1.
Ejemplo de Políticas de Seguridad de la Información.
En
esta sección se establece las políticas de seguridad, para dar línea al Sistema De Gestión De La Seguridad De La
Información (SGSI).
Se define Política: Marco de referencia que
establece los objetivos, los principios y el enfoque de SGSI.
1.1. Distribución
|
Nombre
(Nombre/Cédula)
|
Cargo
(Cargo/Rol/Responsabilidad)
|
Acceso a
(Parte del
documento)
|
|
|
Director TIC
|
Completo
|
|
|
Gerente de Servicio
|
Completo
|
|
|
Asesor Tecnología- Administrador
DRP/Director Centro de Datos Alterno
|
Completo
|
|
|
Gerente Infraestructura
|
Completo
|
|
|
Director Centro de Datos
|
Con base a principios necesidad de
conocer, y acceso limitado.
|
|
|
Director Base de datos
|
Con base a principios necesidad de
conocer, y acceso limitado.
|
|
|
Director Redes
|
Director Redes
|
|
|
Asesor Tecnología- Administrador
DRP/Director Centro de Datos Alterno
|
Completo
|
Fuente:
Elaboración propia
1.2. Mantenimiento
de la política
Definido el SGSI y su articulación con el negocio y las regulaciones, se debe establecen los responsables del mantenimiento del SGSI.
Es
responsabilidad de todo el personal encargado de la operación de información,
realizar la correcta implementación de procedimientos para asegurar la puesta
en marcha del SGSI. En caso de que ocurran cambios significativos en los
siguientes puntos, se debe revisar la realización de correcciones al SGSI:
- Cambios en los servicios de Telecomunicaciones.
- Cambios en los sistemas de información (no
implica aplicativos).
- Cambios en la cadena de valor del negocio.
- Cambios en el diseño de centros de datos.
- Cambios en la regulación relevante de las
diferentes entidades de control de la entidad.
- Cambios en la arquitectura empresarial..
1.3. Política General
La
seguridad informática es cultura organizacional, por tanto, es parte integral
de la estrategia y va más allá de la simple implementación de elementos activos
que restringen el uso de la información, siendo la seguridad uno de sus
principios básicos; además se requiere visualizar la seguridad desde el
cliente, los interesados en el negocio, los colaboradores de la compañía, los
accionistas y cualquier otro actor que pueda ser parte integral de la cadena de
valor de los procesos.
La seguridad informática es uno
de los temas de mayor atención, en virtud de las necesidades que ha generado el
medio tecnológico. Esto se apalanca en normativas técnicas y gubernamentales,
que blindan no solo la información, sino además las mismas operaciones y
transacciones. En la gestión de la seguridad de la información se validan
lineamientos como ISO 27001. Esto motiva
no sólo a definir políticas de seguridad de la información, sino además a
definir una línea base de dichas políticas.
Es política el empoderamiento
con la seguridad de la información a todos sus colaboradores; esto es que el
personal a cargo del ciclo de vida de la información (crear, almacenar, usa,
compartir, conservar, archivan y destruir) debe ser auto regulado y auto
controlado, mediante la promoción de la auto medición, auto seguimiento y auto
control, para la posterior rendición de cuentas.
1.3.1. Objetivos
1.3.1.1. Objetivo general de la política
Establecer
los lineamientos que permitan definir los criterios para la ejecución de la
gestión de la seguridad de la información; garantizando los principios de
confidencialidad, integridad, y disponibilidad para la información, y los
correspondientes servicios de autenticación, autorización, auditabilidad y no
repudio.
1.3.1.2. Objetivos específicos
ü Gestionar
el gobierno de la información, mediante la definición de un marco de referencia,
que permita controlar la implementación el mantenimiento y la mejora continua
de la seguridad de la información.
ü Definir
los criterios para la clasificación de la información, con el fin de hacer
efectivo el uso de los recursos que la gestión de la seguridad de la
información.
ü Realizar
gestión de riesgos con el fin de optimizar los recursos y resultados de los
planes de mantenimiento
ü Alinear
la gestión de la seguridad de la información con los sistemas de gestión de la
organización.
ü Empoderar
a los colaboradores de la organización en la gestión de la seguridad de la
información.
