awareness
Cyber Security AwarenessCyber Security Awareness
Cyber Security Awareness
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Último (12)

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 

Política de seguridad

  • 1. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Ramiro Cid | @ramirocid 1 Política de Seguridad
  • 2. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Contenido Políticas de Seguridad Procedimientos de Seguridad Gestión de la Seguridad Manuales Operativos Implantación
  • 3. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Gestión global de Seguridad de un Sistema de Información Fases: Análisis y Gestión de Riesgos Determinar Objetivos y Política de Seguridad Establecer Planificación de Seguridad Implantar Salvaguardas Monitorización y gestión de Cambios en la Seguridad
  • 4. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Introducción Seguridad de la organización: Conjunto de decisiones aceptadas en una comunidad que determinan una postura sobre la seguridad Explican qué está permitido y qué no Determina los límites del comportamiento aceptable y la respuesta si se sobrepasan Tiene que identificar los riesgos
  • 5. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Introducción Ha de ser específica a la organización Al diseñar una solución de seguridad deben tomarse decisiones. Éstas forman la forma de actuación de la organización Al prepararla con anterioridad al diseño: Las decisiones habrán sido tomadas a priori Existirá un documento de referencia para todos Será más completa
  • 6. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Política de Seguridad Documento que establece quién está autorizado a acceder a qué tipo de información y señala los estándares y reglas que se van a adoptar y qué tipo de medidas de seguridad serán necesarias. Define qué se protege, de quién/qué y por qué Da pautas de actuación ante posibles problemas Define responsabilidades
  • 7. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Propósito Definir lo que se entiende por seguridad: Autenticación Autorización Privacidad de los datos Integridad de los datos Informar a los empleados y directivos de su obligación de proteger los activos de la organización
  • 8. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Propósito Especificar los mecanismos mediante los cuales se ha de satisfacer dichas obligaciones Proveer los principios básicos por los que han de guiarse al adquirir, configurar y auditar el sistema de información. Proporcionar el compromiso y soporte de la Dirección en todo lo relacionado a la seguridad
  • 9. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Errores comunes Si la organización no tiene una política de seguridad informática formal: Cada organización la tiene implícitamente No se pueden tomar decisiones La política de seguridad no tiene planes de respuesta en caso de incidentes o desastres Los planes no funcionan cuando se necesitan
  • 10. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Reglas básicas para la Definición de Políticas de Seguridad R1: Debe cubrir TODOS los aspectos involucrados en posibles contingencias. R2: Debe ADECUARSE a las necesidades y recursos de la organización. Pretendemos que un ataque a nuestros bienes sea MAS COSTOSO que su valor, INVIERTIENDO MENOS de lo que vale.
  • 11. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Pasos a seguir Evaluación de riesgos Definir la estrategia, los objetivos de seguridad Definir qué hay que hacer cuando se viola la política Notificar a la autoridad competente Corregir el problema Acciones disciplinarias Excepciones Comunicar e implementar la política
  • 12. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Especificaciones Debe ser corta, precisa y de fácil comprensión Las cuestiones y conflictos deberán ser resueltos refiriéndose a la política establecida La responsabilidad debe ir aparejada a autoridad La política debe proteger a la gente igual que protege a los datos La política protege la propiedad, la reputación y la continuidad de la actividad Deber ser conocida por TODOS los afectados dentro de la organización
  • 13. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Especificaciones Debe Incluir: Declaración de propósitos Debe cubrir los objetivos básicos (Autenticidad, Confidencialidad, Integridad y Disponibilidad) Define quién es quién Quienes son los usuarios Quién identifica los datos y accesos Quién debe auditar Quién debe responder
  • 14. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Especificaciones No debe incluir: Nombres del personal Nombres de productos Nombres de estándares específicos o niveles de seguridad
  • 15. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Aspectos importantes Las medidas de seguridad tienen que ser transparentes a los usuarios Es importante la cultura de la seguridad entre los usuarios: Que generan aproximadamente el 80% de los problemas de seguridad Todo bien determinado en la política de seguridad
