INSTITUTO SUPERIOR PEDAGGICO 13 DE JULIO

ESPECIALIDAD : COMPUTACIN I

CURSO

: SEGURIDAD INFORMATICA

TEMA

: POLTICAS DE SEGURIODAD

PROFESOR

: ROLANDO CARO DAMIAN

ALUMNA

: CHAVARRI CHILON CELINDA

CIUDAD

: SAN PABLO

2013

DEDICATORIA

Quiero dedicarle este trabajo A Dios que me ha dado la vida y fortaleza Para terminar este proyecto de investigacin, A mis Padres por estar ah cuando ms los necesit; en Especial a mi madre por su ayuda y constante cooperacin.

POLTICA DE SEGURIDAD Dirigir y dar soporte a la gestin de la seguridad de la informacin. La alta direccin debe definir una poltica que refleje las lneas directrices de la organizacin en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la informacin. La poltica se constituye en la base de todo el sistema de seguridad de la informacin. La alta direccin debe apoyar visiblemente la seguridad de la informacin en la compaa. Ejemplo De Polticas De Seguridad Informtica La Institucin cuenta con algunas polticas de seguridad informtica que se listan a continuacin: Polticas de Seguridad del Site de Informtica. El rea de Site debe permanecer cerrada con el acceso restringido, nicamente personal autorizado est permitido, cualquier persona que visite el site deber registrarse en la bitcora con su nombre, firma y motivo de la visita. El personal operativo tiene la responsabilidad de salvaguardar la integracin de los equipos de comunicaciones y servidores. El personal de operacin deber llenar la bitcora de operacin da con da especificando cualquier anomala, servicio u otra situacin quedando registro en la bitcora. El personal operativo no tiene permitido introducir alimentos o bebidas al rea. El personal operativo tiene prohibido introducir a personas ajenas a la dependencia en las reas del site. El personal operativo deber realizar las tareas solicitadas por los usuarios y registrar los servicios en la bitcora correspondiente. El personal operativo deber entregar los productos solicitados en el rea designada para este fin y previo llenado de la bitcora de entrega, firmada por el usuario solicitante. El personal operativo deber verificar el correcto funcionamiento de los servidores y servicios as como del equipo de comunicaciones peridicamente en intervalos de 15 minutos. 2tantos, debiendo resguardar estos de manera segura en las reas definidas para tal efecto. El personal operativo deber verificar el correcto funcionamiento de los equipos de enfriamiento, el cual debe mantenerse en un rango de 18 a 21 centgrados, cualquier anomala deber reportarla al superior inmediato y quedar registrada en bitcora. Cualquier asunto fuera de las siguientes polticas se deber informar a la superioridad. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD Gestionar la seguridad de la informacin dentro de la organizacin. Mantener la seguridad de los recursos de tratamiento de la informacin y de los activos de informacin de la

organizacin que son accedidos por terceros. Mantener la seguridad de la informacin cuando la responsabilidad de su tratamiento se ha externalizado a otra organizacin. Debe disearse una estructura organizativa dentro de la compaa que defina las Responsabilidades que en materia de seguridad tiene cada usuario o rea de trabajo relacionada con los sistemas de informacin de cualquier forma. Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente tcnicos. CLASIFICACIN Y CONTROL DE ACTIVOS Mantener una proteccin adecuada sobre los activos de la organizacin. Asegurar un nivel de proteccin adecuado a los activos de informacin. Debe definirse una clasificacin de los activos relacionados con los sistemas de informacin, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de proteccin adecuado a su criticidad en la organizacin. SEGURIDAD LIGADA AL PERSONAL Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el mbito de la seguridad de la informacin, y que estn preparados para sostener la poltica de seguridad de la organizacin en el curso normal de su trabajo. Minimizar los daos provocados por incidencias de seguridad y por el mal funcionamiento, controlndolos y aprendiendo de ellos Ejemplos de Recursos humanos: Puntos del Doctor Deming de Acta Administrativa de Aguinaldo Ejemplo de Anlisis y descripcin de Puesto Anlisis y descripcin de puestos Ejemplo de Aportaciones del Doctor Deming Caractersticas de equipo y grupo Ejemplo de Carta responsiva de recurso por outsourcing Ejemplo de Carta Solicitud para Bolsa de Trabajo Crculo de calidad Ejemplo de Circular Informativa Empresarial Como se estructuran los crculos de calidad Concepto de liderazgo de calidad SEGURIDAD LIGADA AL PERSONAL (II) Las implicaciones del factor humano en la seguridad de la informacin son muy elevadas. Todo el personal, tanto interno como externo a la organizacin, debe conocer tanto las lneas generales de la poltica de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global.

