Escolar Documentos
Profissional Documentos
Cultura Documentos
Informtica
Diciembre 2002
INTRODUCCION
El presente documento es una propuesta inicial de lo que pretende ser el
desarrollo de la Poltica Nacional de Seguridad de la Informacin en el
Estado Peruano,
Una Poltica de Seguridad de la informacin es una estrategia frente a los
riesgos que pueden atentar contra la confidencialidad, la integridad y la
disponibilidad de los recursos informticos, dichas estrategias se elaboran en
base a la identificacin de los riesgos tanto internos como externos de toda la
infraestructura informtica de una institucin.
El INEI como ente rector del sistema Nacional de Informtica del Estado
Peruano, siendo conciente de la dependencia del gobierno con los sistemas de
informacin existentes, en todos los procesos de la administracin pblica,
afirma la necesidad de dar alta prioridad a la seguridad de las operaciones del
gobierno y sus respectivos activos informticos. Para esto requiere que las
entidades pblicas identifiquen las debilidades y riesgos actuales de seguridad,
as como resuelvan la proteccin a las vulnerabilidades y amenazas futuras.
Para ello se esta trabajando en diferentes componentes :
OTROS
CAPACITACION
CONVENIOS
PROGRAMAS DE
ANLISIS DE
VULNERABILIDAD
PUBLICACIONES
Las Normas son las polticas que se establecen y que nos dicen que es lo que
queremos en trminos de seguridad de la informacin. Las directivas apoyan a
las normas, mediante la forma de como lograr obtener lo que se plantea como
norma o poltica. Y todo esto descansa sobre las diferentes actividades que
realiza el INEI para apoyar la seguridad de la informacin en las instituciones
publicas.
2
Direccin Tcnica de Desarrollo Informtico
3
Direccin Tcnica de Desarrollo Informtico
Propuesta de Polticas
Una poltica de seguridad de la Informacin es una forma de comunicarse con
los usuarios y los Jefes. Las Polticas de Seguridad de la Informacin
establecen el canal formal de actuacin del personal, en relacin con los
recursos y servicios informticos importantes de la organizacin.
No es una descripcin tcnica de mecanismos de seguridad, ni una expresin
legal que involucre sanciones a conductas de los empleados, es ms bien una
descripcin de los que deseamos proteger y el por qu de ello.
Cada poltica de seguridad de la informacin es una invitacin de la
organizacin a cada uno de sus miembros a reconocer la informacin como
uno de sus principales activos as como, un motor de intercambio y desarrollo
en el mbito de sus actividades. Invitacin que debe concluir en una posicin
consciente y vigilante del personal por el uso y limitaciones de los recursos y
servicios informticos crticos de la institucin.
De acuerdo con lo anterior, el proponer o identificar una poltica de seguridad
requiere un alto compromiso con la organizacin, agudeza tcnica para
establecer fallas y debilidades, y constancia para renovar y actualizar dicha
poltica en funcin del dinmico ambiente que rodea las organizaciones
modernas.
En este sentido la seguridad debe ser construida y fundamentada como parte
de la arquitectura del sistema de informacin de toda institucin pblica. Las
instituciones deben crear roles de seguridad explcitos en las inversiones de
tecnologa de informacin y programarlas en los presupuestos. Estas acciones
deben ser completamente constantes.
4
Direccin Tcnica de Desarrollo Informtico
Acciones
a. Establecer un mtodo especfico y entendible para evaluar
continuamente los riesgos potenciales, con la finalidad de
mantener la seguridad en un nivel aceptable, as como los
procedimientos para asegurar un control eficaz con los tiempos
de respuesta necesarios.
b. Identificar de ser necesario controles adicionales de seguridad
para reducir al mnimo el riesgo potencial de prdida de los
sistemas al promover o permitir acceso pblico.
5. Proteger la privacidad.
Es necesario el establecimiento de mecanismos que ayuden a proteger
la identificacin de las personas, que realizan comunicacin para
acceder al uso de recursos de informacin de las entidades pblicas.
Acciones
a. Mantener herramientas eficaces para el control
de la
autentificacin, tal como firmas digitales basadas en clave
publica, para sistemas que permiten el acceso remoto, en general
para los casos de envi de informacin sensible.
b. Asegurar que la informacin personal este respaldada por
polticas del gobierno.
c. Controlar las aplicaciones y la informacin a que tienen acceso
los usuarios y cmo pueden llegar hasta ellas. (por ejemplo, a un
usuario se le puede permitir acceso a ciertas estaciones de
trabajo en ciertas ocasiones). controlar quin puede abrir cuentas
o crear identificaciones de usuarios en un sistema. auditar las
cuentas con frecuencia en busca de identificaciones o cuentas
que no correspondan a la realidad. tener a mano personas
capaces de llevar a cabo una auditora.
deben
estar
Acciones
a. La alta direccin de cada institucin emitir directivas internas
referidas a la documentacin de los procedimientos realizados en
beneficio de la seguridad de la informacin.
9
Direccin Tcnica de Desarrollo Informtico
10
Direccin Tcnica de Desarrollo Informtico