ü Empoderar
en la gestión de la seguridad de la información a la alta gerencia y en General
toda la organización.
3.3.1.3. Alcance
Personas: Todos
los procesos y sus actores, son responsables de asegurar el cumplimiento y
mantenimiento vigente de las presentes políticas, con el fin de garantizar el
cumplimiento del plan estratégico misional, el cumplimiento de sus regulaciones
y el mantener su reputación.
Sistemas y temporalidad: Las
políticas deben cumplirse de forma trasversal durante todo el ciclo de vida de
la información, esto es al crear, almacenar, usar, compartir, conservar,
archivan y destruir; sobre todos los servicios tecnológicos definidos como
críticos.
Recursos: es
responsabilidad de la alta gerencia garantizar que los recursos requeridos para
la SGSI estén disponibles.
El presente documento define
las siguientes políticas:
ü Políticas
Generales
ü Organización
del gobierno información:
ü Políticas
para la Gestión de activos
ü Política
de seguridad del capital humano
ü Política
de la seguridad física
ü Política
de Telecomunicaciones y operación
ü Política
acceso.
ü Política
de apropiación de servicios tecnológicos
ü Política
de la gestión de incidentes en el SGSI.
ü Política
de gestión de la calidad de la información
ü Política
derechos de autor
ü Política
de cumplimiento de regulaciones
ü Plan
de mantenimiento de la política de seguridad de la información
En adición al presente
documento, se deberá desarrollar documentos complementarios, que den cobertura
a las siguientes políticas:
ü Políticas
particulares.
ü Política
para el plan de continuidad de los servicios de TIC.
ü Política
para el plan de continuidad del negocio.
ü Política
para el plan de recuperación ante desastres.
ü Política
administración, uso y entrega del servicio de redes.
ü Política
que defina características del centro de datos o centro de cómputo.
ü Política
para la gestión del centro de cómputo.
ü Política
para la gestión de los sistemas de información.
ü Política
para la incorporación, mantenimiento y dada de baja de los servicios
tecnológicas.
ü Política
para definir el intercambio de información, por medios tecnológicos, con
terceros.
ü Política
para el uso de los CI’s.
ü Política
de trabajo en las áreas más críticas.
ü Política
de backup.
ü Política
de uso de correo electrónico.
ü Política
de integración con terceros.
ü Política
para teletrabajo.
ü Política
de privacidad (habeas data).
Cada servicio tecnológico y
cada activo de información deben tener su propia política de accesorios y uso.
ü Política
de escritorio limpio.
ü Políticas
y procedimientos para las Restricciones para la instalación, actualización y
eliminación de servicios tecnológicos e los dispositivos de usuario final y en
los servidores.
.
1.3.2. Principios de la Seguridad de la Información
La
información está blindada por los principios de:
Tabla 2 Principios de la Seguridad de la Información
Fuente:
Elaboración propia
1.3.3. Servicios de la Seguridad de la Información
Los
principios de la seguridad de la información están garantizados a partir de los
siguientes servicios:
Tabla 3 Servicios de la Seguridad de la Información
Fuente:
Elaboración propia
1.3.4. Ciclo de vida de la información.
El ciclo
de vida de la información está definido por las etapas de creación, almacenamiento,
usabilidad, comprar (acceder), conservación, archivado y destrucción.
3.4. Política
Organización del Gobierno de Información -
Se
debe garantizar el cumplimiento de los Principios del SGSI y sus Servicios
durante todo el Ciclo de Vida de la Información.
Se debe empoderar al capital
humano para que sea la fortaleza del SGSI.
En el proceso de
disgregación de funciones, se garantizará el empoderamiento con la seguridad de
la información; esto es que el personal a cargo del ciclo de vida de la
información (crear, almacenar, usa, compartir, conservar, archivan y destruir)
debe ser auto regulado, auto controlado, mediante la promoción de la auto
medición, auto seguimiento y auto control, para la posterior rendición de
cuentas.
Se debe definir y garantizar
cumplimiento de acuerdos de confidencialidad con todos los relacionados con la
cadena de valor.
Se deberá asegurar la
seguridad de la información en todos los servicios tecnológicos prestados y
usados.
