Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
INSTITUTO TECNOLOGICO SUPERIOR PROGRESO SEGURIDAD EN LA WEB POLITICAS DE SEGURIDAD INFORMATICA DOCENTE EDGAR ALEJANDRO SAGUNDO DUARTE ALUMNO JUAN ALEJANDRO VIVAS CETZ ISC 7º Semestre ¿Qué son las políticas de Seguridad Informática? Contar con políticas de seguridad garantizar la integridad de los sistemas, garantizar la seguridad, establece un comportamiento y controles necesarios para aplicar las estrategias de la empresa. También ayuda a determinar cómo prevenir y responder a amenazas a la integridad, disponibilidad, confidencialidad de la información y activos críticos, identificando las responsabilidades, derechos y deberes de los trabajadores. Las políticas de seguridad informática (PSI) son un conjunto de reglas, procedimientos, padrones, normas y directrices a observar, seguidas por todas las personas que utilizan la infraestructura de la empresa. • Política de contraseñas y acceso a los dispositivos corporativos; • Normas sobre el uso de internet; • Reglas sobre la instalación de softwares; • Buenas prácticas de uso del correo electrónico corporativo; • Rutinas de backups. • Frecuencia de auditorías. Busca proteger y garantizar los 3 principios de la seguridad de la información, confidencialidad, integridad y disponibilidad. Las normas y prácticas descritas en las políticas de seguridad siempre se deben relacionar a uno o más de tales principios. Las PSI son implementadas en las organizaciones por medio de ciertos principios básicos, que garantizan que cada cambio importante reciba la debida atención y corrobore que la empresa esté logrando sus objetivos. Buenas prácticas El documento de buenas prácticas de Seguridad de la Información —puede ser un documento específico, cláusulas anexas a los contratos de los empleados, etc.— debería recoger, entre otras cosas, el uso aceptable de los sistemas y la información por parte del personal, las directrices para mantener el puesto de trabajo despejado, el bloqueo de equipo desatendido, la protección de contraseñas… Procedimiento de control de accesos Recoge las medidas técnicas y organizativas relacionadas con los permisos de acceso a las instalaciones y sistemas que albergan la información de la organización, así como el acceso a la propia información. Los controles de acceso pueden ser físicos o lógicos. Controles de acceso físico Mecanismos y sistemas implementados para controlar el acceso de personas a las instalaciones de la organización como, por ejemplo, tornos, barreras, cámaras, alarmas, sistemas de apertura de puertas biométricos o por tarjeta, etc. Otros ejemplos de controles de acceso físico son también: albergar la información en armarios cerrados con llave y, en general, cualquier medio físico que dificulte o no permita el acceso no autorizado a la información. Controles de acceso lógico Sistemas implementados para controlar el acceso de los usuarios a los distintos sistemas que albergan la información o el acceso a la propia información. Ejemplos de controles de acceso lógico son la implementación de un NAC (control de acceso de equipos y usuarios a la red), la configuración de permisos de lectura y escritura sobre los propios archivos de información, sistemas de login en los distintos sistemas, autorizaciones de acceso remoto de los usuarios a la red a través de una VPN, etc. Procedimiento de gestión de usuarios Recoge las instrucciones precisas a realizar para el alta, cambio de puesto de trabajo y baja (voluntaria o cese) de los usuarios en los distintos sistemas de información, así como para la concesión de los permisos de acceso tanto físicos como lógicos que deberían tener a las instalaciones, sistemas y a la propia información. Este procedimiento se debería basar y recoger una definición clara y concisa de los diferentes roles y responsabilidades de los usuarios, es decir, en función de los roles y responsabilidades del personal se le tendrían que conceder diferentes accesos y permisos, los mínimos y necesarios para el desempeño de su trabajo. Procedimiento de clasificación y tratamiento de la información Incluye las instrucciones acerca de cómo clasificar la información de acuerdo a su valor, requisitos legales, sensibilidad y criticidad para la organización y las medidas de protección y manipulación/tratamiento del mismo acorde a su clasificación. Procedimiento de gestión de incidentes de seguridad de la información Instrucciones para la notificación de incidentes, de respuesta a los mismos con las acciones a realizar al ser detectados, etc. Otros procedimientos Gestión de activos de información, copias de seguridad de la información, seguridad de la red, antimalware, registro y supervisión de eventos, actualización y parcheo de sistemas y equipo. Referencias Políticas de seguridad informática, ¿qué son? | UNIR Qué son las políticas de seguridad informática y por qué son importantes (gadae.com) Villanueva, A. (2021, julio 22). Políticas y procedimientos de seguridad de la información - OSTEC. OSTEC | Segurança digital de resultados; OSTEC Business Security. https://ostec.blog/es/seguridad-informacion/politicas-y- procedimientos-de-seguridad-de-la-informacion/ Puesto, E., & de I, D. (s/f). DE LA UNIVERSIDAD TECNOLOGICA DE TABASCO. Edu.mx. Recuperado el 8 de septiembre de 2023, de https://www.uttab.edu.mx/resources/normatividad/Politicas_y_lineamient os_de_seguridad_para_los_sistemas_informaticos.pdf https://www.unir.net/ingenieria/revista/politicas-seguridad-informatica/ https://www.gadae.com/blog/politicas-de-seguridad-informatica/ https://www.gadae.com/blog/politicas-de-seguridad-informatica/ https://ostec.blog/es/seguridad-informacion/politicas-y-procedimientos-de-seguridad-de-la-informacion/ https://ostec.blog/es/seguridad-informacion/politicas-y-procedimientos-de-seguridad-de-la-informacion/ https://www.uttab.edu.mx/resources/normatividad/Politicas_y_lineamientos_de_seguridad_para_los_sistemas_informaticos.pdf https://www.uttab.edu.mx/resources/normatividad/Politicas_y_lineamientos_de_seguridad_para_los_sistemas_informaticos.pdf
Compartir