Escolar Documentos
Profissional Documentos
Cultura Documentos
2011
ndice
d) Responsables
g) Requisitos de Cumplimiento de la Seguridad 1) cumplimiento de requisitos legales y contractuales 2) requisitos de instruccin en materia de seguridad 3) prevencin y deteccin de virus y dems software malicioso 4) administracin de la continuidad comercial 5) consecuencias de las violaciones a la poltica de seguridad 6) Responsabilidades generales y especficas en materia de gestin de la seguridad de la informacin h) Documentos de Respaldo I) Bibliografa
Riesgo: proximidad o posibilidad de un dao, peligro. Cada uno de los imprevistos, hechos desafortunados, etc., que puede tener un efecto adverso. Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro. Ahora, una Poltica de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en trminos generales que est y que no est permitido en el rea de seguridad durante la operacin general del sistema. La poltica se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero, ante todo, una poltica de seguridad es una forma de comunicarse con los usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas y debe: Ser holstica (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave. Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lpiz. Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia. Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
Cualquier poltica de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad. No debe tratarse de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal que involucre sanciones a conductas de los empleados. Es ms bien una descripcin de los que deseamos proteger y el porqu de ello.
Evitar el rechazo: garantizar de que no pueda negar una operacin realizada. Autenticacin: asegurar que slo los individuos autorizados tengan acceso a los recursos Adems de buscar cumplir los 5 objetivos mencionados lneas arriba, la seguridad informtica est concebida para proteger los activos informticos, entre los que se encuentran: La informacin contenida Se ha convertido en uno de los elementos ms importantes dentro de una organizacin. La seguridad informtica debe ser administrada segn los criterios establecidos por los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorizacin. De lo contrario la organizacin corre el riesgo de que la informacin sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Otra funcin de la seguridad informtica en esta rea es la de asegurar el acceso a la informacin en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daos o prdida producto de accidentes, atentados o desastres. La infraestructura computacional Una parte fundamental para el almacenamiento y gestin de la informacin, as como para el funcionamiento mismo de la organizacin. La funcin de la seguridad informtica en esta rea es velar que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro elctrico y cualquier otro factor que atente contra la infraestructura informtica. Los usuarios Son las personas que utilizan la estructura tecnolgica, zona de comunicaciones y que gestionan la informacin. La seguridad informtica debe establecer normas que minimicen los riesgos a la informacin o infraestructura informtica. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informtica minimizando el impacto en el desempeo de los funcionarios y de la organizacin en general y como principal contribuyente al uso de programas realizados por programadores.
c) Alcance generales de la Seguridad de Informacin El alcance de las presentes polticas de seguridad para la empresa virtual IT Expert, son las siguientes: Nivel de Seguridad Organizativo:
o o o
Nivel de Seguridad Fsica o o o Seguridad Fsica Seguridad Ambiental Seguridad de los Equipos
Nivel de Seguridad Lgico o o o o o Control de Accesos Administracin del Acceso a Usuarios Seguridad en Acceso a terceros Control de Acceso a la red Control de acceso a las aplicaciones
d) Responsables Dentro de la empresa ITExpert, cada uno de los integrantes de la misma posee roles y responsabilidades especficas. El gerente general, es el encargado del manejo de la empresa, asesoria a los proyectos y toma de decisiones (en conjunto con el gerente de proyectos y recursos). La gerente de Proyectos y recursos se encarga de gestionar y manejar todos los proyectos que se den en IT Expert y, a su vez, al personal humano que se encuentre dentro de la empresa. Sobre dicha persona recae el deber de la toma de decisiones acerca de todo aquello que involucre tanto a algn proyecto especfico o algn recuso dentro de los mismos. Luego, tenemos a los jefes de proyecto, los cuales se hacen responsables de todo lo que involucre cada uno de los mismos. Por ltimo, tenemos a los recursos de apoyo, dentro de los que destacan el administrador del centro de cmputo y el DBA. El administrador del centro de cmputo es el encargado de manejar todos los servidores, a nivel lgico, del centro de cmputo. Cualquier despliegue de alguna aplicacin se hace a travs de dicha persona. Por ltimo, el DBA es el
encargado administrar y manejar todas las bases de datos existentes en los servidores de IT Expert, asumiendo la entera responsabilidad de lo que pueda suceder con las mismas, para bien o para mal.
g) Requisitos de Cumplimiento de la Seguridad 1) cumplimiento de requisitos legales y contractuales 2) requisitos de instruccin en materia de seguridad 3) prevencin y deteccin de virus y dems software malicioso 4) administracin de la continuidad comercial 5) consecuencias de las violaciones a la poltica de seguridad 6) Responsabilidades generales y especficas en materia de gestin de la seguridad de la informacin