Se debe definir un plan
anual de mantenimiento al SGSI.
1.5. Políticas Generales para la Gestión de activos
Todos
los activos al servicio deben estar inventariados y es responsabilidad de un
actor específico, quien deberá asegurar el cumplimiento de las políticas de
seguridad de la información.
Todos los activos de
información deben definir su clasificación y deben de igual forma, ser
evaluados y, esto es identificar la información que puede ser compartida, la
que debe ser protegido, la que puede ser publicada, y la que debe ser regulada,
la información no clasificada y la información registrada.
1.6. Política
Seguridad del Capital Humano
Deben
definirse controles que permitan garantizar el efectivo cumplimiento de los
principios y servicios establecidos en la presente política por parte del
capital humano.
Toda la cadena Valor debe
contar con capital humano identificado que responda a contratos claramente
definidos, con ilustración clara de responsabilidades, frente a la seguridad de
la información.
De forma sistemática, se
debe garantizar un círculo virtuoso que permita sensibilizar y capacitar a todo
el personal en temas relacionados con la seguridad de la información.
Se debe garantizar que en los
procesos de finalización de contratos, existan procedimientos para la
devolución de los activos de información y/o la destrucción de los mismos.
Se debe gestionar, de forma
adecuada, los accesos y privilegios a todos los componentes tecnológicos y
repositorios de datos e información antes, durante y después de la vigencia de
los contratos que comprometan capital humano.
1.7. Política
Seguridad física
ü Se
garantizará gestión de la seguridad del acceso físico, a los centros de
operación y centros de datos.
ü Se
garantizará gestión de la seguridad del acceso físico, a los lugares en los que
se opera, almacena y gestiona información de carácter confidencial.
ü Se
implementarán controles de calidad a los mecanismos de gestión de la seguridad
de acceso físico.
ü Los
servicios operacionales y tecnológicos deberán estar blindados con medios (redundancia,
alta disponibilidad, enfoque a procesos y capital humano calificado) que
garanticen la disponibilidad.
ü La
infraestructura tecnológica debe responder a un plan estratégico de continuidad
de los servicios tecnológicos.
ü La
incorporación, mantenimiento y dada de baja de los activos tecnológicos, deben
responder a una política particular que defina términos de seguridad de la
información.
1.8. Políticas
Telecomunicaciones y operación
ü El
aprovisionamiento, soporte, mantenimiento y eliminación de componentes
tecnológicos para las telecomunicaciones y la operación, debe obedecer a un
enfoque a procesos, que asegure cumplimiento de políticas, incorporación de
procesos, procedimientos, formatos, indicadores de gestión, índices de
productividad y trazabilidad, elementos que aseguraran el cumplimiento de la
política de seguridad de la información.
ü Se
debe asegurar la incorporación y cumplimiento de buenas prácticas de carácter
internacional en la gestión y operación de la tecnología, permitiendo de esta
manera tener control de la gestión de la disponibilidad, la capacidad, los
cambios, el inventario de activos, el inventario de servicios tecnológicos, las
relaciones de TI con el negocio, entre otros.
ü Se
debe asegurar la disponibilidad de ambientes no productivos para los procesos
de ingeniería de software.
ü Se debe
definir criterios de aceptación de los componentes tecnológicos a partir de la
arquitectura tecnológica.
ü Se
debe garantizar la apropiación de tecnologías destinadas de forma exclusiva al
aseguramiento de la información.
ü Se
deben definir ANS, acuerdos de nivel de servicios, para los servicios
tecnológicos.
ü Se
deben definir políticas claras para el intercambio de información, por medios
tecnológicos, con terceros.
ü Se
debe establecer un procedimiento de monitoreo de los servicios tecnológicos.
ü Se
debe alinear los formatos de fecha, formatos de hora, la fecha y la hora de
todos los componentes tecnológicos con una única fuente oficial para el país.
1.9. Políticas
de Acceso
ü Cada
servicio tecnológico y cada activo de información deben tener su propia
política de accesorios y uso.
ü Debe
definirse un Procedimiento que el límite el mecanismo a través del cual se
concede, se gestiona y se elimina el acceso a la información y los servicios
tecnológicos.
ü Debe
hacerse definición de una serie de reglas que delimiten la calidad de las
contraseñas.
ü Debe
hacerse definición para reglamentarse una política de escritorio limpio.
ü Debe
ejecutarse una segmentación de redes con el fin de garantizar que el acceso a
los servicios tecnológicos sea de forma exclusiva a los requeridos por el rol y
las responsabilidades correspondientes a cada individuo.
ü Debe
garantizarse una Identificación inequívoca de usuarios en los sistemas de
información.
ü Debe
incluirse en la política de acceso las acciones en función del Abandono de
sesiones de trabajo.
ü En
caso de que llegue existir acceso remoto a los servicios tecnológicos debe
reglamentarse.
1.10. Política
de apropiación de servicios tecnológicos
ü Debe
definirse y apropiarse técnicas de cifrado de información y enmascaramiento.
ü Debe
implementarse un procedimiento de Control de cambios.
ü Debe garantizarse que en los
ambientes no productivos los datos de prueba no correspondan a los productivos.
ü Debe
realizarse actividades de Auditoría a los ambientes no productivos con el fin
de visualizar riesgo de incumplimiento de las políticas de seguridad de la
información.
ü Debe
asegurarse el mecanismo de control de acceso al código fuente.
ü Debe
asegurarse el cumplimiento de acuerdo de confidencialidad con todos los actores
comprometidos en el proceso de gestión de los servicios tecnológicos incluyendo
terceros.
ü Debe
asegurarse una adecuada segregación de funciones en el área tecnológica que
permitan minimizar riesgos de acceso no adecuado a la información.
ü Debe
garantizarse la definición de una arquitectura tecnológica.
ü Debe
asegurarse la definición de políticas y procedimientos para las restricciones
para la instalación, actualización y eliminación de servicios tecnológicos.
ü Debe
velarse por el cumplimiento de normas regulatorias.
ü Debe
implementarse un procedimiento de análisis de vulnerabilidades.
ü Debe
hacerse definición de política y procedimientos de custodia y versionamiento
del software.
1.11. Políticas
de la gestión de incidentes en el SGSI
ü Debe
definirse y gestionarse canales adecuados para la notificación de riesgos e
incidentes con la seguridad de la información.
ü Todos
los colaboradores son responsables de notificar a través de todos los canales dispuestos
los riesgos e incidentes que se susciten.
ü Todos
los dueños de servicios tecnológicos deben asegurar un plan de reacción que dé
respuesta a todos los riesgos e incidentes que se materialicen.
1.12. Políticas
de la Continuidad del Negocio
ü Debe
definirse un plan de continuidad del negocio (PCN).
ü Debe
definirse un plan de recuperación ante desastres (DRP).
ü Debe
definirse un plan anual de mantenimiento al PCN y al DRP.
ü Debe
hacerse un proceso de gestión de riesgos para el negocio.
ü Debe
hacerse un análisis de impacto al negocio para los riesgos identificados.
ü Debe
hacerse una gestión de los riesgos identificados, con el fin de minimizar su
probabilidad y/o impacto.
1.13. Política
de gestión de la calidad de la información
ü Debe
establecerse un proceso que de forma periódica valide el ciclo de vida de la
información y su seguridad.
1.14. Política
Derechos de autor
ü Debe
alinearse toda la cadena Valor a los lineamientos dados por la Dirección
Nacional De Derechos De Autor.
1.15. Política
de cumplimiento de regulaciones
ü La
empresa deberá estar atenta al cumplimiento de las normas que lo regulan y el
cambio de las mismas.
ü La
empresa deberá tener un inventario claro de todas las normas que lo regulan.
ü La
empresa deberá hacer auditorías internas periódicas que le permita identificar
el cumplimiento de sus SGSI.
1.16. Incumplimiento de la Política
El
incumplimiento de la presente política acarreará investigaciones de tipo
disciplinario, implicando las sanciones a que haya lugar, de acuerdo a la
gravedad del incumplimiento. El proceso de gestión disciplinaria deberá
identificar las políticas establecidas para la seguridad de la información y
definir las correspondientes sanciones a que haya lugar en su incumplimiento.
No hay comentarios:
Publicar un comentario