 Diferentes relaciones con los sistemas de informacin: operador, administrador, guardia de seguridad, personal de servicios, etc. Procesos de notificacin de incidencias claros, giles y conocidos por todos SEGURIDAD FSICA Y DEL ENTORNO Evitar accesos no autorizados, daos e interferencias contra los locales y la informacin de la organizacin. Evitar prdidas, daos o comprometer los activos as como la interrupcin de las actividades de la organizacin. Prevenir las exposiciones a riesgo o robos de informacin y de recursos de tratamiento de informacin. Las reas de trabajo de la organizacin y sus activos deben ser clasificadas y protegidas en funcin de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de ndole fsica (robo, inundacin, incendio...) GESTIN DE COMUNICACIONES Y OPERACIONES Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y la disponibilidad de los servicios de tratamiento de informacin y comunicacin. Asegurar la salvaguarda de la informacin en las redes y la proteccin de su infraestructura de apoyo. Evitar daos a los activos e interrupciones de actividades de la organizacin. Prevenir la prdida, modificacin o mal uso de la informacin intercambiada entre organizaciones. Se debe garantizar la seguridad de las comunicaciones y de la operacin de los sistemas crticos para el negocio. CONTROL DE ACCESOS Controlar los accesos a la informacin. Evitar accesos no autorizados a los sistemas de informacin. Evitar el acceso de usuarios no autorizados. Proteccin de los servicios en red. Evitar accesos no autorizados a ordenadores. Evitar el acceso no autorizado a la informacin contenida en los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo. Se deben establecer los controles de acceso adecuados para proteger los sistemas de informacin crticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc. DESARROLLO Y MANTENIMIENTO DE SISTEMAS Asegurar que la seguridad est incluida dentro de los sistemas de informacin. Evitar prdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.

Proteger la confidencialidad, autenticidad e integridad de la informacin. Asegurar que los proyectos de Tecnologa de la Informacin y las actividades complementarias son llevados a cabo de una forma segura. Mantener la seguridad del software y la informacin de la aplicacin del sistema. Debe contemplarse la seguridad de la informacin en todas las etapas del nciclo de vida del software en una organizacin: especificacin de requisitos, desarrollo, explotacin, mantenimiento. GESTIN DE CONTINUIDAD DEL NEGOCIO Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente grandes fallos o desastres. Todas las situaciones que puedan provocar la interrupcin de las actividades del negocio deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados. Los planes de contingencia deben ser probados y revisados peridicamente. Se deben definir equipos de recuperacin ante contingencias, en los que se identifiquen claramente las funciones y responsabilidades de cada miembro en caso de desastre. CONFORMIDAD Evitar el incumplimiento de cualquier ley, estatuto, regulacin u obligacin contractual y de cualquier requerimiento de seguridad. Garantizar la alineacin de los sistemas con la poltica de seguridad de la organizacin y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditora de sistemas. Se debe identificar convenientemente la legislacin aplicable a los sistemas de informacin corporativos (en nuestro caso, LOPD, LPI, LSSI...), Integrndola en el sistema de seguridad de la informacin de la compaa y garantizando su cumplimiento. Se debe definir un plan de auditora interna y ser ejecutado convenientemente, para garantizar la deteccin de desviaciones con respecto a la poltica de seguridad de la informacin Gestin de incidentes La gestin de incidentes es un rea de procesos perteneciente a la Gestin de Servicio TI. El primer objetivo de la gestin de incidentes es recuperar el nivel habitual de funcionamiento del servicio y minimizar en todo lo posible el impacto negativo en la organizacin de forma que la calidad del servicio y la disponibilidad se mantengan.

Los incidentes que no pueden ser resueltos rpidamente por el equipo de ayuda al usuario, son asignados a un especialista del equipo de soporte tcnico. La resolucin del incidente debe ser ejecutada lo antes posible para restaurar el servicio rpidamente. Ejemplos Los incidentes deben clasificarse a medida que son reportados. Algunos ejemplos de incidentes segn su clasificacin son los siguientes: Aplicaciones Servicio no disponible Fallo de la aplicacin Capacidad del disco duro excedida Hardware Cada del sistema Alerta automtica Impresora que no imprime