  • 16. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Siguientes pasos A partir de esta política de seguridad se aplican las medidas y se redactan las subpolíticas, normas y procedimientos: Seguridad Física Seguridad Lógica Mantenimiento de HW y SW Etc
  • 17. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Guión Política Objetivos: qué quiere conseguir la política Alcance: que elementos de la organización están incluidos Políticas Específicas Responsabilidades: Define el responsable Revisión: Quién ha aprobado la política
  • 18. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Un caso concreto... Borrador de cómo se definiría una política de seguridad en una entidad bancaria Declaración de propósitos “Para dar soporte a la actividad diaria de la entidad bancaria (en adelante la Entidad), el Laboratorio de Cálculo proporciona recursos informáticos (ordenadores, redes de comunicaciones, y sistemas de información) a los empleados y clientes de la Entidad. “
  • 19. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Un caso concreto... Derechos y Responsabilidades “Los ordenadores y la red proporcionan acceso y recursos dentro y fuera del ámbito de la Entidad, a la vez que permiten la comunicación con usuarios a través del mundo. Este privilegio de tener un acceso abierto, implica que los usuarios han de actuar con responsabilidad. Los usuarios han de respetar los derechos de los otros usuarios, respetar la integridad del sistema y de los recursos físicos y respetar las leyes y las regulaciones vigentes.”
  • 20. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Un caso concreto… Derechos y Responsabilidades “El usuario se compromete a utilizar los recursos informáticos de la Entidad exclusivamente para fines relacionados estrictamente con su actividad diaria, queda explícitamente excluido cualquier uso comercial no autorizado.”
  • 21. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Un caso concreto... Contexto legal “El contexto legal incluye las leyes existentes y las regulaciones de la Entidad, incluyendo no sólo las normas específicas a los sistemas informáticos, si no también las normas generales de conducta”. (ej. LOPD) Los acuerdos existentes con otras entidades bancarias. “El uso incorrecto podrá ser perseguido judicialmente”.
  • 22. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Uso Incorrecto Ejemplos de uso incorrecto “Las actividades de la siguiente lista son ejemplos de uso incorrecto, aunque no los incluye todos: Uso de cuentas de ordenador sin autorización. Obtener el password de una cuenta de usuario sin la autorización del propietario. Uso de la red informática de la Entidad para conseguir acceso no autorizado a cualquier ordenador. Realizar con conocimiento de causa cualquier acto que interfiera en el correcto funcionamiento de los ordenadores, terminales, periféricos o de la red informática.
  • 23. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Uso Incorrecto Ejemplos de uso incorrecto (II) Violaciones de las leyes de protección de datos, de licencias de programas y de derechos de autor (Copyright). Utilizar el correo electrónico para insultar u ofender a personas o entidades. Enmascarar la identidad de una cuenta de usuario o de ordenador. Robo de información. Venta de información. Divulgación de información privada.
  • 24. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Uso Incorrecto Ejemplos de uso incorrecto (III) “Algunas de estas actividades no serán consideradas como uso incorrecto de los recursos informáticos de la Entidad cuando estén autorizadas para probar o incrementar la seguridad informática de la misma.” Aplicación “Las sanciones podrán ser impuestas por uno o más de los estamentos jurídicos del estado.”
  • 25. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Procedimientos de Seguridad Documentación que forma el Sistema de Gestión del Sistema de Información y deja claramente definidas las responsabilidades, tareas y todos aquellos deberes y derechos de los usuarios frente a la seguridad del sistema “La Seguridad somos todos”
  • 26. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Documentación de Seguridad Formato Plantillas de documentación Control de versiones quién la revisa (y cuando) quién la aprueba (y cuando) Objetivos Alcance Validez Confidencialidad Contenido
  • 27. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad Legislación No conocer una ley no exime de su cumplimiento Leyes a tener en cuenta: LOPD (Ley Orgánica de Protección de datos LSSICE (Ley de Servicios de la Sociedad de Información y Comercio Electrónico) Una política de seguridad debe garantizar el cumplimiento de la legislación vigente y mantenerse actualizada conforme a la misma.
  • 28. ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid Política de Seguridad ¿Dudas? ¿preguntas? ¡¡ Muchas Gracias !! ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL